Domande frequenti su Amazon Security Lake

D: Che cos'è Amazon Security Lake?

Amazon Security Lake è un servizio che automatizza l'approvvigionamento, l'aggregazione, la normalizzazione e la gestione dei dati di sicurezza all'interno della tua organizzazione in un data lake di sicurezza archiviato nel tuo account. Un data lake di sicurezza aiuta a rendere i dati di sicurezza della tua organizzazione ampiamente accessibili alle tue soluzioni di analisi della sicurezza preferite per potenziare casi d'uso come il rilevamento delle minacce, l'indagine e la risposta agli incidenti.

D: Quali vantaggi offre Security Lake?

Amazon Security Lake centralizza automaticamente i dati di sicurezza provenienti da fonti cloud, on-premise e personalizzate in un data lake appositamente creato e archiviato nel tuo account. Utilizza Security Lake per analizzare i dati di sicurezza e ottenere una comprensione più completa della tua sicurezza nell'intera organizzazione. Puoi utilizzare Security Lake anche per migliorare la protezione dei tuoi carichi di lavoro, applicazioni e dati. I dati relativi alla sicurezza includono log di servizi e applicazioni, avvisi di sicurezza e intelligence sulle minacce (come indirizzi IP dannosi noti), che sono il punto di partenza per rilevare, indagare e risolvere gli incidenti di sicurezza. Le best practice di sicurezza richiedono un processo di gestione dei dati di log e degli eventi di sicurezza efficace. Security Lake automatizza questo processo e facilita le soluzioni che eseguono rilevamenti di analisi di streaming, analisi di serie temporali, analisi del comportamento di utenti ed entità (UEBA), orchestrazione e correzione della sicurezza (SOAR) e risposta agli incidenti. 

D: Quali origini di log ed eventi sono supportate da Security Lake durante il periodo di anteprima?

Amazon Security Lake raccoglie automaticamente i log per AWS CloudTrail, Amazon Virtual Private Cloud (VPC), Amazon Route 53, Amazon Simple Storage Service (S3) e AWS Lambda. Raccoglie inoltre risultati sulla sicurezza tramite Centrale di sicurezza AWS per AWS Config, Gestione dei firewall AWS, Amazon GuardDuty, AWS Health, AWS Identity and Access Management (IAM) Access Analyzer, Amazon Inspector, Amazon Macie e AWS Systems Manager Patch Manager. Puoi anche aggiungere dati da soluzioni di sicurezza di terze parti che supportano l'Open Cybersecurity Schema Framework (OCSF) e i tuoi dati personalizzati. Questi dati includono i log delle applicazioni interne o dell'infrastruttura di rete convertiti in formato OCSF.

D: Quali partner lavorano con Amazon Security Lake?

Amazon Security Lake ha adottato lo standard aperto OCSF, che aiuta a normalizzare automaticamente i risultati sulla sicurezza di oltre 50 soluzioni integrate attraverso la Centrale di sicurezza AWS. Per maggiori dettagli, consulta la Partner di Centrale di sicurezza AWS. Esiste anche un numero crescente di soluzioni tecnologiche in grado di fornire dati in formato OCSF e che sono state integrate con Amazon Security Lake. Per i dettagli, consulta Partner di Amazon Security Lake.

D: Che cos'è Open Cybersecurity Schema Framework (OCSF)?

OCSF è uno schema open source collaborativo per i log e gli eventi di sicurezza. Include una tassonomia dei dati indipendente dal fornitore che riduce la necessità di normalizzare i dati dei log di sicurezza e degli eventi in vari prodotti, servizi e strumenti open source.

D: Come si abilita Amazon Security Lake?

Quando apri la console di Amazon Security Lake per la prima volta, scegli Get Started (Inizia), quindi scegli Enable (Abilita). Amazon Security Lake utilizza un ruolo collegato ai servizi che include le autorizzazioni e la policy di attendibilità che gli consente di raccogliere dati dalle tue origini e concedere l'accesso ai sottoscrittori. Una best practice consiste nell'abilitare Amazon Security Lake in tutte le regioni AWS supportate. Ciò consente ad Amazon Security Lake di raccogliere e conservare i dati collegati ad attività non autorizzate o insolite, anche nelle regioni che non stai utilizzando attivamente. Se Amazon Security Lake non è abilitato in tutte le Regioni supportate, la sua capacità di raccogliere dati che coinvolgono servizi globali è ridotta.

Cos'è una regione di rollup?

Una regione di rollup è una Regione AWS che aggrega i log di sicurezza e gli eventi di altre regioni specificate. Quando abiliti Amazon Security Lake, puoi specificare una o più regioni di rollup, che possono aiutarti a rispettare i requisiti di conformità regionali.