คำถามที่พบบ่อยเกี่ยวกับที่จัดเก็บข้อมูลการรักษาความปลอดภัยของ Amazon

ที่จัดเก็บข้อมูลการรักษาความปลอดภัยของ Amazon คือบริการระบบอัตโนมัติสำหรับการจัดหา การรวม การนอร์มัลไลซ์ และการจัดการข้อมูลด้านความปลอดภัยในทั่วทั้งองค์กรลงใน Data Lake ด้านความปลอดภัยที่จัดเก็บอยู่ในบัญชีของคุณ Data Lake ด้านความปลอดภัยช่วยให้โซลูชันวิเคราะห์ความปลอดภัยสามารถเข้าถึงข้อมูลด้านความปลอดภัยขององค์กรได้ในวงกว้าง เพื่อเพิ่มประสิทธิภาพให้กรณีการใช้งาน เช่น การตรวจหาภัยคุกคาม การตรวจสอบ และการตอบสนองต่อเหตุการณ์

ที่จัดเก็บข้อมูลการรักษาความปลอดภัยจะรวมศูนย์ข้อมูลความปลอดภัยจากระบบคลาวด์ ในองค์กร และแหล่งข้อมูลที่กำหนดเองโดยอัตโนมัติไปยัง Data Lake ที่สร้างขึ้นตามวัตถุประสงค์ซึ่งจัดเก็บไว้ในบัญชีของคุณ ใช้ที่จัดเก็บข้อมูลการรักษาความปลอดภัยเพื่อวิเคราะห์ข้อมูลความปลอดภัย ทำความเข้าใจความปลอดภัยทั่วทั้งองค์กรที่ครอบคลุมมากยิ่งขึ้น และปรับปรุงการปกป้องเวิร์กโหลด แอปพลิเคชัน และข้อมูลของคุณ ข้อมูลเกี่ยวกับความปลอดภัย ได้แก่ ข้อมูลบันทึกบริการและแอปพลิเคชัน การแจ้งเตือนด้านความปลอดภัย และข่าวกรองภัยคุกคาม (เช่น ที่อยู่ IP ที่เป็นอันตราย) ซึ่งจำเป็นต่อการตรวจหา การตรวจสอบ และการแก้ไขเหตุการณ์ด้านความปลอดภัย แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยกำหนดให้ต้องมีกระบวนการจัดการข้อมูลบันทึกและเหตุการณ์ด้านความปลอดภัยที่มีประสิทธิภาพ ที่จัดเก็บข้อมูลการรักษาความปลอดภัยทำให้กระบวนการนี้เป็นระบบอัตโนมัติและอำนวยความสะดวกให้โซลูชันในการตรวจหาการวิเคราะห์การสตรีม การวิเคราะห์แบบอนุกรมเวลา การวิเคราะห์พฤติกรรมผู้ใช้และเอนทิตี (UEBA) การควบคุมระบบและการแก้ไขด้านความปลอดภัย (SOAR) รวมถึงการตอบสนองต่อเหตุการณ์

Open Cybersecurity Schema Framework (OCSF) คือสคีมาโอเพนซอร์สที่ทำงานร่วมกันสำหรับบันทึกความปลอดภัยและเหตุการณ์ต่างๆ ซึ่งรวมถึงการจัดกลุ่มข้อมูลที่ไม่อิงผู้จำหน่ายที่ลดความจำเป็นในการนอร์มัลไลซ์ข้อมูลบันทึกและข้อมูลเหตุการณ์ด้านความปลอดภัยในทั่วทุกผลิตภัณฑ์ บริการ และเครื่องมือโอเพนซอร์ส

ที่จัดเก็บข้อมูลการรักษาความปลอดภัยจะรวบรวมข้อมูลบันทึกสำหรับบริการต่อไปนี้โดยอัตโนมัติ:

• AWS CloudTrail
• Amazon Virtual Private Cloud (VPC)
• Amazon Route 53
• Amazon Simple Storage Service (S3)
• AWS Lambda
• Amazon Elastic Kubernetes Service (EKS) 
• AWS Web Application Firewall (WAF)

