Часто задаваемые вопросы об Озере безопасности Amazon
Темы страниц
Общие вопросыОбщие вопросы
Что такое Озеро данных безопасности Amazon?
Озеро безопасности Amazon – это сервис, который автоматизирует поиск, агрегирование, нормализацию и управление данными безопасности в вашей организации в озеро данных безопасности, хранящееся в вашей учетной записи. Озеро данных безопасности помогает сделать данные безопасности вашей организации широко доступными для предпочитаемых вами решений аналитики безопасности, которые выполняют такие сценарии использования, как обнаружение угроз, расследование и реагирование на инциденты.
Почему мне следует использовать Озеро безопасности данных?
Озеро безопасности автоматически централизует данные о безопасности из сред AWS, поставщиков SaaS, облачных и локальных источников в специально созданное озеро данных, хранящееся в вашем аккаунте. Озеро безопасности можно использовать для анализа данных безопасности, что позволяет получить более полное представление о безопасности во всей организации и улучшить защиту рабочих нагрузок, приложений и данных. К данным, связанным с безопасностью, относятся журналы служб и приложений, оповещения системы безопасности и аналитика угроз (например известные вредоносные IP-адреса), которые являются источником достоверной информации для обнаружения, расследования и устранения инцидентов безопасности. Передовая практика безопасности требует эффективного процесса управления журналом и данными о событиях безопасности. Озеро безопасности автоматизирует этот процесс и упрощает решения, выполняющие обнаружение потоковой аналитики, аналитику временных рядов, аналитику поведения пользователей и объектов (UEBA), оркестрацию и исправление безопасности (SOAR), а также реагирование на инциденты.
Вопрос. Что такое Open Cybersecurity Schema Framework?
Open Cybersecurity Schema Framework (OSCF) – это общая схема с открытым исходным кодом для журналов и событий безопасности. Она включает независимую от поставщика таксономию данных, которая снижает потребность в нормализации данных журналов и событий безопасности для различных продуктов, служб и инструментов с открытым исходным кодом.
Какие источники журналов и событий поддерживает Amazon Security Lake?
Озеро безопасности автоматически собирает журналы для следующих сервисов.
- AWS CloudTrail
- Amazon Virtual Private Cloud (VPC)
- Amazon Route 53
- Amazon Simple Storage Service (S3)
- AWS Lambda
- Эластичный сервис Amazon Kubernetes (EKS)
- AWS Web Application Firewall (WAF)
Оно также собирает данные о безопасности через Центр безопасности AWS для следующих сервисов:
- AWS Config
- AWS Firewall Manager
- Amazon GuardDuty
- AWS Health
- Анализатор доступа Управления идентификацией и доступом AWS (IAM)
- Amazon Inspector
- Amazon Macie
- Менеджер исправлений Менеджера систем AWS
Кроме того, вы можете добавлять данные из сторонних решений безопасности, других облачных источников и свои собственные данные, поддерживающие OCSF. Эти данные включают журналы внутренних приложений или сетевой инфраструктуры, которые вы преобразовали в формат OCSF.
Доступен ли бесплатный ознакомительный период использования Amazon Security Lake?
Да, вы можете бесплатно опробовать сервис в течение 15 дней с любым новым аккаунтом в Amazon Security Lake в рамках Уровня бесплатного пользования AWS. В бесплатной пробной версии клиенту предоставляется доступ к полному набору возможностей.
Как работает интеграция между сервисом Amazon OpenSearch и Amazon Security Lake?
Интеграция сервиса Amazon OpenSearch и Amazon Security Lake упрощает прямой поиск, получение аналитических выводов и анализ данных, хранящихся в Security Lake, в рамках сервиса Amazon OpenSearch. Существует два способа интеграции Security Lake и сервиса OpenSearch: доступ к данным по запросу и непрерывный прием данных. Вариант доступа «по запросу» идеально подходит для объемных источников журналов с нечастым доступом. В этом случае пользователи смогут анализировать данные без предварительных затрат на прием данных. Аналогичным образом, метод непрерывного приема данных подходит для анализа в реальном времени и обеспечивает более быстрый доступ к важным источникам безопасности, таким как полученные данные Центра безопасности AWS и события управления AWS CloudTrail.
В чем разница между озером Amazon Security Lake и озером CloudTrail?
