问:什么是 Amazon Security Lake?
Amazon Security Lake 是一项服务,该服务将整个组织内安全数据的来源、聚合、标准化和数据管理自动化到存储在账户中的安全数据湖中。安全数据湖有助于让您的首选安全分析解决方案广泛访问组织的安全数据,以支持威胁检测、调查和事件响应等应用场景。
问:为什么应使用 Security Lake?
Amazon Security Lake 自动将来自云、本地和自定义来源的安全数据集中到一个专门构建的数据湖中,存储在您的账户中。使用 Security Lake 分析安全数据,从而更全面地了解整个组织的安全性。您还可以使用 Security Lake 帮助增强对工作负载、应用程序和数据的保护。与安全相关的数据包括服务和应用程序日志、安全警报和威胁情报(例如已知的恶意 IP 地址),这些数据是检测、调查和修复安全事故的信任源。安全最佳实践需要有效的日志和安全事件数据管理流程。Security Lake 会自动执行此流程并促进解决方案执行流分析检测、时间序列分析、用户和实体行为分析(UEBA)、安全编排和修复(SOAR)以及事件响应。
问:Security Lake 在预览版阶段支持哪些日志和事件源?
Amazon Security Lake 自动收集 AWS CloudTrail、Amazon Virtual Private Cloud (VPC)、Amazon Route 53、Amazon Simple Storage Service (S3) 和 AWS Lambda 的日志。它还通过 AWS Config 的 AWS Security Hub、AWS Firewall Manager、Amazon GuardDuty、AWS Health、AWS Identity and Access Management(IAM)Access Analyzer、Amazon Inspector、Amazon Macie 和 AWS Systems Manager Patch Manager 收集安全查找结果。您还可添加支持 Open Cybersecurity Schema Framework(OCSF)的第三方安全解决解决方案中的数据和自定义数据。此数据包括来自内部应用程序或网络基础设施的日志,且此日志已转换为 OCSF 格式。
问:Amazon Security Lake 与哪些合作伙伴合作?
Amazon Security Lake 采用了开放标准 OCSF,该标准有助于自动标准化来自 50 多个通过 AWS Security Hub 集成之解决方案的安全查找结果。有关详细信息,请参阅 AWS Security Hub 合作伙伴。 此外,将有越来越多的技术解决方案可提供 OCSF 格式的数据,并与 Amazon Security Lake 集成。有关详细信息,请参阅 Amazon Security Lake 合作伙伴。
问:什么是 Open Cybersecurity Schema Framework (OCSF)?
OSCF 是一种用于安全日志和事件的协作开源模式。它包含与供应商无关的数据分类,减少了跨各种产品、服务和开源工具标准化安全日志和事件数据的需求。
问:如何启用 Amazon Security Lake?
首次打开 Amazon Security Lake 控制台时,选择 Get Started(开始使用),然后选择 Enable(启用)。Amazon Security Lake 使用服务相关角色,该角色包括允许 Amazon Security Lake 从源收集数据并向订阅者授予访问权限的权限和信任策略。最佳实践是在所有支持的 AWS 区域中启用 Amazon Security Lake。这让 Amazon Security Lake 可以收集和保留与未经授权或异常活动相关的数据,即使在您未主动使用的区域中也是如此。如果未在所有支持的区域中启用 Amazon Security Lake,则将削弱其收集全球服务数据的能力。
问:什么是汇总区域?
汇总区域是聚合来自其他指定区域的安全日志和事件的 AWS 区域。启用 Amazon Security Lake 时,您可以指定一个或多个汇总区域,以协助您遵循区域合规性要求。