นอกจากนี้ยังรวบรวมการค้นพบด้านความปลอดภัยผ่าน AWS Security Hub สำหรับบริการต่อไปนี้

• AWS Config
• AWS Firewall Manager
• Amazon GuardDuty
• AWS Health
• AWS Identity and Access Management (IAM) Access Analyzer
• Amazon Inspector
• Amazon Macie
• ตัวจัดการโปรแกรมแก้ไขระบบของ AWS Systems Manager

นอกจากนี้ คุณยังสามารถเพิ่มข้อมูลจากโซลูชันการรักษาความปลอดภัยของบุคคลที่สาม แหล่งที่มาของคลาวด์อื่น ๆ และข้อมูลที่คุณกำหนดเองซึ่งสนับสนุน OCSF ได้อีกด้วย ข้อมูลนี้รวมถึงข้อมูลบันทึกจากแอปพลิเคชันภายในหรือโครงสร้างพื้นฐานของเครือข่ายที่คุณแปลงเป็นรูปแบบ OCSF แล้ว

มี คุณสามารถลองใช้บริการฟรีได้เป็นเวลา 15 วันด้วยบัญชีใหม่ในที่จัดเก็บข้อมูลการรักษาความปลอดภัยด้วย AWS Free Tier คุณสามารถเข้าถึงฟีเจอร์แบบครบชุดได้ในช่วงทดลองใช้ฟรี

การผสานรวมระหว่าง Amazon OpenSearch Service และ Amazon Security Lake มอบประสบการณ์ที่คล่องตัวสำหรับการค้นหาโดยตรง รับข้อมูลเชิงลึก และวิเคราะห์ข้อมูลที่เก็บไว้ใน Security Lake ทั้งหมดภายในบริการ Amazon OpenSearch มีสองวิธีที่คุณสามารถผสานรวม Security Lake และ OpenSearch Service ได้แก่ การเข้าถึงข้อมูลตามความต้องการและการนำเข้าข้อมูลอย่างต่อเนื่อง ตัวเลือกแบบตามความต้องการเหมาะสำหรับแหล่งที่มาของข้อมูลบันทึกขนาดใหญ่ที่มีการเข้าถึงไม่บ่อยทำให้ผู้ใช้สามารถวิเคราะห์ข้อมูลได้โดยไม่ต้องเสียค่าใช้จ่ายในการนำเข้าข้อมูลล่วงหน้า นอกจากนี้ วิธีการนำเข้าข้อมูลอย่างต่อเนื่องยังเหมาะสำหรับการวิเคราะห์แบบเรียลไทม์ และให้การเข้าถึงแหล่งข้อมูลความปลอดภัยที่มีมูลค่าสูง เช่น การค้นพบ AWS Security Hub และเหตุการณ์การจัดการ AWS CloudTrail ได้รวดเร็วยิ่งขึ้น

