Q: Amazon Security Lake란 무엇인가요?
Amazon Security Lake는 조직 전반에 걸친 보안 데이터의 소싱, 집계, 정규화 및 데이터 관리를 계정에 저장된 보안 데이터 레이크로 자동화하는 서비스입니다. 보안 데이터 레이크는 여러 기본 보안 분석 솔루션에서 광범위하게 조직의 보안 데이터에 액세스할 수 있도록 하여 위협 감지, 조사 및 인시던트 대응과 같은 사용 사례를 지원하는 데 도움이 됩니다.
Q: Security Lake를 사용해야 하는 이유는 무엇인가요?
Amazon Security Lake는 클라우드, 온프레미스 및 사용자 지정 소스의 보안 데이터를 계정에 저장된 중앙의 목적별 데이터 레이크에 자동 수집합니다. 보안 데이터를 분석하여 전체 조직의 보안 상태를 더욱 완벽하게 파악하기 위해 Security Lake를 사용합니다. 그리고 워크로드, 애플리케이션 및 데이터 보호 방식을 개선하는 데에도 Security Lake를 활용할 수 있습니다. 보안 관련 데이터로는 서비스 및 애플리케이션 로그, 보안 알림, 그리고 보안 인시던트를 감지, 조사 및 해결하는 데 유용한 위협 인텔리전스(예: 알려진 악의적인 IP 주소) 등이 있습니다. 보안 모범 사례에서는 효과적인 로그 및 보안 이벤트 데이터 관리 프로세스를 요구합니다. Security Lake는 이 프로세스를 자동화하며, 스트리밍 분석 감지, 시계열 분석, 사용자 및 엔터티 행동 분석(UEBA), 보안 오케스트레이션 및 문제 해결(SOAR), 인시던트 대응을 수행하는 솔루션을 지원합니다.
Q: Security Lake는 평가 기간 동안 어떤 로그 및 이벤트 소스를 지원하나요?
Amazon Security Lake는 AWS CloudTrail, Amazon Virtual Private Cloud(VPC), Amazon Route 53, Amazon Simple Storage Service(S3) 및 AWS Lambda에 대한 로그를 자동으로 수집합니다. 또한 AWS Security Hub for AWS Config, AWS Firewall Manager, Amazon GuardDuty, AWS Health, AWS Identity and Access Management(IAM) Access Analyzer, Amazon Inspector, Amazon Macie 및 AWS Systems Manager Patch Manager를 통해 보안 탐지 결과를 수집합니다. Open Cybersecurity Schema Framework(OCSF)와 사용자 지정 데이터를 지원하는 서드 파티 보안 솔루션의 데이터를 추가할 수도 있습니다. 이 데이터에는 OCSF 형식으로 변환한 내부 애플리케이션 또는 네트워크 인프라의 로그가 포함됩니다.
Q: Amazon Security Lake를 지원하는 파트너는 어디인가요?
Amazon Security Lake는 AWS Security Hub를 통해 통합된 50여가지 솔루션에서 수집된 보안 탐지 결과를 자동으로 정규화하는 데 유용한 개방형 표준인 OCSF를 채택했습니다. 자세한 내용은 AWS Security Hub 파트너를 참조하세요. OCSF 형식으로 데이터를 제공할 수 있고 Amazon Security Lake와 통합된 기술 솔루션도 증가하고 있습니다. 자세한 내용은 Amazon Security Lake 파트너를 참조하세요.
Q: Open Cybersecurity Schema Framework(OCSF)란 무엇인가요?
OSCF는 보안 로그 및 이벤트를 위한 협업 오픈 소스 스키마입니다. OSCF에는 공급업체에 구애받지 않아 다양한 제품, 서비스 및 오픈 소스 도구에서 보안 로그와 이벤트 데이터를 정규화할 필요성이 적은 데이터 분류법이 포함되어 있습니다.
Q: Amazon Security Lake를 활성화하려면 어떻게 해야 하나요?
Amazon Security Lake 콘솔을 처음 열 때 Get Started(시작하기)를 선택한 다음 Enable(활성화)을 선택합니다. Amazon Security Lake는 Amazon Security Lake가 소스에서 데이터를 수집하고 구독자에게 액세스 권한을 부여하도록 허용하는 권한 및 신뢰 정책이 포함된 서비스 연결 역할을 사용합니다. 지원되는 모든 AWS 리전에서 Amazon Security Lake를 활성화하는 것이 좋습니다. 그러면 현재 사용하지 않고 있는 리전에서도 Amazon Security Lake가 허용되지 않거나 비정상적인 활동과 관련한 데이터를 수집하고 유지할 수 있습니다. 지원되는 리전 중 일부에서 Amazon Security Lake를 활성화하지 않으면 글로벌 서비스와 관련한 데이터를 수집하는 능력이 저하됩니다.
Q: 롤업 리전이란 무엇인가요?
롤업 리전은 지정된 다른 리전의 보안 로그 및 이벤트를 취합하는 AWS 리전입니다. Amazon Security Lake를 사용하도록 설정할 때 리전의 규정 준수 요구 사항을 준수하는 데 도움이 되는 롤업 리전을 하나 이상 지정할 수 있습니다.