Озеро безопасности Amazon автоматически централизует данные о безопасности из сред AWS, поставщиков SaaS, облачных и локальных источников в специально созданное озеро данных, хранящееся в вашем аккаунте. Озеро безопасности упрощает анализ данных безопасности, позволяет получить более полное представление о безопасности во всей организации и улучшить защиту рабочих нагрузок, приложений и данных. Озеро безопасности автоматизирует сбор данных безопасности и управление ими в разных аккаунтах и регионах AWS, чтобы вы могли использовать предпочитаемые аналитические инструменты, сохраняя при этом контроль над данными безопасности и владение ими. Озеро безопасности соответствует открытому стандарту Open Cybersecurity Schema Framework (OCSF). Благодаря поддержке OCSF сервис может нормализовать и объединять данные о безопасности из AWS и широкого спектра корпоративных источников данных о безопасности. С помощью Озера безопасности ваша команда аналитиков и инженеров по безопасности может получить полную информацию для расследования событий безопасности и реагирования на них, содействия своевременному реагированию и повышению безопасности в многооблачных и гибридных средах.
Агрегирование данных в аккаунте
Озеро безопасности Amazon создает в вашем аккаунте специализированное озеро данных безопасности. Озеро безопасности собирает данные журналов и событий из облачных, локальных и комбинированных источников данных в различных учетных записях и регионах. Сервис записывает собранные журналы в корзины Простого сервиса хранения данных Amazon (S3), чтобы вы могли сохранить полный контроль над своими данными и владение ими.
Различные поддерживаемые AWS и сторонние источники журналов и событий
Озеро безопасности автоматически собирает журналы для следующих сервисов.
- AWS CloudTrail
- Виртуальное частное облако Amazon (VPC)
- Amazon Route 53
- Простой сервис хранения данных Amazon (S3)
- AWS Lambda
- Amazon Elastic Kubernetes Service (EKS)
Оно также собирает данные о безопасности через Центр безопасности AWS для следующих сервисов:
- AWS Config
- Диспетчер брандмауэра AWS
- Amazon GuardDuty
- Работоспособность AWS
- Анализатор доступа Управления идентификацией и доступом AWS (IAM)
- Amazon Inspector
- Amazon Macie
- Менеджер исправлений Менеджера систем AWS
Нормализация данных и поддержка OCSF
Озеро безопасности автоматически нормализует обнаруженные данные журналов AWS и безопасности по стандарту OCSF. Вы можете добавлять данные из сторонних решений безопасности и других облачных ресурсов и свои собственные данные, такие как журналы внутренних приложений или сетевой инфраструктуры, преобразованные в формат OCSF. Благодаря поддержке OCSF Озеро безопасности позволяет централизовать, преобразовать и сделать данные безопасности доступными для предпочитаемых вами инструментов аналитики.
Поддержка нескольких аккаунтов и нескольких регионов
Озеро безопасности Amazon можно включить для нескольких регионов, в которых этот сервис доступен, и для нескольких аккаунтов AWS. Вы можете собирать данные о безопасности аккаунтов отдельно по регионам или консолидировать данные нескольких регионов в объединенные регионы. Объединенные регионы Озера безопасности позволяют соблюсти региональные нормативные требования.
Управление доступом к озеру данных безопасности
Озеро безопасности упрощает настройку доступа к озеру данных для инструментов безопасности и аналитики. Например, вы можете предоставить доступ только к наборам данных из определенных источников, таких как CloudTrail. Доступны два режима доступа: доступ к данным с выдачей уведомления при записи новых объектов в озеро данных и доступ к запросам, который позволяет инструментам запрашивать данные, хранящиеся в озере данных безопасности.
Управление жизненным циклом данных и их оптимизация
Озеро безопасности управляет жизненным циклом данных с помощью настраиваемых параметров сохранения и затратами на хранение посредством автоматического выбора уровня хранилищ. Security Lake автоматически секционирует и преобразует входящие данные безопасности в формат Apache Parquet для эффективного хранения и выполнения запросов. Security Lake поддерживает таблицы Apache Iceberg в каталоге AWS Glue, поэтому для выполнения запросов с повышенной производительностью доступны аналитические инструменты.
Наблюдаемость за безопасностью с помощью AWS AppFabric
AWS AppFabric автоматически нормализует журналы аудита приложений SaaS в формат OCSF и передает унифицированные данные OCSF в Security Lake. Благодаря сочетанию Security Lake и AppFabric вы можете легко агрегировать, унифицировать и визуализировать данные безопасности в ключевых источниках данных. Для интеграции AppFabric с Security Lake плата за унифицирование или получение данных не взимается. Взимается стандартная плата за AppFabric.