Questions fréquentes sur Amazon Security Lake

Q : Qu'est-ce qu'Amazon Security Lake ?

Amazon Security Lake est un service qui automatise le sourcing, l'agrégation, la normalisation et la gestion des données de sécurité de l'ensemble de votre organisation dans un lac de données de sécurité stocké dans votre compte. Un lac de données de sécurité vous permet de rendre les données de sécurité de votre organisation largement accessibles à vos solutions d'analytique de sécurité préférées pour alimenter les cas d'utilisation tels que la détection des menaces, les enquêtes et la réponse aux incidents.

Q : Pourquoi utiliser Security Lake ?

Security Lake centralise automatiquement les données de sécurité provenant des environnements AWS, des fournisseurs SaaS, des sites et des sources cloud dans un lac de données spécialement conçu et stocké dans votre compte. Utilisez Security Lake pour analyser les données de sécurité, mieux comprendre la sécurité dans l'ensemble de l'organisation et améliorer la protection de vos charges de travail, de vos applications et de vos données. Les données liées à la sécurité incluent les journaux de service et d'application, les alertes de sécurité et les renseignements sur les menaces (comme les adresses IP malveillantes connues), qui constituent la source de vérité pour la détection, l'enquête et la résolution des incidents de sécurité. Les bonnes pratiques de sécurité requièrent un processus efficace de la gestion des données des événements de sécurité et des journaux. Security Lake automatise ce processus et facilite les solutions qui effectuent les détections d'analytique de streaming, l'analytique des séries temporelles, l'analyse du comportement des utilisateurs et des identités (UEBA, User and Entity Behaviour Analytics), l'orchestration et la réponse de la sécurité (SOAR, Security Orchestration and Response) et la réponse aux incidents.

Q : Qu'est-ce que l'Open Cybersecurity Schema Framework ?

L'Open Cybersecurity Schema Framework (OCSF) est un schéma open source collaboratif pour les journaux et les événements de sécurité. Il inclut une taxonomie des données indépendante des fournisseurs qui réduit la nécessité de normaliser les données de journaux et d'événements de sécurité à travers une variété de produits, de services et d'outils open source.

Q : Quelles sont les sources de journaux et d'événements prises en charge par Security Lake ?

Security Lake collecte automatiquement les journaux des services suivants :

  • AWS CloudTrail
  • Amazon Virtual Private Cloud (VPC)
  • Amazon Route 53
  • Amazon Simple Storage Service (S3)
  • AWS Lambda

Il collecte également les résultats de sécurité via AWS Security Hub pour les services suivants :

  • AWS Config
  • AWS Firewall Manager
  • Amazon GuardDuty
  • AWS Health
  • Analyseur d'accès à la gestion des identités et des accès (IAM) AWS
  • Amazon Inspector
  • Amazon Macie
  • Gestionnaire de correctifs d'AWS Systems Manager

En outre, vous pouvez ajouter des données provenant de solutions de sécurité tierces, d'autres sources cloud et vos propres données personnalisées qui prennent en charge l'OCSF. Ces données comprennent les journaux des applications internes ou de l'infrastructure réseau que vous avez convertis au format OCSF.

Q : Existe-t-il un essai gratuit de Security Lake ?

Oui, vous pouvez essayer le service gratuitement pendant 15 jours avec tout nouveau compte Security Lake dans le cadre de l' offre gratuite d'AWS. Vous avez accès à l'ensemble des fonctionnalités pendant l'essai gratuit.

Q : Quelles sont les différences entre Security Lake et CloudTrail Lake ?

Security Lake automatise l'approvisionnement, l'agrégation, la normalisation et la gestion des données liées à la sécurité provenant du cloud, sur site et de sources personnalisées dans un lac de données de sécurité stocké sur votre compte AWS. Security Lake a adopté l'OCSF, un standard ouvert. Avec la prise en charge du format OCSF, le service peut normaliser et combiner les données de sécurité provenant d'AWS et d'un large éventail de sources de données de sécurité professionnelles. AWS CloudTrail Lake,est un lac de sécurité et d'audit géré. Il vous permet d'agréger, de stocker de manière immuable et d'interroger les journaux d'audit et de sécurité provenant d'AWS (événements CloudTrail, éléments de configuration d'AWS Config, preuves d'audit d'AWS Audit Manager) et de sources externes (applications internes ou SaaS hébergées sur site ou dans le cloud, machines virtuelles ou conteneurs). Ces données peuvent ensuite être stockées pendant 7 ans au maximum dans un magasin de données d'événements CloudTrail Lake, sans frais supplémentaires, et analysées à l'aide du moteur de requêtes SQL intégré de CloudTrail Lake.

Q : Pourquoi ai-je besoin d'un historique de l'organisation pour transmettre les événements de gestion CloudTrail à Security Lake ?

L'activation de CloudTrail est une condition préalable à la collecte et à la diffusion des journaux d'événements de gestion CloudTrail vers les compartiments S3 des clients via n'importe quel service AWS. Par exemple, pour transmettre les journaux d'événements de gestion CloudTrail à Amazon CloudWatch logs, il faut d'abord créer une piste. Étant donné que Security Lake fournit des événements de gestion CloudTrail au niveau de l'organisation à un compartiment S3 appartenant au client, il est nécessaire de disposer d'une piste d'organisation dans CloudTrail avec des événements de gestion activés.

Q : Quels partenaires AWS travaillent avec Security Lake ?

Security Lake peut recevoir les résultats de sécurité de 50 solutions via l'intégration d'AWS Security Hub. Pour en savoir plus, consultez les partenaires AWS Security Hub. Il existe également un nombre croissant de solutions capables de fournir des données au format OCSF et qui sont intégrées à Amazon Security Lake. Pour en savoir plus, consultez les partenaires Amazon Security Lake.

Q : Qu'est-ce que l'Open Cybersecurity Schema Framework (OCSF) ?

L'OCSF est un schéma collaboratif à code source ouvert pour les journaux et les événements de sécurité. Il inclut une taxonomie des données indépendante des fournisseurs qui réduit la nécessité de normaliser les données de journaux et d'événements de sécurité à travers une variété de produits, de services et d'outils open source.

Q : Comment activer Amazon Security Lake ?

Lorsque vous ouvrez la console Security Lake pour la première fois, choisissez Get Started, puis sélectionnez Activer. Amazon Security Lake utilise un rôle lié aux services qui inclut la politique d'autorisations et d'approbation permettant à Amazon Security Lake de collecter des données à partir de vos sources et d'accorder un accès aux abonnés. Il est recommandé d'activer Amazon Security Lake dans toutes les Régions AWS prises en charge. Cela permet à Security Lake de collecter et de conserver des données liées à des activités non autorisées ou inhabituelles, même dans les régions que vous n'utilisez pas activement. Si Amazon Security Lake n'est pas activé dans toutes les Régions prises en charge, sa capacité à collecter des données qui impliquent des services globaux est réduite.

Q : Qu'est-ce qu'une Région rollup ?

Une Région rollup est une Région AWS qui agrège les journaux et les événements de sécurité à partir d'autres Régions spécifiées. Lorsque vous activez Amazon Security Lake, vous pouvez spécifier une ou plusieurs Régions rollup, ce qui peut vous aider à respecter les exigences de la Région en matière de conformité.

Q : Quelles sont les régions prises en charge par Security Lake ?

La disponibilité régionale de Security Lake est répertoriée sur la page des points de terminaison Amazon Security Lake.