Amazon Security Lake – Preise

Standard-S3-Gebühren gelten (siehe Amazon-S3-Preise) 

Beispiel 1: Aktivieren von Security Lake in einer Region mit bereits vorhandenem CloudTrail-Organisationspfad

Sie geben einen neuen Abrechnungsmonat für Ihre Bereitstellung in USA Ost (Nord-Virginia) ein. Security Lake hat 256 GB an CloudTrail-Verwaltungsereignissen, 256 GB an Cloudtrail-Datenereignissen (z. B. S3-API-Operationen auf Objektebene) und 1 024 GB an anderen AWS-Sicherheitsereignisdaten (aus Amazon-VPC-Flussprotokollen, Amazon-Route-53-Resolver-Abfrageprotokollen aufgenommen, oder Sicherheitserkenntnissen von AWS Security Hub).
Die Security-Lake-Gebühren in USA Ost (Nord-Virginia) würden wie folgt berechnet:

512 GB CloudTrail-Protokolle, aufgenommen zu 0,75 USD pro GB = 512 * 0,75 USD = 384,00 USD
1 024 GB anderer AWS-Protokolle, die zu 0,25 USD pro GB aufgenommen werden = 1 024 * 0,25 USD = 256,00 USD
1 536 GB Datennormalisierungsgebühren zu 0,035 USD pro GB = 1 536 * 0,035 USD = 53,76 USD
Die monatlichen Gesamtkosten für Ihre Security Lake-Rechnung belaufen sich auf 693,76 USD.

Beispiel 2: Aktivieren von Security Lake in einer Region und Erstellen eines neuen CloudTrail-Organisationspfads

Falls Sie keinen bereits bestehenden AWS-CloudTrail-Organisationspfad für Ihre AWS-Organisation haben, müssen Sie einen erstellen, bevor Sie CloudTrail-Verwaltungsereignisse in Security Lake aufnehmen. Die Bereitstellung eines Organisations-Trails ist eine empfohlene bewährte Methode, und AWS bietet Tools wie AWS Control Tower, um Ihre individuellen Konto-Trails zu einem Organisations-Trail zu migrieren. Wenn Sie sich für die Bereitstellung eines neuen Organisationspfads für Ihr Unternehmen entscheiden und bereits über individuelle Kontopfade verfügen, erhöht sich Ihre CloudTrail-Rechnung aufgrund der Bereitstellung zusätzlicher Kopien von Verwaltungsereignissen aus dem neuen Organisationspfad.

Sie geben einen neuen Abrechnungsmonat für Ihre Bereitstellung in USA Ost (Nord-Virginia) ein. Security Lake hat 256 GB an CloudTrail-Verwaltungsereignissen, 256 GB an Cloudtrail-Datenereignissen (z. B. S3-API-Operationen auf Objektebene) und 1 024 GB an anderen AWS-Sicherheitsereignisdaten (aus Amazon-VPC-Flussprotokollen, Amazon-Route-53-Resolver-Abfrageprotokollen aufgenommen, oder Sicherheitserkenntnissen von AWS Security Hub).

Sie haben eine bestehende CloudTrail-Verwaltungsnutzung über Ihre Mitgliedskontenpfade von 186 991 773 Ereignissen (was dem Volumen von 256 GB an Verwaltungsereignissen entspricht, die Sie in Security Lake für eine durchschnittliche Verwaltungsereignisgröße von 1 470 Byte aufnehmen).. Sie erhalten nur eine Kopie dieser Ereignisse in CloudTrail, sodass für sie keine zusätzlichen Kosten anfallen (siehe die Seite für das kostenlose AWS-Kontingent).

Die monatlichen Gesamtkosten für Ihre Security Lake-Rechnung belaufen sich auf 693,76 USD (wie in Beispiel 1).

Die zusätzlichen CloudTrail-Gebühren in Ihrer CloudTrail-Rechnung würden wie folgt berechnet:
186 991 773 Ereignisse, die als Kopien von Verwaltungsereignissen zu 2,00 USD pro 100 000 Ereignisse geliefert werden = 186 991 773 / 100 000 x 2,00 USD = 3.739,84 USD

Die gesamten zusätzlichen CloudTrail-Gebühren für alle Mitgliedskonten würden 3 739,84 USD betragen.
Weitere Informationen erhalten Sie unter AWS-CloudTrail-Preise.

Hinweis: Die Nutzung von Amazon Security Lake wird in binären Gigabyte berechnet, wobei 1 GB 2^30 Byte entspricht. Diese Maßeinheit wird auch als Gigabyte bezeichnet, definiert von der Internationalen Elektrotechnischen Kommission (IEC). In ähnlicher Weise entspricht 1 TB 2^40 Byte, was 1 024 GB entspricht.

Gibt es eine kostenlose Testversion von Security Lake?
Ja. Sie können Security Lake mit jedem neuen Konto mit dem kostenlosen AWS-Kontingent 15 Tage lang gratis testen. Während der kostenlosen Testversion haben Sie Zugriff auf alle Features.

Wie kann ich die Kosten des ersten Einsatzes von Security Lake in meinem Konto schätzen?
A: Sie können den Service aktivieren und 15 Tage lang die kostenlose Testversion nutzen. Während dieses Zeitraums haben Sie in der Security-Lake-Konsole Zugriff auf die Registerkarte „Nutzung“, wo Ihre Nutzung geschätzt wird. Die Preise von Security Lake basieren auf zwei Dimensionen: Datenerfassung und Datennormalisierung.

