Озеро безопасности Amazon – это сервис, который автоматизирует поиск, агрегирование, нормализацию и управление данными безопасности в вашей организации в озеро данных безопасности, хранящееся в вашей учетной записи. Озеро данных безопасности помогает сделать данные безопасности вашей организации широко доступными для предпочитаемых вами решений аналитики безопасности, которые выполняют такие сценарии использования, как обнаружение угроз, расследование и реагирование на инциденты.
Озеро безопасности автоматически централизует данные о безопасности из сред AWS, поставщиков SaaS, облачных и локальных источников в специально созданное озеро данных, хранящееся в вашем аккаунте. Озеро безопасности можно использовать для анализа данных безопасности, что позволяет получить более полное представление о безопасности во всей организации и улучшить защиту рабочих нагрузок, приложений и данных. К данным, связанным с безопасностью, относятся журналы служб и приложений, оповещения системы безопасности и аналитика угроз (например известные вредоносные IP-адреса), которые являются источником достоверной информации для обнаружения, расследования и устранения инцидентов безопасности. Передовая практика безопасности требует эффективного процесса управления журналом и данными о событиях безопасности. Озеро безопасности автоматизирует этот процесс и упрощает решения, выполняющие обнаружение потоковой аналитики, аналитику временных рядов, аналитику поведения пользователей и объектов (UEBA), оркестрацию и исправление безопасности (SOAR), а также реагирование на инциденты.
Open Cybersecurity Schema Framework (OSCF) – это общая схема с открытым исходным кодом для журналов и событий безопасности. Она включает независимую от поставщика таксономию данных, которая снижает потребность в нормализации данных журналов и событий безопасности для различных продуктов, служб и инструментов с открытым исходным кодом.
Озеро безопасности автоматически собирает журналы для следующих сервисов.
Оно также собирает данные о безопасности через Центр безопасности AWS для следующих сервисов:
Кроме того, вы можете добавлять данные из сторонних решений безопасности, других облачных источников и свои собственные данные, поддерживающие OCSF. Эти данные включают журналы внутренних приложений или сетевой инфраструктуры, которые вы преобразовали в формат OCSF.
Да, вы можете бесплатно опробовать сервис в течение 15 дней с любым новым аккаунтом в Amazon Security Lake в рамках Уровня бесплатного пользования AWS. В бесплатной пробной версии клиенту предоставляется доступ к полному набору возможностей.
Озеро безопасности автоматизирует поиск, агрегирование, нормализацию данных, связанных с безопасностью, и управление ими из облачных, локальных и специализированных источников в озеро данных безопасности, хранящееся в вашем аккаунте AWS. Озеро безопасности принимает открытый стандарт OCSF. Благодаря поддержке OCSF сервис может нормализовать и объединять данные о безопасности из AWS и широкого спектра корпоративных источников данных о безопасности. Озеро AWS CloudTrail – это управляемое озеро аудита и безопасности. Оно позволяет агрегировать, неизменно хранить и запрашивать журналы аудита и безопасности из AWS (события CloudTrail, элементы конфигурации из AWS Config, доказательства аудита в Диспетчере аудита AWS) и внешних источников (собственные приложения или приложения SaaS, размещенные локально либо в облаке, виртуальные машины или контейнеры). Затем эти данные можно хранить до 7 лет в хранилище данных событий озера CloudTrail без дополнительных затрат и исследовать с помощью встроенного механизма SQL-запросов озера CloudTrail.
Включение CloudTrail является обязательным условием для сбора и доставки журналов событий управления CloudTrail в корзины S3 клиентов через любой сервис AWS. Например, чтобы доставить журналы событий управления CloudTrail в журналы Amazon CloudWatch, сначала необходимо создать отслеживание. Поскольку Amazon Security Lake передает события управления CloudTrail на уровне организации в корзину S3, принадлежащую клиенту, требуется отслеживание событий организации CloudTrail с активированными событиями управления.
Благодаря интеграции с Центром безопасности AWS Озеро безопасности может получать результаты безопасности из 50 решений. Подробнее см. в статье о Партнерах Центра безопасности AWS. Также растет число технологических решений, которые могут предоставлять данные в формате OCSF и интегрироваться с Озером данных безопасности. Подробнее см. в статье о Партнерах Amazon Security Lake.
При первом открытии консоли Озера безопасности выберите Get Started (Начать), а затем – Enable (Включить). Озеро безопасности пользуется ролью, связанной с сервисом, охватывающей политику разрешений и доверия, которая позволяет Озеру безопасности собирать данные из ваших источников и предоставлять доступ подписчикам. Рекомендуется включать Озеро безопасности во всех поддерживаемых регионах AWS. Это позволяет Озеру безопасности собирать и сохранять данные, связанные с несанкционированными или необычными действиями, даже в регионах, которые вы активно не используете. Если Озеро безопасности включено не во всех поддерживаемых регионах, его возможности по сбору данных, связанных с глобальными сервисами, уменьшаются.
Сводный регион – это регион, который объединяет журналы и события безопасности из других указанных регионов. При включении Озера безопасности вы можете указать один или несколько сводных регионов, что поможет вам соответствовать региональным требованиям.
Региональная доступность Amazon Security Lake указана на странице адресов Amazon Security Lake.