Amazon Security Lake Funktionen

Security Lake erstellt einen speziell entwickelten Security Data Lake in Ihrem Konto. Security Lake sammelt Protokoll- und Ereignisdaten aus Cloud-, On-Premises- und benutzerdefinierten Datenquellen über Konten und Regionen hinweg. Der Service speichert die gesammelten Protokolle in Ihren Amazon Simple Storage Service (S3)-Buckets, sodass Sie die vollständige Kontrolle und das Eigentum über Ihre Daten behalten.

Security Lake sammelt automatisch Protokolle für die folgenden Dienste:

• AWS CloudTrail
• Amazon Virtual Private Cloud (VPC)
• Amazon Route 53
• Amazon Simple Storage Service (S3)
• AWS Lambda
• Amazon Elastic Kubernetes Service (EKS)
• AWS Web Application Firewall (WAF)

Es sammelt auch Ergebnisse von AWS Security Hub, einschließlich Erkenntnisse, die aus den folgenden Diensten stammen: 

• AWS Config
• AWS Firewall Manager
• Amazon GuardDuty
• AWS Health
• AWS Identity and Access Management (IAM) Access Analyzer
• Amazon Inspector
• Amazon Macie
• AWS Systems Manager Patch Manager

Security Lake normalisiert AWS-Protokolle und Sicherheitsergebnisse automatisch in OCSF. Sie können Daten von Sicherheitslösungen von Drittanbietern, anderen Cloud-Quellen und Ihre benutzerdefinierten Daten hinzufügen, z. B. Protokolle von internen Anwendungen oder Netzwerkinfrastrukturen, die Sie in das OCSF-Format konvertiert haben. Durch die Unterstützung von OCSF zentralisiert Security Lake Ihre Sicherheitsdaten, transformiert sie und macht sie für Ihre bevorzugten Analysetools verfügbar.

Sie können Security Lake in mehreren Regionen, in denen der Service verfügbar ist, und in mehreren AWS-Konten aktivieren. Sie können Sicherheitsdaten über Konten hinweg pro Region aggregieren oder Sicherheitsdaten aus mehreren Regionen in Rollup-Regionen konsolidieren. Security-Lake-Rollup-Regionen können Ihnen dabei helfen, regionale Compliance-Anforderungen einzuhalten.

Security Lake hilft Ihnen, die Einrichtung des Zugriffs auf Ihren Data Lake für Ihre Sicherheits- und Analysetools zu optimieren. Beispielsweise können Sie sich dafür entscheiden, nur Zugriff auf Datensätzen aus bestimmten Quellen wie CloudTrail zu gewähren. Es stehen zwei Zugriffsmodi zur Verfügung: Der Datenzugriff gibt eine Benachrichtigung aus, wenn neue Objekte in den Data Lake geschrieben werden, und den Abfragezugriff, der es Tools ermöglicht, die in Ihrem Sicherheits-Data-Lake gespeicherten Daten abzufragen.

Security Lake verwaltet den Lebenszyklus Ihrer Daten mit anpassbaren Aufbewahrungseinstellungen und Speicherkosten mit automatisierten Speicherstufen. Security Lake partitioniert und konvertiert eingehende Sicherheitsdaten automatisch in ein speicher- und abfrageeffizientes Apache-Parquet-Format. Security Lake unterstützt Apache-Iceberg-Tabellen im AWS-Glue-Katalog, sodass Sie Ihre Analysetools problemlos auf Abfragen mit erhöhter Leistung umstellen können.

AWS AppFabric normalisiert automatisch Audit-Logs für SaaS-Anwendungen in das OCSF-Format und übermittelt normalisierte OCSF-Daten an Security Lake. Mit der Kombination aus Security Lake und AppFabric können Sie Sicherheitsdaten aus wichtigen Datenquellen einfach aggregieren, normalisieren und visualisieren. Bei der AppFabric-Integration mit Security Lake fallen keine Gebühren für die Datennormalisierung oder Datenerfassung an. Es fallen die Standardgebühren für AppFabric an.

Amazon OpenSearch Service erleichtert Ihnen die Durchführung interaktiver Protokollanalysen und Anwendungsüberwachung in Echtzeit und lässt sich jetzt nahtlos in Security Lake integrieren. Auf diese Weise kann Ihr Unternehmen Ihre Sicherheitsdaten effizient suchen, analysieren und daraus verwertbare Erkenntnisse gewinnen. So können Sie komplexe Anforderungen an die Datentechnik optimieren und das volle Potenzial Ihrer Sicherheitsdaten ausschöpfen.  Zu den wichtigsten Vorteilen dieser Integration gehören die umfassende Sichtbarkeit und der Zugriff auf all Ihre Security Lake-Daten, ein schnellerer Sicherheitswert und eine vereinfachte Konfiguration. Darüber hinaus bietet diese Integration das Potenzial für ein verbessertes Kostenmanagement. Funktionen wie das direkte Abfragen von Security-Lake-Daten können dazu beitragen, Datenduplikationen zu vermeiden. Diese Integration bietet auch die On-Demand-Indizierung ausgewählter Datensätze für erweiterte Analysen sowie vorgefertigte Abfragen und Dashboards mithilfe des Open Cybersecurity Schema Framework (OCSF). Durch die Nutzung dieser Integration kann Ihr Unternehmen die Analyse- und Visualisierungsfunktionen von OpenSearch Service nutzen, um eingehendere Untersuchungen durchzuführen, die Bedrohungssuche zu verbessern und Ihre Sicherheitslage proaktiv zu überwachen und gleichzeitig Ihre Kosten potenziell zu senken.