Domande frequenti su Amazon Security Lake

D: Che cos'è Amazon Security Lake?

Amazon Security Lake è un servizio che automatizza l'approvvigionamento, l'aggregazione, la normalizzazione e la gestione dei dati di sicurezza all'interno della tua organizzazione in un data lake di sicurezza archiviato nel tuo account. Un data lake di sicurezza aiuta a rendere i dati di sicurezza della tua organizzazione ampiamente accessibili alle tue soluzioni di analisi della sicurezza preferite per potenziare casi d'uso come il rilevamento delle minacce, l'indagine e la risposta agli incidenti.

D: Quali vantaggi offre Security Lake?

Security Lake centralizza automaticamente i dati di sicurezza da ambienti AWS, provider SaaS, origini on-premise e cloud in un data lake appositamente creato e archiviato nel tuo account. Usa Security Lake per analizzare i dati di sicurezza, acquisire una comprensione più completa della sicurezza in tutta l'organizzazione e migliorare la protezione dei carichi di lavoro, delle applicazioni e dei dati. I dati relativi alla sicurezza includono log di servizi e applicazioni, avvisi di sicurezza e intelligence sulle minacce (come indirizzi IP dannosi noti), che sono il punto di partenza per rilevare, indagare e risolvere gli incidenti di sicurezza. Le best practice di sicurezza richiedono un processo di gestione dei dati di log e degli eventi di sicurezza efficace. Security Lake automatizza questo processo e facilita le soluzioni che eseguono rilevamenti di analisi di streaming, analisi di serie temporali, analisi del comportamento di utenti ed entità (UEBA), orchestrazione e correzione della sicurezza (SOAR) e risposta agli incidenti.

D: Che cos'è Open Cybersecurity Schema Framework?

L'Open Cybersecurity Schema Framework (OCSF) è uno schema collaborativo open source per log ed eventi di sicurezza. Include una tassonomia dei dati indipendente dal fornitore che riduce la necessità di normalizzare i dati dei log di sicurezza e degli eventi in vari prodotti, servizi e strumenti open source.

D: Quali origini di log ed eventi sono supportate da Security Lake?

Security Lake raccoglie automaticamente i log per i seguenti servizi:

  • AWS CloudTrail
  • Amazon Virtual Private Cloud (VPC)
  • Amazon Route 53
  • Amazon Simple Storage Service (S3)
  • AWS Lambda
  • Amazon Elastic Kubernetes Service (EKS) 

Raccoglie inoltre risultati sulla sicurezza tramite Centrale di sicurezza AWS per i seguenti servizi:

  • AWS Config
  • Gestione dei firewall AWS
  • Amazon GuardDuty
  • AWS Health
  • AWS Identity and Access Management (IAM) Access Analyzer
  • Amazon Inspector
  • Amazon Macie
  • Gestione patch di AWS Systems Manager

Inoltre, puoi aggiungere dati da soluzioni di sicurezza di terze parti, altre origini cloud e dati personalizzati che supportano l'OCSF. Questi dati includono i log delle applicazioni interne o dell'infrastruttura di rete convertiti in formato OCSF.

D: Esiste una versione di prova gratuita di Security Lake?

Sì, puoi provare il servizio per 15 giorni gratuitamente con qualsiasi nuovo account su Security Lake con il piano gratuito AWS. Durante la prova gratuita avrai accesso al set completo di funzionalità.

D: Quali sono le differenze tra Security Lake e Data Lake CloudTrail?

Security Lake automatizza l'approvvigionamento, l'aggregazione, la normalizzazione e la gestione dei dati relativi alla sicurezza da origini cloud, on-premise e personalizzate in un data lake di sicurezza archiviato nel tuo account AWS. Security Lake ha adottato l'OCSF, uno standard aperto. Con il supporto di OCSF, il servizio può normalizzare e combinare i dati di sicurezza di AWS e un'ampia gamma di origini di sicurezza aziendale. Data Lake AWS CloudTrail è un lake di controllo e sicurezza gestito. Consente di aggregare, archiviare in modo immutabile e interrogare i log di controllo e sicurezza provenienti da AWS (eventi CloudTrail, elementi di configurazione di AWS Config, prove di audit da Gestione audit AWS) e da origini esterne (applicazioni interne o SaaS ospitate in locale o nel cloud, macchine virtuali o container). Questi dati possono quindi essere archiviati per un massimo di 7 anni in un data store di eventi di Data Lake CloudTrail, senza costi aggiuntivi, e analizzati con il motore di query SQL integrato in Data Lake CloudTrail.

D: Perché ho bisogno di un percorso organizzativo per fornire eventi di gestione di CloudTrail a Security Lake?

L'attivazione di CloudTrail è un prerequisito per raccogliere e distribuire i log degli eventi di gestione di CloudTrail ai bucket S3 dei clienti tramite qualsiasi servizio AWS. Ad esempio, per inviare i log degli eventi di gestione di CloudTrail a File di log Amazon CloudWatch, è necessario prima creare un percorso. Poiché Security Lake fornisce gli eventi di gestione di CloudTrail a livello di organizzazione a un bucket S3 di proprietà del cliente, richiede un percorso organizzativo in CloudTrail con gli eventi di gestione attivati.

D: Quali partner AWS collaborano con Security Lake?

Security Lake può ricevere risultati sulla sicurezza da 50 soluzioni tramite l'integrazione di Centrale di sicurezza AWS. Per maggiori dettagli, consulta Partner di Centrale di sicurezza AWS. Esiste anche un numero crescente di soluzioni tecnologiche in grado di fornire dati in formato OCSF e che sono state integrate con Security Lake. Per i dettagli, consulta Partner di Amazon Security Lake.

D: Che cos'è Open Cybersecurity Schema Framework (OCSF)?

OCSF è uno schema open source collaborativo per i log e gli eventi di sicurezza. Include una tassonomia dei dati indipendente dal fornitore che riduce la necessità di normalizzare i dati dei log di sicurezza e degli eventi in vari prodotti, servizi e strumenti open source.

D: Come si abilita Amazon Security Lake?

Quando apri per la prima volta la console di Security Lake, scegli Inizia, quindi scegli Abilita. Security Lake utilizza un ruolo collegato ai servizi che include le autorizzazioni e la policy di attendibilità che gli consente di raccogliere dati dalle tue origini e concedere l'accesso agli abbonati. Una best practice consiste nell'abilitare Security Lake in tutte le regioni AWS supportate. Ciò consente a Security Lake di raccogliere e conservare i dati collegati ad attività non autorizzate o insolite, anche nelle regioni che non stai utilizzando attivamente. Se Security Lake non è abilitato in tutte le Regioni supportate, la sua capacità di raccogliere dati che coinvolgono servizi globali è ridotta.

Cos'è una regione di rollup?

Una regione di rollup è una Regione che aggrega i log di sicurezza e gli eventi di altre regioni specificate. Quando abiliti Security Lake, puoi specificare una o più regioni di rollup, che possono aiutarti a rispettare i requisiti di conformità regionali.

D: Quali regioni supporta Security Lake?

La disponibilità regionale di Security Lake è elencata nella pagina degli endpoint di Amazon Security Lake.