Die monatlichen Kosten werden durch das Volumen der von AWS-Services erfassten Protokoll- und Ereignisdaten pro Gigabyte bestimmt. Ihre Daten werden in Amazon S3 gespeichert und es fallen standardmäßige Amazon-S3-Gebühren an. Security Lake orchestriert auch andere AWS-Services in Ihrem Namen. Für genutzte AWS-Services und eingerichtete Ressourcen als Teil Ihres Security Data Lake fallen separate Gebühren an. Siehe Preise für AWS Glue, Amazon EventBridge, AWS Lambda, Amazon SQS und Amazon SNS. Sie sind für die Kosten verantwortlich, die Ihnen durch das Abfragen von Daten aus Security Lake und das Speichern von Abfrageergebnissen entstehen.

Wie hilft mir Security Lake bei der Optimierung meiner Strategie zur Aufbewahrung von Protokollen?
Viele Kunden müssen große Mengen an sicherheitsrelevanten Protokollen speichern, um Compliance-Vorgaben zu erfüllen und gleichzeitig die Speicherkosten und Sicherheitsanalysen zu optimieren. Mit Security Lake können Kunden ihre Sicherheitsprotokolle kostengünstig in ihrem Amazon-S3-Konto speichern. Security Lake vereinfacht die Datenverwaltung durch anpassbare Aufbewahrungseinstellungen und automatische Speicherstufen. Die Anwendung partitioniert und konvertiert eingehende Sicherheitsdaten automatisch in ein speicher- und abfrageeffizientes Apache-Parquet-Format. Security Lake verwendet das offene Tabellenformat Apache Iceberg, um die Abfrageleistung für Ihre Sicherheitsanalysen zu verbessern.

Kunden erhalten Flexibilität bei der Verwaltung ihrer Protokolle und können wählen, welche Protokolle sie aus Gründen der Compliance aufbewahren, welche sie zur genaueren Analyse an ihre Analyselösungen senden und welche sie zur Untersuchung von Vorfällen abfragen möchten. Security Lake hilft Kunden, Protokolle aufzubewahren, deren Speicherung bisher nicht möglich war, und die Speicherung über die typischen Aufbewahrungsrichtlinien im Rahmen des Sicherheitsinformations- und Ereignismanagements (SIEM) hinaus zu erweitern.

Wie überwache ich die Ausgaben in einer Konfiguration mit mehreren Konten?
A: Erfolgt die Bereitstellung in einer Konfiguration mit mehreren Konten, wird die Nutzung im Verwaltungskonto in AWS Organization zusammengeführt, um die Gesamtnutzung für alle Konten und eine Aufschlüsselung für jedes Konto anzuzeigen. So können Sie die Security-Lake-Ausgaben in Ihrem gesamten Unternehmen überprüfen und überwachen. Auf der Seite Nutzung der Security-Lake-Konsole können Sie Ihre aktuelle Nutzung sowie zukünftige Nutzungs- und Kostenschätzungen überprüfen. Wenn Sie derzeit eine 15-tägige kostenlose Testversion nutzen, können Sie anhand Ihrer Nutzung während des Testzeitraums Ihre Kosten für die Nutzung von Security Lake nach Ablauf dieses Zeitraums abschätzen.

Ist es kostenpflichtig, Daten von Dritten oder eigene Daten in Security Lake zu zentralisieren?
A: Nein. Für die Zentralisierung von Daten Dritter oder Ihrer eigenen Daten in Security Lake fallen keine Security-Lake-Gebühren an. Ihre Daten werden in Amazon S3 gespeichert und es fallen standardmäßige Amazon-S3-Gebühren an.

Wie sieht die Preisgestaltung für direkt verbrauchte AWS-Protokolle im Vergleich zur Zentralisierung über Amazon Security Lake aus?
A: Security Lake erhebt die gleiche Gebühr wie der ursprüngliche Service, zuzüglich einer Konvertierungsgebühr für die Normalisierung von Protokollen und Ereignissen, die von nativ unterstützten AWS-Services stammen, in das OCSF-Schema und die Umwandlung in das Apache-Parquet-Format (0,035 USD pro GB). Für AWS-CloudTrail-Quellen basiert der Preis auf Datenereignissen, die mit 0,10 USD pro 100 000 gelieferte Datenereignisse berechnet werden. Security Lake bietet einen vergleichbaren Preis, basiert aber stattdessen auf GB an Daten. Andere Protokolle folgen den Amazon-CloudWatch-Preisen für verkaufte Protokolle.

Werden dem delegierten Konto alle konsolidierten Protokolle in Rechnung gestellt oder werden alle Konten in einer AWS-Organisation individuell auf der Grundlage ihrer Nutzung abgerechnet?
Das delegierte Konto, auf dem Security Lake läuft, wird nicht für alle Konten in Rechnung gestellt. Bei diesem Konto fallen nur die Kosten für die Protokollerfassung für das Konto an, zusammen mit den Kosten für die Data-Lake-Komponenten, die von Security Lake in diesem Konto orchestriert werden, wie Amazon S3, AWS Lambda, Amazon SQS, AWS Glue oder Amazon EventBridge. Sie sehen die Nutzung für jedes Konto auf der jeweiligen Rechnung, aber die Rechnungen der Mitgliedskonten dienen nur zu Informationszwecken, da die konsolidierte Rechnung vom Verwaltungskonto der Organisation bezahlt wird. Diese Abrechnungsstruktur ist Standard für alle Services, die die Abrechnungskonsolidierung der AWS-Organisation verwenden.

Ist Security Lake eine zusätzliche Ausgabe?
Nein. Mit Security Lake lassen sich Ihre bestehenden Protokollsammlungen rationalisieren. Indem Sie doppelte Kopien von AWS CloudTrail oder einzelnen VPC-Flow-Protokollen abschaffen, können Sie alle Kosten ausgleichen, die durch Security Lake entstehen.