Часто задаваемые вопросы об Озере безопасности Amazon

Озеро безопасности Amazon – это сервис, который автоматизирует поиск, агрегирование, нормализацию и управление данными безопасности в вашей организации в озеро данных безопасности, хранящееся в вашей учетной записи. Озеро данных безопасности помогает сделать данные безопасности вашей организации широко доступными для предпочитаемых вами решений аналитики безопасности, которые выполняют такие сценарии использования, как обнаружение угроз, расследование и реагирование на инциденты.

Озеро безопасности автоматически централизует данные о безопасности из сред AWS, поставщиков SaaS, облачных и локальных источников в специально созданное озеро данных, хранящееся в вашем аккаунте. Озеро безопасности можно использовать для анализа данных безопасности, что позволяет получить более полное представление о безопасности во всей организации и улучшить защиту рабочих нагрузок, приложений и данных. К данным, связанным с безопасностью, относятся журналы служб и приложений, оповещения системы безопасности и аналитика угроз (например известные вредоносные IP-адреса), которые являются источником достоверной информации для обнаружения, расследования и устранения инцидентов безопасности. Передовая практика безопасности требует эффективного процесса управления журналом и данными о событиях безопасности. Озеро безопасности автоматизирует этот процесс и упрощает решения, выполняющие обнаружение потоковой аналитики, аналитику временных рядов, аналитику поведения пользователей и объектов (UEBA), оркестрацию и исправление безопасности (SOAR), а также реагирование на инциденты.

Open Cybersecurity Schema Framework (OSCF) – это общая схема с открытым исходным кодом для журналов и событий безопасности. Она включает независимую от поставщика таксономию данных, которая снижает потребность в нормализации данных журналов и событий безопасности для различных продуктов, служб и инструментов с открытым исходным кодом.

Озеро безопасности автоматически собирает журналы для следующих сервисов.

• AWS CloudTrail
• Виртуальное частное облако Amazon (VPC)
• Amazon Route 53
• Простой сервис хранения данных Amazon (S3)
• AWS Lambda
• Эластичный сервис Amazon Kubernetes (EKS) 
• Брандмауэр веб‑приложений AWS (WAF)

Оно также собирает данные о безопасности через Центр безопасности AWS для следующих сервисов:

• AWS Config
• Диспетчер брандмауэра AWS
• Amazon GuardDuty
• Работоспособность AWS
• Анализатор доступа Управления идентификацией и доступом AWS (IAM)
• Amazon Inspector
• Amazon Macie
• Менеджер исправлений Менеджера систем AWS

Кроме того, вы можете добавлять данные из сторонних решений безопасности, других облачных источников и свои собственные данные, поддерживающие OCSF. Эти данные включают журналы внутренних приложений или сетевой инфраструктуры, которые вы преобразовали в формат OCSF.

Да, вы можете бесплатно опробовать сервис в течение 15 дней, используя любой новый аккаунт Security Lake на уровне бесплатного пользования AWS.  В бесплатной пробной версии клиенту предоставляется доступ к полному набору возможностей.

Интеграция сервиса Amazon OpenSearch и Amazon Security Lake упрощает прямой поиск, получение аналитических выводов и анализ данных, хранящихся в Security Lake, в рамках сервиса Amazon OpenSearch. Существует два способа интеграции Security Lake и сервиса OpenSearch: доступ к данным по запросу и непрерывный прием данных. Вариант доступа «по запросу» идеально подходит для объемных источников журналов с нечастым доступом. В этом случае пользователи смогут анализировать данные без предварительных затрат на прием данных. Аналогичным образом, метод непрерывного приема данных подходит для анализа в реальном времени и обеспечивает более быстрый доступ к важным источникам безопасности, таким как полученные данные Центра безопасности AWS и события управления AWS CloudTrail.