ที่จัดเก็บข้อมูลการรักษาความปลอดภัยจะทำให้การจัดหา การรวม การลดความซับซ้อน และการจัดการข้อมูลที่เกี่ยวข้องกับความปลอดภัยจากระบบคลาวด์เป็นไปอย่างอัตโนมัติภายในองค์กร และแหล่งข้อมูลที่กำหนดเองไปยัง Data Lake ด้านความปลอดภัยที่จัดเก็บไว้ในบัญชี AWS ของคุณ ที่จัดเก็บข้อมูลการรักษาความปลอดภัยได้นำ OCSF ซึ่งเป็นมาตรฐานแบบเปิดมาใช้ ด้วยการรองรับ OCSF ทำให้บริการนี้สามารถนอร์มัลไลซ์และรวมข้อมูลความปลอดภัยจาก AWS และแหล่งที่มาของความปลอดภัยระดับองค์กรที่หลากหลายได้ AWS CloudTrail Lake เป็นที่จัดเก็บข้อมูลที่มีการจัดการด้านการตรวจสอบและความปลอดภัย ช่วยให้คุณสามารถรวบรวม จัดเก็บได้โดยไม่ต้องเปลี่ยนแปลง และสืบค้นข้อมูลบันทึกการตรวจสอบและความปลอดภัยจาก AWS (เหตุการณ์ CloudTrail รายการการกำหนดค่าจาก AWS Config หลักฐานการตรวจสอบจาก AWS Audit Manager) และแหล่งข้อมูลภายนอก (แอปพลิเคชันภายในองค์กรหรือ SaaS ที่โฮสต์ในสถานที่หรือใน คลาวด์ เครื่องเสมือน หรือคอนเทนเนอร์) ข้อมูลนี้สามารถเก็บไว้ได้นานถึง 7 ปีในที่เก็บข้อมูลเหตุการณ์ CloudTrail Lake แบบไม่มีค่าใช้จ่ายเพิ่มเติม และตรวจสอบได้ด้วยเครื่องมือสืบค้น SQL ในตัวของ CloudTrail Lake

เพื่อเริ่มต้น ก่อนอื่นคุณต้องมีการตั้งค่า Security Lake ที่มีอยู่ในสภาพแวดล้อม AWS ของคุณ สิ่งนี้จะจัดเก็บข้อมูลส่วนกลางและการเข้าถึงข้อมูลการรักษาความปลอดภัยขององค์กรของคุณ

เมื่อกำหนดค่า Security Lake แล้ว คุณสามารถเปิดใช้งานการผสานรวมกับ Amazon OpenSearch Service ได้ เมื่อต้องการทำเช่นนี้ ให้ไปที่คอนโซล Security Lake ในคอนโซลการจัดการของ AWS และสร้างผู้สมัครรับข้อมูลสำหรับบัญชีที่คุณวางแผนจะใช้สำหรับ Amazon OpenSearch ถัดไป ไปที่คอนโซล Amazon OpenSearch Service และกำหนดค่าแหล่งที่มาของข้อมูลสำหรับ Security Lake กระบวนการนี้เกี่ยวข้องกับการกำหนดค่าสิทธิ์ที่จำเป็นและการควบคุมการเข้าถึงเพื่อให้ OpenSearch Service สามารถเข้าถึงและค้นหาข้อมูลใน Security Lake ของคุณได้อย่างปลอดภัย

จากนั้น คุณสามารถสำรวจการสืบค้นและการผสานรวมที่สร้างไว้ล่วงหน้าซึ่งพร้อมใช้งานผ่าน OCSF เพื่อเริ่มต้นใช้งาน OpenSearch Service Dashboards ได้อย่างรวดเร็วด้วยกรณีการใช้งานการวิเคราะห์การรักษาความปลอดภัยทั่วไป คุณยังมีตัวเลือกในการกำหนดค่าการจัดทำดัชนีตามความต้องการของชุดข้อมูลที่เจาะจงจาก Security Lake ของคุณไปยัง OpenSearch Service สำหรับความต้องการวิเคราะห์และการแสดงภาพขั้นสูง

เมื่อตั้งค่าการผสานรวมแล้ว คุณสามารถเริ่มต้นการสืบค้นและวิเคราะห์ข้อมูลการรักษาความปลอดภัยของคุณได้โดยตรงจากแดชบอร์ด โดยใช้ประโยชน์จากความสามารถการค้นหา การวิเคราะห์ และการแสดงภาพอันทรงพลังที่แดชบอร์ดมอบให้ นอกจากนี้คุณยังปรับแต่งแดชบอร์ดและฟีเจอร์การติดตามตรวจสอบอื่น ๆ ใน OpenSearch Service เพื่อให้เหมาะกับความต้องการด้านการรักษาความปลอดภัยและเวิร์กโฟลว์เฉพาะของคุณได้

