FAQ Amazon Security Lake

Danau Keamanan Amazon adalah layanan yang mengotomatiskan pencarian sumber, agregasi, normalisasi, dan manajemen data keamanan di seluruh organisasi Anda ke dalam danau data keamanan yang tersimpan di akun. Danau data keamanan membuat data keamanan organisasi dapat diakses secara luas oleh solusi analitik keamanan pilihan Anda untuk mendukung kasus penggunaan seperti deteksi ancaman, investigasi, dan respons insiden.

Danau Keamanan secara otomatis memusatkan data keamanan dari lingkungan AWS, penyedia SaaS, on-premise, dan sumber cloud ke dalam danau data yang dibuat khusus serta disimpan di akun Anda. Gunakan Danau Keamanan untuk menganalisis data keamanan, mendapatkan pemahaman keamanan yang lebih komprehensif di seluruh organisasi, dan meningkatkan perlindungan beban kerja, aplikasi, serta data Anda. Data terkait keamanan mencakup log layanan dan aplikasi, peringatan keamanan, serta kecerdasan ancaman (seperti alamat IP berbahaya yang diketahui), yang penting untuk mendeteksi, menginvestigasi, dan melakukan remediasi insiden keamanan. Praktik terbaik keamanan memerlukan sebuah proses manajemen data log dan peristiwa keamanan yang efektif. Danau Keamanan mengotomatiskan proses ini dan memudahkan solusi menjalankan deteksi analitik streaming, analitik deret waktu, analitik perilaku pengguna dan entitas (UEBA), orkestrasi dan remediasi keamanan (SOAR), serta respons insiden.

Kerangka Kerja Keamanan Siber Terbuka (OCSF) adalah sebuah skema sumber terbuka kolaboratif untuk log dan peristiwa keamanan. Skema ini mencakup taksonomi data yang tidak terikat vendor yang mengurangi kebutuhan normalisasi data log dan peristiwa keamanan di berbagai produk, layanan, dan alat sumber terbuka.

Danau Keamanan secara otomatis mengumpulkan log untuk layanan berikut:

• AWS CloudTrail
• Amazon Virtual Private Cloud (VPC)
• Amazon Route 53
• Amazon Simple Storage Service (S3)
• AWS Lambda
• Amazon Elastic Kubernetes Service (EKS) 
• AWS Web Application Firewall (WAF)

Ini juga mengumpulkan temuan keamanan melalui AWS Security Hub untuk layanan berikut:

• AWS Config
• AWS Firewall Manager
• Amazon GuardDuty
• AWS Health
• AWS Identity and Access Management (IAM) Access Analyzer
• Amazon Inspector
• Amazon Macie
• Manajer Patch AWS Systems Manager

Selain itu, Anda dapat menambahkan data dari solusi keamanan pihak ketiga, sumber cloud lain, dan data kustom Anda sendiri yang mendukung OCSF. Data ini mencakup log dari aplikasi internal atau infrastruktur jaringan yang telah Anda konversi ke dalam format OCSF.

Ya, Anda dapat mencoba layanan ini selama 15 hari secara gratis dengan akun baru apa pun di Security Lake dengan AWS Tingkat Free. Anda memiliki akses ke rangkaian fitur lengkapnya selama uji coba gratis.

Integrasi antara Amazon OpenSearch Service dan Amazon Security Lake menawarkan pengalaman yang sederhana untuk langsung mencari, mendapatkan wawasan dari, dan menganalisis data yang disimpan di Security Lake, yang seluruhnya tersedia dalam Amazon OpenSearch Service. Ada dua cara untuk dapat mengintegrasikan Security Lake dan OpenSearch Service: akses data sesuai permintaan dan penyerapan berkelanjutan. Opsi sesuai permintaan sangat ideal untuk sumber log yang banyak dengan akses jarang sehingga memungkinkan pengguna menganalisis data tanpa biaya penyerapan di muka. Sebagai alternatif, metode penyerapan berkelanjutan juga cocok untuk analisis waktu nyata dan menyediakan akses lebih cepat ke sumber keamanan bernilai tinggi, seperti temuan AWS Security Hub dan peristiwa manajemen AWS CloudTrail.

