发布于: Oct 16, 2023
Amazon OpenSearch Service 中的安全分析功能增加了对 Open Cybersecurity Schema Framework (OCSF) 格式化数据的本机支持,并为从 Amazon Security Lake 摄取的 OCSF 数据提供安全检测规则。此外,安全分析功能还支持摄取几乎任何自定义日志类型,同时支持创建自定义检测规则。关联引擎通过分析和突出显示潜在安全事件之间的联系,帮助缩短事件响应时间。
以前,客户必须将 OCSF 数据映射并转换为另一种支持的格式,才能运行安全检测规则。现在,安全分析支持 OCSF 格式的数据,并且能够对这些数据运行检测和关联规则。除了当前支持的安全事件日志源,客户还要求支持自定义应用程序日志。通过将预打包日志类型支持的安全功能扩展到自定义日志类型,客户可以全面了解企业中的安全事件。使用关联引擎,客户可以检测从不同来源生成的日志之间的关系,从而帮助缩短事件检测、分析和响应时间。
新的安全分析功能现已在所有提供 Amazon OpenSearch Service 的 AWS 区域推出。请参阅 AWS 区域表,了解更多信息。
要开始从 Security Lake 分析 OCSF 数据或摄取自定义日志类型,请登录 OpenSearch 控制面板或使用支持 OpenSearch 版本 2.9 的 Amazon OpenSearch Service 域 API。要了解有关安全分析功能的更多信息,请参阅文档。