การเปิดใช้ CloudTrail ถือเป็นข้อกำหนดเบื้องต้นในการรวบรวมและส่งมอบข้อมูลบันทึกเหตุการณ์การจัดการ CloudTrail ไปยังบัคเก็ต S3 ของลูกค้าผ่านบริการของ AWS ตัวอย่างเช่น หากต้องการส่งข้อมูลบันทึกเหตุการณ์การจัดการ CloudTrail ไปยัง Amazon CloudWatch Logs จะต้องมีการสร้างเส้นทางก่อน เนื่องจากที่จัดเก็บข้อมูลการรักษาความปลอดภัยส่งมอบกิจกรรมการจัดการ CloudTrail ในระดับองค์กรไปยังบัคเก็ต S3 ที่ลูกค้าเป็นเจ้าของ จึงจำเป็นต้องมีเส้นทางองค์กรใน CloudTrail โดยเปิดใช้งานกิจกรรมการจัดการ

ที่จัดเก็บข้อมูลการรักษาความปลอดภัยสามารถรับการค้นพบด้านความปลอดภัยจากโซลูชัน 50 รายการผ่านการผสานรวม AWS Security Hub ดูรายละเอียดได้ที่ AWS Security Hub Partners นอกจากนี้ยังมีโซลูชันเทคโนโลยีจำนวนมากขึ้นเรื่อยๆ ที่สามารถให้ข้อมูลในรูปแบบ OCSF และผสานรวมเข้ากับที่จัดเก็บข้อมูลการรักษาความปลอดภัยได้ ดูรายละเอียดได้ที่ พาร์ทเนอร์ Amazon Security Lake

เมื่อคุณเปิดคอนโซลที่จัดเก็บข้อมูลการรักษาความปลอดภัยเป็นครั้งแรก ให้เลือก เริ่มต้นใช้งาน แล้วเลือก เปิดใช้งาน ที่จัดเก็บข้อมูลการรักษาความปลอดภัยใช้บทบาทที่เชื่อมต่อกับบริการ ซึ่งรวมถึงสิทธิ์และนโยบายที่น่าเชื่อถือที่อนุญาตให้ที่จัดเก็บข้อมูลการรักษาความปลอดภัยรวบรวมข้อมูลจากแหล่งที่มาของคุณและให้สิทธิ์เข้าถึงแก่ผู้สมัครรับข้อมูล การเปิดใช้งานที่จัดเก็บข้อมูลการรักษาความปลอดภัยใน AWS Region ที่รองรับทั้งหมดถือเป็นแนวทางปฏิบัติที่ดีที่สุด เนื่องจากจะทำให้ที่จัดเก็บข้อมูลการรักษาความปลอดภัยสามารถรวบรวมและ Retain ข้อมูลที่เชื่อมต่อกับกิจกรรมที่ไม่ได้รับอนุญาตหรือกิจกรรมที่ผิดปกติได้แม้แต่ในรีเจี้ยนที่คุณไม่ได้ใช้งานอยู่ก็ตาม หากไม่เปิดใช้งานที่จัดเก็บข้อมูลการรักษาความปลอดภัยในรีเจี้ยนที่รองรับทั้งหมด ความสามารถในการรวบรวมข้อมูลที่เกี่ยวข้องกับบริการทั่วโลกจะลดลง

รีเจี้ยนรวมคือรีเจี้ยนที่รวมข้อมูลบันทึกและเหตุการณ์ด้านความปลอดภัยจากรีเจี้ยนที่ระบุอื่น ๆ เมื่อเปิดใช้งานที่จัดเก็บข้อมูลการรักษาความปลอดภัย คุณจะสามารถระบุรีเจี้ยนรวมได้อย่างน้อยหนึ่งรายการ ซึ่งจะช่วยคุณในการปฏิบัติตามข้อกำหนดการปฏิบัติของรีเจี้ยน

สามารถดูความพร้อมใช้งานระดับรีเจี้ยนของที่จัดเก็บข้อมูลการรักษาความปลอดภัยได้ภายใน หน้าตำแหน่งข้อมูล Amazon Security Lake