Danau Keamanan mengotomatiskan pencarian sumber, agregasi, normalisasi, dan manajemen data terkait keamanan dari cloud, on-premise, dan sumber kustom ke dalam danau data keamanan yang disimpan di akun AWS Anda. Danau Keamanan telah mengadopsi OCSF, yang merupakan standar terbuka. Dengan dukungan OCSF, layanan dapat menormalisasi serta menggabungkan data keamanan dari AWS dan berbagai sumber data keamanan korporasi. AWS CloudTrail Lake adalah sebuah danau audit dan keamanan terkelola. AWS CloudTrail Lake memungkinkan Anda untuk mengagregasi, menyimpan secara tetap, dan mengkueri audit serta log keamanan dari AWS (peristiwa CloudTrail, item konfigurasi dari AWS Config, bukti audit dari AWS Audit Manager) dan sumber luar (aplikasi internal atau SaaS yang dilakukan hosting secara on-premise atau di cloud, mesin virtual, atau kontainer). Data ini kemudian dapat disimpan hingga 7 tahun di penyimpanan data peristiwa CloudTrail Lake, tanpa biaya tambahan, dan diinvestigasi dengan mesin kueri SQL bawaan CloudTrail Lake.

Untuk memulai, Anda harus terlebih dahulu memiliki pengaturan Security Lake yang ada di lingkungan AWS Anda. Hal ini akan menyediakan penyimpanan dan akses terpusat ke data keamanan korporasi Anda.

Setelah Security Lake dikonfigurasi, Anda dapat mengaktifkan integrasi dengan Amazon OpenSearch Service. Untuk melakukannya, arahkan konsol Security Lake di Konsol Manajemen AWS, lalu buat pelanggan untuk akun yang akan Anda gunakan di Amazon OpenSearch. Selanjutnya, buka konsol Amazon OpenSearch Service dan konfigurasikan sumber data untuk Security Lake. Hal ini melibatkan konfigurasi izin dan kontrol akses yang diperlukan untuk memungkinkan OpenSearch Service mengakses dan mengueri data dengan aman di Security Lake Anda.

Kemudian Anda dapat menjelajahi kueri dan integrasi yang dibangun sebelumnya yang tersedia melalui OCSF untuk memulai dengan cepat di Dasbor OpenSearch Service dengan kasus penggunaan analitik keamanan umum. Anda juga memiliki opsi untuk mengonfigurasi pengindeksan set data tertentu sesuai permintaan dari Security Lake Anda ke OpenSearch Service untuk kebutuhan analitik dan visualisasi lanjutan.

Dengan pengaturan integrasi, Anda dapat mulai mengueri dan menganalisis data keamanan Anda secara langsung dari Dasbor, yang memanfaatkan kemampuan pencarian, analitik, dan visualisasi canggih yang tersedia. Anda juga dapat menyesuaikan dasbor dan fitur pemantauan lainnya di OpenSearch Service agar sesuai dengan persyaratan keamanan dan alur kerja spesifik Anda.

Mengaktifkan CloudTrail adalah prasyarat untuk mengumpulkan dan mengirimkan log peristiwa manajemen CloudTrail ke bucket S3 pelanggan melalui layanan AWS apa pun. Misalnya, untuk mengirimkan log peristiwa manajemen CloudTrail ke log Amazon CloudWatch, jejak harus dibuat terlebih dahulu. Karena Security Lake mengirimkan peristiwa manajemen CloudTrail di tingkat organisasi ke bucket S3 milik pelanggan, Anda memerlukan jejak organisasi di CloudTrail dengan peristiwa manajemen aktif.

Danau Keamanan dapat menerima temuan keamanan dari 50 solusi melalui integrasi AWS Security Hub. Untuk detailnya, lihat Partner AWS Security Hub. Makin banyak solusi teknologi yang dapat menyediakan data dalam format OCSF dan diintegrasikan dengan Danau Keamanan. Untuk detailnya, lihat Partner Amazon Security Lake.

Saat pertama kali membuka konsol Danau Keamanan, pilih Mulai lalu pilih Aktifkan. Danau Keamanan menggunakan peran tertaut layanan yang mencakup izin dan kebijakan kepercayaan yang memungkinkan Danau Keamanan mengumpulkan data dari sumber Anda serta memberikan akses kepada pelanggan. Ini merupakan praktik terbaik untuk mengaktifkan Danau Keamanan di semua Wilayah AWS yang didukung. Dengan demikian, Danau Keamanan dapat mengumpulkan dan mempertahankan data yang terhubung ke aktivitas yang tidak sah atau tidak biasa, bahkan di Wilayah yang tidak Anda gunakan secara aktif. Jika Danau Keamanan tidak diaktifkan di semua Wilayah yang didukung, kemampuannya dalam pengumpulan data yang melibatkan layanan global akan berkurang.

Wilayah konsolidasi adalah Wilayah yang mengagregasikan log dan peristiwa keamanan dari Wilayah tertentu lainnya. Saat Anda mengaktifkan Danau Keamanan, Anda dapat menentukan satu atau beberapa Wilayah konsolidasi, yang dapat membantu Anda memenuhi persyaratan kepatuhan wilayah.

Ketersediaan Wilayah Security Lake tercantum di halaman titik akhir Amazon Security Lake.