Häufig gestellte Fragen zu Amazon Security Lake

Amazon Security Lake ist ein Service, der die Beschaffung, Aggregation, Normalisierung und das Datenmanagement von Sicherheitsdaten in Ihrem Unternehmen in einem Security Data Lake automatisiert, der in Ihrem Konto gespeichert ist. Ein Security Data Lake hilft dabei, die Sicherheitsdaten Ihres Unternehmens für Ihre bevorzugten Sicherheitsanalyselösungen umfassend zugänglich zu machen, um Anwendungsfälle wie die Erkennung von Bedrohungen, Untersuchungen und die Reaktion auf Vorfälle zu unterstützen.

Security Lake zentralisiert automatisch Sicherheitsdaten von AWS-Umgebungen, SaaS-Anbietern, On-Premises und aus Cloud-Quellen in einem speziell entwickelten Data Lake, der in Ihrem Konto gespeichert ist. Verwenden Sie Security Lake, um Sicherheitsdaten zu analysieren, ein umfassenderes Verständnis der Sicherheit in dem gesamten Unternehmen zu erlangen und den Schutz Ihrer Workloads, Anwendungen und Daten zu verbessern. Zu den sicherheitsrelevanten Daten gehören Service- und Anwendungsprotokolle, Sicherheitswarnungen und Bedrohungsdaten (z. B. bekannte böswillige IP-Adressen), die die Informationsquelle für die Erkennung, Untersuchung und Behebung von Sicherheitsvorfällen sind. Bewährte Sicherheitsmethoden erfordern ein effektives Verfahren zur Verwaltung von Protokollen und Sicherheitsereignissen. Security Lake automatisiert diesen Prozess und erleichtert Lösungen, die Streaming-Analytics-Erkennungen, Zeitreihenanalysen, User and Entity Behavior Analysis (UEBA), Security Orchestration and Remediation (SOAR) und Incident Response durchführen.

Das Open Cybersecurity Schema Framework (OCSF) ist ein kollaboratives Open-Source-Schema für Sicherheitsprotokolle und Ereignisse. Es enthält eine herstellerunabhängige Datentaxonomie, die die Notwendigkeit der Normalisierung von Sicherheitsprotokoll- und Ereignisdaten über verschiedene Produkte, Services und Open-Source-Tools hinweg reduziert.

Security Lake sammelt automatisch Protokolle für die folgenden Dienste:

• AWS CloudTrail
  
• Amazon Virtual Private Cloud (VPC)
  
• Amazon Route 53
  
• Amazon Simple Storage Service (S3)
  
• AWS Lambda
• Amazon Elastic Kubernetes Service (EKS) 

Es sammelt auch Sicherheitserkenntnisse über AWS Security Hub für die folgenden Services:

• AWS Config
  
• AWS Firewall Manager
  
• Amazon GuardDuty
  
• AWS Health
  
• AWS Identity and Access Management (IAM) Access Analyzer
  
• Amazon Inspector
  
• Amazon Macie
  
• AWS Systems Manager Patch Manager
  

Darüber hinaus können Sie Daten aus Sicherheitslösungen von Drittanbietern, anderen Cloud-Quellen und Ihren eigenen benutzerdefinierten Daten hinzufügen, die das OCSF unterstützen. Diese Daten umfassen Protokolle von internen Anwendungen oder der Netzwerkinfrastruktur, die Sie in das OCSF-Format konvertiert haben.

Ja, Sie können den Service mit jedem neuen Konto bei Security Lake mit dem kostenlosen AWS-Kontingent 15 Tage lang kostenlos testen. Während der kostenlosen Testversion haben Sie Zugriff auf alle Funktionen.

Security Lake automatisiert die Beschaffung, Aggregation, Normalisierung und Verwaltung sicherheitsrelevanter Daten aus der Cloud, On-Premises und aus benutzerdefinierten Quellen in einem Sicherheits-Data-Lake, der in Ihrem AWS-Konto gespeichert ist. Security Lake hat den OCSF eingeführt, einen offenen Standard. Mit OCSF-Unterstützung kann der Service Sicherheitsdaten von AWS und einer breiten Palette von Sicherheitsquellen von Unternehmen normalisieren und kombinieren. AWS CloudTrail Lake ist ein verwalteter Prüfungs- und Sicherheits-Lake. Es ermöglicht Ihnen, Prüf- und Sicherheitsprotokolle von AWS (CloudTrail-Ereignisse, Konfigurationselemente aus AWS Config, Prüfungsnachweise von AWS Audit Manager) und externen Quellen (interne oder SaaS-Anwendungen, die vor Ort oder in der Cloud gehostet werden, virtuelle Maschinen oder Container) zu aggregieren, unveränderlich zu speichern und abzufragen. Diese Daten können dann bis zu 7 Jahre lang ohne zusätzliche Kosten in einem CloudTrail-Lake-Ereignisdatenspeicher gespeichert und mit der in CloudTrail Lake integrierten SQL-Abfrage-Engine untersucht werden.

Die Aktivierung von CloudTrail ist eine Voraussetzung für die Erfassung und Bereitstellung von CloudTrail-Management-Ereignisprotokollen an die S3-Buckets der Kunden über einen beliebigen AWS-Service. Um beispielsweise CloudTrail-Management-Ereignisprotokolle an Amazon CloudWatch Logs weiterzuleiten, muss zunächst ein Trail erstellt werden. Da Security Lake CloudTrail-Management-Ereignisse auf Organisationsebene an einen kundeneigenen S3-Bucket übermittelt, ist ein Organisationspfad in CloudTrail mit aktivierten Management-Ereignissen erforderlich.

Security Lake kann über die AWS-Security-Hub-Integration Sicherheitsergebnisse aus 50 Lösungen abrufen. Weitere Informationen finden Sie unter AWS-Security-Hub-Partner. Darüber hinaus gibt es eine wachsende Zahl von Technologielösungen, die Daten im OCSF-Format bereitstellen können und mit Security Lake integriert sind. Weitere Informationen finden Sie unter Amazon-Security-Lake-Partner.

Wenn Sie die Security-Lake-Konsole zum ersten Mal öffnen, wählen Sie Get Started und dann Enable. Security Lake verwendet eine serviceverknüpfte Rolle, die die Berechtigungen und die Vertrauensrichtlinie enthält, die es Security Lake ermöglicht, Daten aus Ihren Quellen zu sammeln und Abonnenten Zugriff zu gewähren. Es ist eine bewährte Methode, Security Lake in allen unterstützten AWS-Regionen zu aktivieren. Dadurch kann Security Lake Daten sammeln und aufbewahren, die mit unbefugten oder ungewöhnlichen Aktivitäten verbunden sind, selbst in Regionen, die Sie nicht aktiv nutzen. Wenn Security Lake nicht in allen unterstützten Regionen aktiviert ist, ist die Fähigkeit, Daten zu sammeln, die globale Services betreffen, eingeschränkt.

Eine Rollup-Region ist eine Region, die Sicherheitsprotokolle und Ereignisse aus anderen angegebenen Regionen zusammenfasst. Wenn Sie Security Lake aktivieren, können Sie eine oder mehrere Rollup-Regionen angeben, die Sie bei der Einhaltung regionaler Compliance-Anforderungen unterstützen.

Die regionale Verfügbarkeit von Security Lake ist auf der Seite mit den Amazon-Security-Lake-Endpunkten aufgeführt.