Озеро безопасности автоматизирует поиск, агрегирование, нормализацию данных, связанных с безопасностью, и управление ими из облачных, локальных и специализированных источников в озеро данных безопасности, хранящееся в вашем аккаунте AWS. Озеро безопасности принимает открытый стандарт OCSF. Благодаря поддержке OCSF сервис может нормализовать и объединять данные о безопасности из AWS и широкого спектра корпоративных источников данных о безопасности. Озеро AWS CloudTrail – это управляемое озеро аудита и безопасности. Оно позволяет агрегировать, неизменно хранить и запрашивать журналы аудита и безопасности из AWS (события CloudTrail, элементы конфигурации из AWS Config, доказательства аудита в Диспетчере аудита AWS) и внешних источников (собственные приложения или приложения SaaS, размещенные локально либо в облаке, виртуальные машины или контейнеры). Затем эти данные можно хранить до 7 лет в хранилище данных событий озера CloudTrail без дополнительных затрат и исследовать с помощью встроенного механизма SQL-запросов озера CloudTrail.
Как начать интеграцию сервиса Amazon OpenSearch и Security Lake?
Для начала необходима существующая конфигурация Security Lake в вашей среде AWS. Таким образом обеспечивается централизованное хранение и доступ к данным корпоративной безопасности.
После настройки Security Lake можно активировать интеграцию с сервисом Amazon OpenSearch. Для этого перейдите в консоль Security Lake в Консоли управления AWS и создайте подписчика для аккаунта, который вы планируете использовать для Amazon OpenSearch. Затем перейдите в консоль сервиса Amazon OpenSearch и настройте источник данных для Security Lake. При этом вам потребуется настроить необходимые разрешения и средства контроля доступа, чтобы сервис OpenSearch мог безопасно получать доступ к данным в Security Lake и запрашивать их.
Затем вы можете изучить готовые запросы и варианты интеграции, доступные через OCSF, чтобы быстро реализовать типичные сценарии использования аналитики безопасности в панелях управления сервиса OpenSearch. Вы также можете настроить индексирование по запросу определенных наборов данных из Security Lake в сервис OpenSearch для решения расширенных потребностей в анализе и контроле.
После настройки интеграции вы можете начать запрашивать и анализировать данные безопасности прямо с панели управления, используя удобные и эффективные возможности поиска, анализа и визуализации. Вы также можете настроить панели управления и другие функции мониторинга в сервисе OpenSearch в соответствии с конкретными требованиями безопасности и рабочими процессами.
Зачем мне нужно отслеживание событий организации для передачи событий управления CloudTrail в Amazon Security Lake?
Включение CloudTrail является обязательным условием для сбора и доставки журналов событий управления CloudTrail в корзины S3 клиентов через любой сервис AWS. Например, чтобы доставить журналы событий управления CloudTrail в журналы Amazon CloudWatch, сначала необходимо создать отслеживание. Поскольку Amazon Security Lake передает события управления CloudTrail на уровне организации в корзину S3, принадлежащую клиенту, требуется отслеживание событий организации CloudTrail с активированными событиями управления.
Какие Партнеры AWS работают с Amazon Security Lake?
Благодаря интеграции с Центром безопасности AWS Озеро безопасности может получать результаты безопасности из 50 решений. Подробнее см. в статье о Партнерах Центра безопасности AWS. Также растет число технологических решений, которые могут предоставлять данные в формате OCSF и интегрироваться с Озером данных безопасности. Подробнее см. в статье о Партнерах Amazon Security Lake.
Как включить Озеро данных безопасности Amazon?
При первом открытии консоли Озера безопасности выберите Get Started (Начать), а затем – Enable (Включить). Озеро безопасности пользуется ролью, связанной с сервисом, охватывающей политику разрешений и доверия, которая позволяет Озеру безопасности собирать данные из ваших источников и предоставлять доступ подписчикам. Рекомендуется включать Озеро безопасности во всех поддерживаемых регионах AWS. Это позволяет Озеру безопасности собирать и сохранять данные, связанные с несанкционированными или необычными действиями, даже в регионах, которые вы активно не используете. Если Озеро безопасности включено не во всех поддерживаемых регионах, его возможности по сбору данных, связанных с глобальными сервисами, уменьшаются.
Что такое сводный регион?
Сводный регион – это регион, который объединяет журналы и события безопасности из других указанных регионов. При включении Озера безопасности вы можете указать один или несколько сводных регионов, что поможет вам соответствовать региональным требованиям.
Какие регионы поддерживает Amazon Security Lake?
Региональная доступность Amazon Security Lake указана на странице адресов Amazon Security Lake.