Questions fréquentes sur Amazon Security Lake

Questions d’ordre général

Amazon Security Lake est un service qui automatise le sourcing, l'agrégation, la normalisation et la gestion des données de sécurité de l'ensemble de votre organisation dans un lac de données de sécurité stocké dans votre compte. Un lac de données de sécurité vous permet de rendre les données de sécurité de votre organisation largement accessibles à vos solutions d'analytique de sécurité préférées pour alimenter les cas d'utilisation tels que la détection des menaces, les enquêtes et la réponse aux incidents.

Security Lake centralise automatiquement les données de sécurité provenant des environnements AWS, des fournisseurs SaaS, des sites et des sources cloud dans un lac de données spécialement conçu et stocké dans votre compte. Utilisez Security Lake pour analyser les données de sécurité, mieux comprendre la sécurité dans l'ensemble de l'organisation et améliorer la protection de vos charges de travail, de vos applications et de vos données. Les données liées à la sécurité incluent les journaux de service et d'application, les alertes de sécurité et les renseignements sur les menaces (comme les adresses IP malveillantes connues), qui constituent la source de vérité pour la détection, l'enquête et la résolution des incidents de sécurité. Les bonnes pratiques de sécurité requièrent un processus efficace de la gestion des données des événements de sécurité et des journaux. Security Lake automatise ce processus et facilite les solutions qui effectuent les détections d'analytique de streaming, l'analytique des séries temporelles, l'analyse du comportement des utilisateurs et des identités (UEBA, User and Entity Behaviour Analytics), l'orchestration et la réponse de la sécurité (SOAR, Security Orchestration and Response) et la réponse aux incidents.

L'Open Cybersecurity Schema Framework (OCSF) est un schéma open source collaboratif pour les journaux et les événements de sécurité. Il inclut une taxonomie des données indépendante des fournisseurs qui réduit la nécessité de normaliser les données de journaux et d'événements de sécurité à travers une variété de produits, de services et d'outils open source.

Security Lake collecte automatiquement les journaux des services suivants :

  • AWS CloudTrail
  • Amazon Virtual Private Cloud (VPC)
  • Amazon Route 53
  • Amazon Simple Storage Service (S3)
  • AWS Lambda
  • Amazon Elastic Kubernetes Service (EKS) 
  • AWS Web Application Firewall (WAF)

Il collecte également les résultats de sécurité via AWS Security Hub pour les services suivants :

  • AWS Config
  • AWS Firewall Manager
  • Amazon GuardDuty
  • AWS Health
  • Analyseur d'accès à la gestion des identités et des accès (IAM) AWS
  • Amazon Inspector
  • Amazon Macie
  • Gestionnaire de correctifs d'AWS Systems Manager

En outre, vous pouvez ajouter des données provenant de solutions de sécurité tierces, d'autres sources cloud et vos propres données personnalisées qui prennent en charge l'OCSF. Ces données comprennent les journaux des applications internes ou de l'infrastructure réseau que vous avez convertis au format OCSF.

Oui, vous pouvez essayer le service gratuitement pendant 15 jours avec n’importe quel nouveau compte Security Lake dans le cadre de l’offre gratuite d’AWS. Vous avez accès à l'ensemble des fonctionnalités pendant l'essai gratuit.

Security Lake automatise l'approvisionnement, l'agrégation, la normalisation et la gestion des données liées à la sécurité provenant du cloud, sur site et de sources personnalisées dans un lac de données de sécurité stocké sur votre compte AWS. Security Lake a adopté l'OCSF, un standard ouvert. Avec la prise en charge du format OCSF, le service peut normaliser et combiner les données de sécurité provenant d'AWS et d'un large éventail de sources de données de sécurité professionnelles. AWS CloudTrail Lake,est un lac de sécurité et d'audit géré. Il vous permet d'agréger, de stocker de manière immuable et d'interroger les journaux d'audit et de sécurité provenant d'AWS (événements CloudTrail, éléments de configuration d'AWS Config, preuves d'audit d'AWS Audit Manager) et de sources externes (applications internes ou SaaS hébergées sur site ou dans le cloud, machines virtuelles ou conteneurs). Ces données peuvent ensuite être stockées pendant 7 ans au maximum dans un magasin de données d'événements CloudTrail Lake, sans frais supplémentaires, et analysées à l'aide du moteur de requêtes SQL intégré de CloudTrail Lake.

L'activation de CloudTrail est une condition préalable à la collecte et à la diffusion des journaux d'événements de gestion CloudTrail vers les compartiments S3 des clients via n'importe quel service AWS. Par exemple, pour transmettre les journaux d'événements de gestion CloudTrail à Amazon CloudWatch logs, il faut d'abord créer une piste. Étant donné que Security Lake transmet les événements de gestion CloudTrail de l’organisation à un compartiment S3 appartenant au client, il est nécessaire de disposer d’un journal de suivi d’organisation dans CloudTrail dans lequel les événements de gestion sont activés.

Security Lake peut recevoir les résultats de sécurité de 50 solutions via l'intégration d'AWS Security Hub. Pour en savoir plus, consultez les partenaires AWS Security Hub. Il existe également un nombre croissant de solutions capables de fournir des données au format OCSF et qui sont intégrées à Amazon Security Lake. Pour en savoir plus, consultez les partenaires Amazon Security Lake.

Lorsque vous ouvrez la console Security Lake pour la première fois, choisissez Get Started, puis sélectionnez Activer. Amazon Security Lake utilise un rôle lié aux services qui inclut la politique d'autorisations et d'approbation permettant à Amazon Security Lake de collecter des données à partir de vos sources et d'accorder un accès aux abonnés. Il est recommandé d'activer Amazon Security Lake dans toutes les Régions AWS prises en charge. Cela permet à Security Lake de collecter et de conserver des données liées à des activités non autorisées ou inhabituelles, même dans les régions que vous n'utilisez pas activement. Si Amazon Security Lake n'est pas activé dans toutes les Régions prises en charge, sa capacité à collecter des données qui impliquent des services globaux est réduite.

Une Région rollup est une Région AWS qui agrège les journaux et les événements de sécurité à partir d'autres Régions spécifiées. Lorsque vous activez Amazon Security Lake, vous pouvez spécifier une ou plusieurs Régions rollup, ce qui peut vous aider à respecter les exigences de la Région en matière de conformité.

Pour en savoir plus sur la disponibilité régionale de Security Lake, consultez la page des points de terminaison Amazon Security Lake.