Domande frequenti su Amazon Security Lake

Amazon Security Lake è un servizio che automatizza l'approvvigionamento, l'aggregazione, la normalizzazione e la gestione dei dati di sicurezza all'interno della tua organizzazione in un data lake di sicurezza archiviato nel tuo account. Un data lake di sicurezza aiuta a rendere i dati di sicurezza della tua organizzazione ampiamente accessibili alle tue soluzioni di analisi della sicurezza preferite per potenziare casi d'uso come il rilevamento delle minacce, l'indagine e la risposta agli incidenti.

Security Lake centralizza automaticamente i dati di sicurezza da ambienti AWS, provider SaaS, origini on-premise e cloud in un data lake appositamente creato e archiviato nel tuo account. Usa Security Lake per analizzare i dati di sicurezza, acquisire una comprensione più completa della sicurezza in tutta l'organizzazione e migliorare la protezione dei carichi di lavoro, delle applicazioni e dei dati. I dati relativi alla sicurezza includono log di servizi e applicazioni, avvisi di sicurezza e intelligence sulle minacce (come indirizzi IP dannosi noti), che sono il punto di partenza per rilevare, indagare e risolvere gli incidenti di sicurezza. Le best practice di sicurezza richiedono un processo di gestione dei dati di log e degli eventi di sicurezza efficace. Security Lake automatizza questo processo e facilita le soluzioni che eseguono rilevamenti di analisi di streaming, analisi di serie temporali, analisi del comportamento di utenti ed entità (UEBA), orchestrazione e correzione della sicurezza (SOAR) e risposta agli incidenti.

L'Open Cybersecurity Schema Framework (OCSF) è uno schema collaborativo open source per log ed eventi di sicurezza. Include una tassonomia dei dati indipendente dal fornitore che riduce la necessità di normalizzare i dati dei log di sicurezza e degli eventi in vari prodotti, servizi e strumenti open source.

Security Lake raccoglie automaticamente i log per i seguenti servizi:

• AWS CloudTrail
• Amazon Virtual Private Cloud (VPC)
• Amazon Route 53
• Amazon Simple Storage Service (S3)
• AWS Lambda
• Amazon Elastic Kubernetes Service (EKS) 
• AWS Web Application Firewall (WAF)

Raccoglie inoltre risultati sulla sicurezza tramite Centrale di sicurezza AWS per i seguenti servizi:

• AWS Config
• AWS Firewall Manager
• Amazon GuardDuty
• AWS Health
• AWS Identity and Access Management (IAM) Access Analyzer
• Amazon Inspector
• Amazon Macie
• Gestione patch di AWS Systems Manager

Inoltre, puoi aggiungere dati da soluzioni di sicurezza di terze parti, altre origini cloud e dati personalizzati che supportano l'OCSF. Questi dati includono i log delle applicazioni interne o dell'infrastruttura di rete convertiti in formato OCSF.

Sì, puoi provare il servizio per 15 giorni gratuitamente con qualsiasi nuovo account su Security Lake con il piano gratuito AWS. Durante la prova gratuita avrai accesso al set completo di funzionalità.

L'integrazione tra il Servizio OpenSearch di Amazon e Amazon Security Lake offre un'esperienza semplificata per la ricerca diretta, l'acquisizione di informazioni e l'analisi dei dati archiviati in Security Lake, il tutto all'interno del Servizio OpenSearch di Amazon. Esistono due modi per integrare Security Lake e OpenSearch Service: l'accesso ai dati su richiesta e l'inserimento continuo. L'opzione on-demand è ideale per origini di log voluminose con accesso sporadico, consentendo agli utenti di analizzare i dati senza costi iniziali di inserimento. In alternativa, il metodo di inserimento continuo è adatto per l'analisi in tempo reale e fornisce un accesso più rapido a fonti di sicurezza di alto valore come gli esiti della Centrale di sicurezza AWS e gli eventi di gestione di AWS CloudTrail.

