P: O que é o Amazon Security Lake?
O Amazon Security Lake é um serviço que automatiza o fornecimento, a agregação, a normalização e o gerenciamento de dados de segurança em toda a organização em um data lake de segurança armazenado em sua conta. Um data lake de segurança ajuda a tornar os dados de segurança de sua organização amplamente acessíveis para as soluções de análise de segurança preferenciais a fim de potencializar os casos de uso, como detecção de ameaças, investigação e resposta a incidentes.
P: Por que devo usar o Security Lake?
O Security Lake centraliza automaticamente os dados de segurança de ambientes da AWS, provedores de SaaS, on-premises e fontes na nuvem em um data lake criado com propósito específico e armazenado em sua conta. Use o Security Lake para analisar dados de segurança, obter uma compreensão mais abrangente da segurança em toda a organização e melhorar a proteção de suas workloads, aplicações e dados. Os dados relacionados à segurança incluem logs de serviço e de aplicações, alertas de segurança e inteligência contra ameaças (como endereços IP maliciosos conhecidos), que são essenciais para detectar, investigar e corrigir incidentes de segurança. As práticas de segurança recomendadas requerem um processo eficaz de gerenciamento de dados de log e de eventos de segurança. O Security Lake automatiza esse processo e facilita para as soluções executarem detecções analíticas de streaming, análises de séries temporais, análises de comportamento do usuário e da entidade (UEBA), orquestração e remediação de segurança (SOAR) e respostas a incidentes.
P: O que é o Open Cybersecurity Schema Framework?
O Open Cybersecurity Schema Framework (OCSF) é um esquema colaborativo de código aberto para logs e eventos de segurança. Ele inclui uma taxonomia de dados independente do fornecedor que reduz a necessidade de normalizar logs e dados de eventos de segurança em diversos produtos, serviços e ferramentas de código aberto.
P: Quais fontes de logs e eventos são compatíveis com o Security Lake?
O Security Lake coleta logs automaticamente dos seguintes serviços:
- AWS CloudTrail
- Amazon Virtual Private Cloud (Amazon VPC)
- Amazon Route 53
- Amazon Simple Storage Service (S3)
- AWS Lambda
- Amazon Elastic Kubernetes Service (EKS)
- AWS Web Application Firewall (WAF)
Ele também coleta descobertas de segurança por meio do AWS Security Hub para os seguintes serviços:
- AWS Config
- AWS Firewall Manager
- Amazon GuardDuty
- AWS Health
- AWS Identity and Access Management (IAM) Access Analyzer
- Amazon Inspector
- Amazon Macie
- Gerenciador de Patches do AWS Systems Manager
Além disso, você pode adicionar dados de soluções de segurança de terceiros, outras fontes de nuvem e seus próprios dados personalizados compatíveis com o OCSF. Esses dados incluem logs de aplicações internas ou infraestrutura de rede que foram convertidos para o formato OCSF.
P: Existe uma avaliação gratuita do Security Lake?
Sim, você pode experimentar o serviço por 15 dias sem nenhum custo com qualquer nova conta no Security Lake com o nível gratuito da AWS. Você tem acesso ao conjunto completo de recursos durante a avaliação gratuita.
P: Quais são as diferenças entre o Security Lake e o CloudTrail Lake?
O Security Lake automatiza o fornecimento, a agregação, a normalização e o gerenciamento de dados relacionados à segurança da nuvem, on-premises e de fontes personalizadas em um data lake de segurança armazenado em sua conta da AWS. O Security Lake adotou o OCSF, um padrão aberto. Compatível com o OCSF, o serviço pode normalizar e combinar dados de segurança da AWS e uma ampla variedade de fontes de segurança empresarial. O AWS CloudTrail Lake é um data lake gerenciado de auditoria e segurança. Ele permite agregar, armazenar de forma imutável e consultar logs de auditoria e segurança da AWS (eventos do CloudTrail, itens de configuração do AWS Config, evidências de auditoria do AWS Audit Manager) e de fontes externas (aplicações internas ou SaaS hospedadas on-premises ou na nuvem, máquinas virtuais ou contêineres). Esses dados podem então ser armazenados por até sete anos em um armazenamento de dados de eventos do CloudTrail Lake, sem custo adicional, e investigados com o mecanismo de consulta SQL integrado do CloudTrail Lake.
P: Por que preciso de uma trilha organizacional para entregar eventos de gerenciamento do CloudTrail ao Security Lake?
Ativar o CloudTrail é um pré-requisito para coletar e entregar logs de eventos de gerenciamento do CloudTrail aos buckets do S3 do cliente por meio de qualquer serviço da AWS. Por exemplo, para entregar logs de eventos de gerenciamento do CloudTrail ao Amazon CloudWatch Logs, é necessário criar uma trilha primeiro. Como o Security Lake entrega eventos de gerenciamento do CloudTrail em nível organizacional para um bucket do S3 de propriedade do cliente, ele exige uma trilha de organização no CloudTrail com eventos de gerenciamento ativados.
P: Quais parceiros da AWS trabalham com o Security Lake?
O Security Lake pode receber descobertas de segurança de 50 soluções por meio da integração do AWS Security Hub. Para obter detalhes, consulte AWS Security Hub Partners. Há também um número crescente de soluções de tecnologia que podem fornecer dados no formato OCSF e ser integradas ao Security Lake. Para obter detalhes, consulte Parceiros do Amazon Security Lake.
P: O que é o Open Cybersecurity Schema Framework (OCSF)?
O OSCF corresponde a um esquema colaborativo de código aberto para logs e eventos de segurança. Ele inclui uma taxonomia de dados independente do fornecedor que reduz a necessidade de normalizar logs e dados de eventos de segurança em diversos produtos, serviços e ferramentas de código aberto.
P: Como faço para habilitar o Amazon Security Lake?
Ao abrir o console do Security Lake pela primeira vez, escolha Comece a usar e, em seguida, escolha Habilitar. O Security Lake utiliza um perfil vinculado ao serviço que inclui as permissões e a política de confiança que permitem ao Security Lake coletar dados de suas fontes e conceder acesso aos assinantes. É uma prática recomendada habilitar o Security Lake em todas as regiões da AWS com suporte. Isso permite que o Security Lake colete e retenha dados relativos a atividades não autorizadas ou incomuns, mesmo em regiões que você não utiliza ativamente. Se o Security Lake não estiver habilitado em todas as regiões com suporte, a capacidade de coleta de dados que envolvem serviços globais será reduzida.
P: O que é uma região de rollup?
Uma região de rollup corresponde a uma região que agrega logs e eventos de segurança de outras regiões especificadas. Ao habilitar o Security Lake, você pode especificar uma ou mais regiões de rollup que podem ajudar você a cumprir os requisitos de conformidade regional.
P: A quais regiões o Security Lake oferece suporte?
A disponibilidade regional do Security Lake está listada na página de endpoints do Amazon Security Lake.