Вопрос. Что такое Amazon Security Lake?

Amazon Security Lake – это сервис, который автоматизирует поиск, агрегирование, нормализацию и управление данными в вашей организации в озеро данных о безопасности, хранящееся в вашей учетной записи. Озеро данных о безопасности помогает сделать данные о безопасности вашей организации широко доступными для аналитических решений, которые используются для обнаружения угроз, расследования и реагирования на инциденты.

Вопрос. Почему мне следует использовать Security Lake?

Amazon Security Lake автоматически централизует данные о безопасности из облачных, локальных и пользовательских источников в специально созданное озеро данных, хранящееся в вашем аккаунте. Используйте озеро безопасности данных, чтобы анализировать данные о безопасности и получить более полное представление о безопасности в масштабах всей организации. Вы также можете использовать Озеро данных безопасности, чтобы улучшить защиту рабочих нагрузок, приложений и данных. К данным, связанным с безопасностью, относятся журналы служб и приложений, оповещения системы безопасности и аналитика угроз (например известные вредоносные IP-адреса), которые являются источником достоверной информации для обнаружения, расследования и устранения инцидентов безопасности. Передовая практика безопасности требует эффективного процесса управления журналом и данными о событиях безопасности. Security Lake автоматизирует этот процесс и упрощает решения, выполняющие обнаружение потоковой аналитики, аналитику временных рядов, аналитику поведения пользователей и объектов (UEBA), оркестрацию безопасности и исправление уязвимостей (SOAR) и реагирование на инциденты. 

Вопрос. Какие источники журналов и событий поддерживает Security Lake в ознакомительной версии?

Amazon Security Lake автоматически собирает журналы для AWS CloudTrail, виртуального частного облака Amazon (VPC), Amazon Route 53, Amazon Simple Storage Service (S3) и AWS Lambda. Оно также собирает сведения о безопасности с помощью Центра безопасности AWS для AWS Config, Диспетчера брандмауэра AWS, Amazon GuardDuty, Работоспособности AWS, Анализатора доступа для диспетчера идентификации и доступа AWS (IAM), Amazon Inspector, Amazon Macie и Менеджера патчей систем AWS. Вы также можете добавить данные из сторонних решений для обеспечения безопасности, поддерживающих Open Cybersecurity Schema Framework (OCSF), и свои пользовательские данные. Эти данные включают журналы внутренних приложений или сетевой инфраструктуры, которые вы преобразовали в формат OCSF.

Вопрос. Какие партнеры работают с Amazon Security Lake?

В Amazon Security Lake принят открытый стандарт OCSF, который помогает автоматически нормализовать данные о безопасности из более чем 50 решений, интегрированных через Центр безопасности AWS. Чтобы получить дополнительную информацию, см. Партнеры Центра безопасности AWS. Также растет число технологических решений, которые могут предоставлять данные в формате OCSF и интегрироваться с Озером данных безопасности Amazon. Чтобы получить дополнительную информацию, см. Партнеры Amazon Security Lake.

Вопрос. Что такое Open Cybersecurity Schema Framework (OCSF)?

OSCF – это общая схема с открытым исходным кодом для журналов и событий безопасности. Она включает независимую от поставщика таксономию данных, которая снижает потребность в нормализации данных журналов и событий безопасности для различных продуктов, служб и инструментов с открытым исходным кодом.

Вопрос. Как включить Amazon Security Lake?

При первом открытии консоли Amazon Security Lake выберите «Начать», а затем выберите «Включить». Озеро данных безопасности Amazon пользуется ролью, связанной с сервисом, охватывающей политику разрешений и доверия, которая позволяет Озеру данных безопасности Amazon собирать данные из ваших источников и предоставлять доступ подписчикам. Рекомендуется включать Озеро данных безопасности Amazon во всех поддерживаемых регионах AWS. Это позволяет Озеру данных безопасности Amazon собирать и сохранять данные, связанные с несанкционированными или необычными действиями, даже в регионах, которые вы активно не используете. Если Amazon Security Lake включен не во всех поддерживаемых регионах, его возможности по сбору данных, связанных с глобальными сервисами, уменьшаются.

Вопрос. Что такое сводный регион?

Сводный регион – это регион AWS, который объединяет журналы и события безопасности из других указанных регионов. При включении Amazon Security Lake вы можете указать один или несколько сводных регионов, что поможет вам соответствовать региональным требованиям.