Security Lake automatizza l'approvvigionamento, l'aggregazione, la normalizzazione e la gestione dei dati relativi alla sicurezza da origini cloud, on-premise e personalizzate in un data lake di sicurezza archiviato nel tuo account AWS. Security Lake ha adottato l'OCSF, uno standard aperto. Con il supporto di OCSF, il servizio può normalizzare e combinare i dati di sicurezza di AWS e un'ampia gamma di origini di sicurezza aziendale. Data Lake AWS CloudTrail è un lake di controllo e sicurezza gestito. Consente di aggregare, archiviare in modo immutabile e interrogare i log di controllo e sicurezza provenienti da AWS (eventi CloudTrail, elementi di configurazione di AWS Config, prove di audit da Gestione audit AWS) e da origini esterne (applicazioni interne o SaaS ospitate in locale o nel cloud, macchine virtuali o container). Questi dati possono quindi essere archiviati per un massimo di 7 anni in un data store di eventi di Data Lake CloudTrail, senza costi aggiuntivi, e analizzati con il motore di query SQL integrato in Data Lake CloudTrail.

Per iniziare, devi prima avere una configurazione di Security Lake esistente nel tuo ambiente AWS. Questa fornirà l'archiviazione centralizzata e l'accesso ai dati di sicurezza aziendali.

Una volta configurato Security Lake, puoi abilitare l'integrazione con il Servizio OpenSearch di Amazon. A tale scopo, accedi alla console Security Lake nella Console di gestione AWS e crea un abbonato per l'account che intendi utilizzare per Amazon OpenSearch. Successivamente, accedi al Servizio OpenSearch di Amazon e configura un'origine dati per Security Lake. Questo processo comporta la configurazione delle autorizzazioni e dei controlli di accesso necessari per consentire al Servizio OpenSearch di accedere e interrogare in modo sicuro i dati nel tuo Security Lake.

Puoi quindi esplorare le query e le integrazioni predefinite disponibili tramite OCSF per iniziare rapidamente nelle dashboard del Servizio OpenSearch di Amazon con i casi d'uso comuni dell'analisi di sicurezza. Hai anche la possibilità di configurare l'indicizzazione su richiesta di set di dati specifici dal tuo Security Lake nel servizio OpenSearch per esigenze di analisi e visualizzazione avanzate.

Una volta configurata l'integrazione, puoi iniziare a interrogare e analizzare i tuoi dati di sicurezza direttamente dalla Dashboard, sfruttando le potenti funzionalità di ricerca, analisi e visualizzazione che fornisce. Puoi anche personalizzare le dashboard e altre funzionalità di monitoraggio in OpenSearch Service per soddisfare i tuoi requisiti di sicurezza e flussi di lavoro specifici.

L'attivazione di CloudTrail è un prerequisito per raccogliere e distribuire i log degli eventi di gestione di CloudTrail ai bucket S3 dei clienti tramite qualsiasi servizio AWS. Ad esempio, per inviare i log degli eventi di gestione di CloudTrail a File di log Amazon CloudWatch, è necessario prima creare un percorso. Poiché Security Lake fornisce gli eventi di gestione di CloudTrail a livello di organizzazione a un bucket S3 di proprietà del cliente, richiede un percorso organizzativo in CloudTrail con gli eventi di gestione attivati.

Security Lake può ricevere risultati sulla sicurezza da 50 soluzioni tramite l'integrazione di Centrale di sicurezza AWS. Per maggiori dettagli, consulta Partner di Centrale di sicurezza AWS. Esiste anche un numero crescente di soluzioni tecnologiche in grado di fornire dati in formato OCSF e che sono state integrate con Security Lake. Per i dettagli, consulta Partner di Amazon Security Lake.

Quando apri per la prima volta la console di Security Lake, scegli Inizia, quindi scegli Abilita. Security Lake utilizza un ruolo collegato ai servizi che include le autorizzazioni e la policy di attendibilità che gli consente di raccogliere dati dalle tue origini e concedere l'accesso agli abbonati. Una best practice consiste nell'abilitare Security Lake in tutte le regioni AWS supportate. Ciò consente a Security Lake di raccogliere e conservare i dati collegati ad attività non autorizzate o insolite, anche nelle regioni che non stai utilizzando attivamente. Se Security Lake non è abilitato in tutte le Regioni supportate, la sua capacità di raccogliere dati che coinvolgono servizi globali è ridotta.

Una regione di rollup è una Regione che aggrega i log di sicurezza e gli eventi di altre regioni specificate. Quando abiliti Security Lake, puoi specificare una o più regioni di rollup, che possono aiutarti a rispettare i requisiti di conformità regionali.

La disponibilità regionale di Security Lake è elencata nella pagina degli endpoint di Amazon Security Lake.