Озеро безопасности автоматизирует поиск, агрегирование, нормализацию данных, связанных с безопасностью, и управление ими из облачных, локальных и специализированных источников в озеро данных безопасности, хранящееся в вашем аккаунте AWS. Озеро безопасности принимает открытый стандарт OCSF. Благодаря поддержке OCSF сервис может нормализовать и объединять данные о безопасности из AWS и широкого спектра корпоративных источников данных о безопасности. Озеро AWS CloudTrail – это управляемое озеро аудита и безопасности. Оно позволяет агрегировать, неизменно хранить и запрашивать журналы аудита и безопасности из AWS (события CloudTrail, элементы конфигурации из AWS Config, доказательства аудита в Диспетчере аудита AWS) и внешних источников (собственные приложения или приложения SaaS, размещенные локально либо в облаке, виртуальные машины или контейнеры). Затем эти данные можно хранить до 7 лет в хранилище данных событий озера CloudTrail без дополнительных затрат и исследовать с помощью встроенного механизма SQL-запросов озера CloudTrail.

Для начала необходима существующая конфигурация Security Lake в вашей среде AWS. Таким образом обеспечивается централизованное хранение и доступ к данным корпоративной безопасности.

После настройки Security Lake можно активировать интеграцию с сервисом Amazon OpenSearch. Для этого перейдите в консоль Security Lake в Консоли управления AWS и создайте подписчика для аккаунта, который вы планируете использовать для Amazon OpenSearch. Затем перейдите в консоль сервиса Amazon OpenSearch и настройте источник данных для Security Lake. При этом вам потребуется настроить необходимые разрешения и средства контроля доступа, чтобы сервис OpenSearch мог безопасно получать доступ к данным в Security Lake и запрашивать их.

Затем вы можете изучить готовые запросы и варианты интеграции, доступные через OCSF, чтобы быстро реализовать типичные сценарии использования аналитики безопасности в панелях управления сервиса OpenSearch. Вы также можете настроить индексирование по запросу определенных наборов данных из Security Lake в сервис OpenSearch для решения расширенных потребностей в анализе и контроле.

После настройки интеграции вы можете начать запрашивать и анализировать данные безопасности прямо с панели управления, используя удобные и эффективные возможности поиска, анализа и визуализации. Вы также можете настроить панели управления и другие функции мониторинга в сервисе OpenSearch в соответствии с конкретными требованиями безопасности и рабочими процессами.

Включение CloudTrail является обязательным условием для сбора и доставки журналов событий управления CloudTrail в корзины S3 клиентов через любой сервис AWS. Например, чтобы доставить журналы событий управления CloudTrail в журналы Amazon CloudWatch, сначала необходимо создать отслеживание. Поскольку Security Lake доставляет события управления CloudTrail на уровне организации в принадлежащую клиенту корзину S3, ей требуется отслеживание организации в CloudTrail с активированными событиями управления.

Благодаря интеграции с Центром безопасности AWS Озеро безопасности может получать результаты безопасности из 50 решений. Подробнее см. в разделе Партнеры AWS Security Hub. Также растет число технологических решений, которые могут предоставлять данные в формате OCSF и интегрироваться с Озером данных безопасности. Подробнее см. в разделе Партнеры Amazon Security Lake.

При первом открытии консоли Озера безопасности выберите Get Started (Начать), а затем – Enable (Включить). Озеро безопасности пользуется ролью, связанной с сервисом, охватывающей политику разрешений и доверия, которая позволяет Озеру безопасности собирать данные из ваших источников и предоставлять доступ подписчикам. Рекомендуется включать Озеро безопасности во всех поддерживаемых регионах AWS. Это позволяет Озеру безопасности собирать и сохранять данные, связанные с несанкционированными или необычными действиями, даже в регионах, которые вы активно не используете. Если Озеро безопасности включено не во всех поддерживаемых регионах, его возможности по сбору данных, связанных с глобальными сервисами, уменьшаются.

Сводный регион – это регион, который объединяет журналы и события безопасности из других указанных регионов. При включении Озера безопасности вы можете указать один или несколько сводных регионов, что поможет вам соответствовать региональным требованиям.

Региональная доступность Security Lake указана на странице конечных точек Amazon Security Lake.