Questions fréquentes sur Amazon Security Lake

Amazon Security Lake est un service qui automatise le sourcing, l'agrégation, la normalisation et la gestion des données de sécurité de l'ensemble de votre organisation dans un lac de données de sécurité stocké dans votre compte. Un lac de données de sécurité vous permet de rendre les données de sécurité de votre organisation largement accessibles à vos solutions d'analytique de sécurité préférées pour alimenter les cas d'utilisation tels que la détection des menaces, les enquêtes et la réponse aux incidents.

Amazon Security Lake centralise automatiquement les données de sécurité provenant de sources dans le cloud, sur site et personnalisées dans un lac de données créé à cet effet et stocké dans votre compte. Utilisez Security Lake pour analyser les données de sécurité et bénéficier d'une compréhension plus complète de votre sécurité dans toute l'organisation. Vous pouvez également utiliser Security Lake pour vous aider à améliorer la protection de vos charges de travail, applications et données. Les données liées à la sécurité incluent les journaux de service et d'application, les alertes de sécurité et les renseignements sur les menaces (comme les adresses IP malveillantes connues), qui constituent la source de vérité pour la détection, l'enquête et la résolution des incidents de sécurité. Les bonnes pratiques de sécurité requièrent un processus efficace de la gestion des données des événements de sécurité et des journaux. Security Lake automatise ce processus et facilite les solutions qui effectuent les détections d'analytique de streaming, l'analytique des séries temporelles, l'analyse du comportement des utilisateurs et des identités (UEBA, User and Entity Behaviour Analytics), l'orchestration et la réponse de la sécurité (SOAR, Security Orchestration and Response) et la réponse aux incidents. 

Amazon Security Lake collecte automatiquement les journaux pour AWS CloudTrail, Amazon Virtual Private Cloud (VPC), Amazon Route 53, Amazon Simple Storage Service (S3) et AWS Lambda. Le service collecte également les résultats de sécurité à travers AWS Security Hub pour AWS Config, AWS Firewall Manager, Amazon GuardDuty, AWS Health, l'analyse des accès de la Gestion des identités et des accès AWS (AWS IAM), Amazon Inspector, Amazon Macie et AWS Systems Manager Patch Manager. Vous pouvez également ajouter des données issues de solutions de sécurité tierces qui prennent en charge l'OCSF (Open Cybersecurity Schema Framework) et vos données personnalisées. Ces données comprennent les journaux des applications internes ou de l'infrastructure réseau que vous avez convertis au format OCSF.

Amazon Security Lake a adopté l'OCSF, une norme ouverte qui permet de normaliser automatiquement les résultats de sécurité de plus de 50 solutions intégrées via AWS Security Hub. Pour en savoir plus, consultez les partenaires AWS Security Hub. Il existe également un nombre croissant de solutions capables de fournir des données au format OCSF et qui sont intégrées à Amazon Security Lake. Pour en savoir plus, consultez les partenaires Amazon Security Lake.

L'OCSF est un schéma collaboratif à code source ouvert pour les journaux et les événements de sécurité. Il inclut une taxonomie des données indépendante des fournisseurs qui réduit la nécessité de normaliser les données de journaux et d'événements de sécurité à travers une variété de produits, de services et d'outils open source.

Lorsque vous ouvrez la console Amazon Security Lake pour la première fois, choisissez Get Started (Démarrer), puis Enable (Activer). Amazon Security Lake utilise un rôle lié aux services qui inclut la politique d'autorisations et d'approbation permettant à Amazon Security Lake de collecter des données à partir de vos sources et d'accorder un accès aux abonnés. Il est recommandé d'activer Amazon Security Lake dans toutes les Régions AWS prises en charge afin de permettre à Amazon Security Lake de collecter et de retenir les données qui sont connectées à une activité non autorisée ou inhabituelle, même dans les Régions que vous n'utilisez pas de manière active. Si Amazon Security Lake n'est pas activé dans toutes les Régions prises en charge, sa capacité à collecter des données qui impliquent des services globaux est réduite.

Une Région rollup est une Région AWS qui agrège les journaux et les événements de sécurité à partir d'autres Régions spécifiées. Lorsque vous activez Amazon Security Lake, vous pouvez spécifier une ou plusieurs Régions rollup, ce qui peut vous aider à respecter les exigences de la Région en matière de conformité.