Preguntas frecuentes sobre Amazon Security Lake

Amazon Security Lake es un servicio que automatiza el abastecimiento, la agregación, la normalización y la administración de datos de seguridad en toda su organización en un lago de datos de seguridad almacenado en su cuenta. Un lago de datos de seguridad ayuda a que los datos de seguridad de su organización sean ampliamente accesibles para sus soluciones de análisis de seguridad preferidas a fin de impulsar casos de uso como la detección de amenazas, la investigación y la respuesta a incidentes.

Amazon Security Lake centraliza automáticamente los datos de seguridad de orígenes personalizados, locales y en la nube en un lago de datos diseñado especialmente que se almacena en su cuenta. Utilice Security Lake para analizar los datos de seguridad y comprender más a fondo la seguridad en toda la organización. También puede usar Security Lake para mejorar la protección de sus cargas de trabajo, aplicaciones y datos. Los datos relacionados con la seguridad incluyen registros de servicios y aplicaciones, alertas de seguridad e inteligencia de amenazas (como direcciones IP maliciosas conocidas), que son la fuente de la verdad para detectar, investigar y remediar incidentes de seguridad. Las mejores prácticas de seguridad requieren un proceso eficaz de administración de datos de eventos de seguridad y registro. Security Lake automatiza este proceso y facilita las soluciones que realizan detecciones de análisis de transmisión, análisis de series temporales, análisis de comportamiento de usuarios y entidades (UEBA), orquestación y remediación de seguridad (SOAR) y respuesta a incidentes. 

Amazon Security Lake recopila automáticamente registros para AWS CloudTrail, la nube virtual privada (VPC) de Amazon, Amazon Route 53, Amazon Simple Storage Service (S3) y AWS Lambda. También recopila hallazgos de seguridad a través de AWS Security Hub para AWS Config, AWS Firewall Manager, Amazon GuardDuty, AWS Health, AWS Identity and Access Management (IAM) Access Analyzer, Amazon Inspector, Amazon Macie y AWS Systems Manager Patch Manager. También puede agregar datos de soluciones de seguridad de terceros compatibles con el marco de esquema abierto de ciberseguridad (OCSF) y sus datos personalizados. Estos datos incluyen registros de aplicaciones internas o infraestructura de red que ha convertido al formato del OCSF.

Amazon Security Lake adoptó el OCSF, un estándar abierto, que ayuda a normalizar automáticamente los hallazgos de seguridad de más de 50 soluciones integradas a través de AWS Security Hub. Para obtener más información, consulte Socios de AWS Security Hub. También hay un número creciente de soluciones tecnológicas que pueden proporcionar datos en formato OCSF y se han integrado con Amazon Security Lake. Para obtener más información, consulte Socios de Amazon Security Lake.

El OSCF es un esquema colaborativo de código abierto para registros y eventos de seguridad. Incluye una taxonomía de datos independiente del proveedor que reduce la necesidad de normalizar el registro de seguridad y los datos de eventos en varios productos, servicios y herramientas de código abierto.

Cuando abra la consola de Amazon Security Lake por primera vez, elija Get Started (Comenzar) y luego Enable (Habilitar). Amazon Security Lake utiliza un rol vinculado al servicio que incluye los permisos y la política de confianza que permite que Amazon Security Lake recopile datos de sus fuentes y otorgue acceso a los suscriptores. Es una buena práctica habilitar Amazon Security Lake en todas las regiones de AWS admitidas. Esto permite que Amazon Security Lake recopile y retenga datos relacionados con actividades inusuales o no autorizadas, incluso en regiones que no está utilizando activamente. Si Amazon Security Lake no está habilitado en todas las regiones admitidas, se reduce su capacidad para recopilar datos que involucran servicios globales.

Una región de acumulación es una región de AWS que agrega registros de seguridad y eventos de otras regiones especificadas. Cuando habilita Amazon Security Lake, puede especificar una o más regiones acumuladas, lo que puede ayudarlo a cumplir con los requisitos de cumplimiento regionales.