Amazon Security Lake 常见问题

问:什么是 Amazon Security Lake?

亚马逊安全数据湖是一项服务,该服务将整个组织内安全数据的来源、聚合、标准化和数据管理自动化到账户中存储的安全数据湖中。安全数据湖有助于让您的首选安全分析解决方案广泛访问组织的安全数据,以支持威胁检测、调查和事件响应等应用场景。

问:为什么应使用安全数据湖?

安全数据湖可以自动将来自云、本地和自定义来源的安全数据集中到您账户中存储的一个专门构建的数据湖中。可以使用安全数据湖来分析安全数据,更全面地了解整个组织的安全性,并改善对您的工作负载、应用程序和数据的保护。与安全相关的数据包括服务和应用程序日志、安全警报和威胁情报(例如已知的恶意 IP 地址),这些数据是检测、调查和修复安全事故的基础。安全最佳实践需要有效的日志和安全事件数据管理流程。安全数据湖会自动执行此流程并促进解决方案执行流分析检测、时间序列分析、用户和实体行为分析(UEBA)、安全编排和修复(SOAR)以及事件响应。

问:什么是 Open Cybersecurity Schema Framework?

Open Cybersecurity Schema Framework(OCSF)是用于安全日志和事件的协作式开源架构。它包含与供应商无关的数据分类,减少了跨各种产品、服务和开源工具标准化安全日志和事件数据的需求。

问:安全数据湖支持哪些日志和事件源?

安全数据湖可自动收集以下服务的日志:

  • AWS CloudTrail
  • Amazon Virtual Private Cloud(VPC)
  • Amazon Route 53
  • Amazon Simple Storage Service(S3)
  • AWS Lambda
  • Amazon Elastic Kubernetes Service (EKS) 

它还可以通过 AWS Security Hub 收集以下服务的安全调查发现:

  • AWS Config
  • AWS Firewall Manager
  • Amazon GuardDuty
  • AWS Health
  • AWS Identity and Access Management(IAM)访问分析器
  • Amazon Inspector
  • Amazon Macie
  • AWS Systems Manager 补丁管理器

此外,您可以添加来自第三方安全解决方案、其他云端来源的数据以及您自己的支持 OCSF 的自定义数据。此数据包括来自内部应用程序或网络基础设施的日志,且此日志已转换为 OCSF 格式。

问:安全数据湖有免费试用版吗?

有,安全数据湖的任何新账户均可通过 AWS Free Tier 免费试用该服务 15 天。 在免费试用期间,您可以使用所有功能。

问:安全数据湖和 CloudTrail Lake 有什么区别?

安全数据湖可自动从云端、本地和自定义来源采集、聚合、标准化和管理与安全相关的数据,将其导入存储在您的 AWS 账户中的安全数据湖。安全数据湖采用 OCSF,这是一种开放标准。通过对 OCSF 的支持,该服务可以对来自 AWS 和各种企业安全来源的安全数据进行标准化处理并组合这些安全数据。AWS CloudTrail Lake 是一个托管式审计和安全湖。它允许您聚合、不可改变地存储和查询来自 AWS(CloudTrail 事件、来自 AWS Config 的配置项目、来自 AWS Audit Manager 的审计证据)和外部来源(本地或云端托管的内部或 SaaS 应用程序、虚拟机或容器)的审计和安全日志。然后,可以将这些数据存储在 CloudTrail Lake 事件数据存储中,最多可存储 7 年,无需支付额外费用,并且可以使用 CloudTrail Lake 内置的 SQL 查询引擎调查这些数据。

问:为什么我需要组织跟踪才能向安全数据湖交付 CloudTrail 管理事件?

启用 CloudTrail 是通过任何 AWS 服务收集 CloudTrail 管理事件日志并将其传送到客户 S3 存储桶的先决条件。例如,要将 CloudTrail 管理事件日志传送到 Amazon CloudWatch Logs,需要先创建跟踪。由于安全数据湖在组织级别将 CloudTrail 管理事件传送到客户拥有的 S3 存储桶,因此它需要在 CloudTrail 中进行组织跟踪,同时激活管理事件。

问:哪些 AWS 合作伙伴与安全数据湖合作?

安全数据湖可以通过 AWS Security Hub 集成接收来自 50 个解决方案的安全检测结果。有关详细信息,请参阅 AWS Security Hub 合作伙伴。 此外,将有越来越多的技术解决方案可提供 OCSF 格式的数据,并与亚马逊安全数据湖集成。有关详细信息,请参阅亚马逊安全数据湖合作伙伴

问:什么是 Open Cybersecurity Schema Framework (OCSF)?

OSCF 是一种用于安全日志和事件的协作开源模式。它包含与供应商无关的数据分类,减少了跨各种产品、服务和开源工具标准化安全日志和事件数据的需求。

问:如何启用亚马逊安全数据湖?

首次打开安全数据湖控制台时,选择“入门”,然后选择“启用”。安全数据湖使用服务相关角色,该角色包括允许安全数据湖从源收集数据并向订阅用户授予访问权限的权限和信任策略。最佳实践是在所有支持的 AWS 区域中启用安全数据湖。这让安全数据湖可以收集和保留与未经授权或异常活动相关的数据,即使在您未主动使用的区域中也是如此。如果未在所有支持的区域中启用安全数据湖,则将削弱其收集全球服务数据的能力。

问:什么是汇总区域?

汇总区域是聚合来自其他指定区域的安全日志和事件的区域。启用安全数据湖时,您可以指定一个或多个汇总区域,以协助您遵循区域合规性要求。

问:安全湖支持哪些区域?

有关安全数据湖区域可用性,请参阅亚马逊安全数据湖端点页面。