Preguntas frecuentes sobre Amazon Security Lake

Amazon Security Lake es un servicio que automatiza el abastecimiento, la agregación, la normalización y la administración de datos de seguridad en toda su organización en un lago de datos de seguridad almacenado en su cuenta. Un lago de datos de seguridad ayuda a que los datos de seguridad de su organización sean ampliamente accesibles para sus soluciones de análisis de seguridad preferidas a fin de impulsar casos de uso como la detección de amenazas, la investigación y la respuesta a incidentes.

Security Lake centraliza automáticamente los datos de seguridad de entornos de AWS, proveedores de SaaS y orígenes en las instalaciones y en la nube en un lago de datos diseñado especialmente que se almacena en su cuenta. Utilice Security Lake para analizar los datos de seguridad, obtener una comprensión más completa de la seguridad en toda la organización y mejore la protección de sus cargas de trabajo, aplicaciones y datos. Los datos relacionados con la seguridad incluyen registros de servicios y aplicaciones, alertas de seguridad e inteligencia de amenazas (como direcciones IP maliciosas conocidas), que son de vital importancia para detectar, investigar y remediar incidentes de seguridad. Las prácticas recomendadas de seguridad requieren un proceso eficaz de administración de datos de eventos de seguridad y registro. Security Lake automatiza este proceso y facilita las soluciones que realizan detecciones de análisis de transmisión, análisis de series temporales, análisis de comportamiento de usuarios y entidades (UEBA), orquestación y remediación de seguridad (SOAR) y respuesta a incidentes.

El Open Cybersecurity Schema Framework (OCSF) es un esquema colaborativo de código abierto para registros y eventos de seguridad. Incluye una taxonomía de datos independiente del proveedor que reduce la necesidad de normalizar el registro de seguridad y los datos de eventos en varios productos, servicios y herramientas de código abierto.

Security Lake recopila automáticamente los registros de los siguientes servicios:

• AWS CloudTrail
  
• Amazon Virtual Private Cloud (VPC)
  
• Amazon Route 53
  
• Amazon Simple Storage Service (S3)
  
• AWS Lambda
• Amazon Elastic Kubernetes Service (EKS) 

También recopila los resultados de seguridad a través de AWS Security Hub para los siguientes servicios:

• AWS Config
  
• AWS Firewall Manager
  
• Amazon GuardDuty
  
• AWS Health
  
• Analizador de acceso de AWS Identity and Access Management (IAM)
  
• Amazon Inspector
  
• Amazon Macie
  
• AWS Systems Manager Patch Manager
  

Además, puede agregar datos de soluciones de seguridad de terceros, otros orígenes en la nube y sus propios datos personalizados compatibles con el OCSF. Estos datos incluyen registros de aplicaciones internas o infraestructura de red que ha convertido al formato del OCSF.

Sí, puede probar el servicio durante 15 días sin costo alguno con cualquier cuenta nueva de Security Lake con el nivel gratuito de AWS. Durante la prueba gratuita, tendrá acceso al conjunto completo de características.

Security Lake automatiza el abastecimiento, la agregación, la normalización y la administración de datos relacionados con la seguridad procedentes de orígenes personalizados, locales y en la nube en un lago de datos de seguridad almacenado en su cuenta de AWS. Security Lake ha adoptado el OCSF, un estándar abierto. Gracias a la compatibilidad con el OCSF, el servicio puede normalizar y combinar los datos de seguridad de AWS y una amplia gama de orígenes de datos empresariales de seguridad. AWS CloudTrail Lake es un lago de seguridad y auditoría administrado. Permite agregar, almacenar de forma inmutable y consultar registros de auditoría y seguridad de AWS (eventos de CloudTrail, elementos de configuración de AWS Config, pruebas de auditoría de AWS Audit Manager) y de orígenes externos (aplicaciones internas o SaaS alojadas en las instalaciones o en la nube, máquinas virtuales o contenedores). Luego, estos datos se pueden almacenar durante un máximo de 7 años en un almacén de datos de eventos de CloudTrail Lake, sin costo adicional, e investigarse con el motor de consultas SQL integrado de CloudTrail Lake.

La activación de CloudTrail es un requisito previo para recopilar y entregar los registros de eventos de administración de CloudTrail a los buckets de S3 de los clientes a través de cualquier servicio de AWS. Por ejemplo, para entregar los registros de eventos de administración de CloudTrail a los registros de Amazon CloudWatch, primero se debe crear un registro. Dado que Security Lake entrega los eventos de administración de CloudTrail de nivel de organización a un bucket de S3 propiedad del cliente, requiere un seguimiento de la organización en CloudTrail con los eventos de administración activados.

Security Lake puede recibir los resultados de seguridad de 50 soluciones mediante la integración de AWS Security Hub. Para obtener más información, consulte AWS Security Hub Partners (Socios de AWS Security Hub). También hay un número creciente de soluciones tecnológicas que pueden proporcionar datos en el formato del OCSF y que se pueden integrar con Security Lake. Para obtener más información, consulte Socios de Amazon Security Lake.

Cuando abra la consola de Security Lake por primera vez, seleccione Get Started (Comenzar) y, a continuación, seleccione Enable (Habilitar). Amazon Security Lake utiliza un rol vinculado al servicio que incluye los permisos y la política de confianza que permite que Amazon Security Lake recopile datos de sus orígenes y otorgue acceso a los suscriptores. Es una práctica recomendada habilitar Amazon Security Lake en todas las regiones de AWS admitidas. Esto permite que Amazon Security Lake recopile y retenga datos relacionados con actividades inusuales o no autorizadas, incluso en regiones que no esté utilizando activamente. Si Amazon Security Lake no está habilitado en todas las regiones admitidas, se reduce su capacidad para recopilar datos que involucran servicios globales.

Una región de acumulación es una región que agrega registros de seguridad y eventos de otras regiones especificadas. Cuando habilite Amazon Security Lake, puede especificar una o más regiones acumuladas, lo que puede ayudarlo a cumplir con los requisitos de cumplimiento regionales.

La disponibilidad regional de Security Lake aparece en la página de puntos de conexión de Amazon Security Lake.