Amazon Security Lake 常見問答集

頁面主題

一般問題

一般問題

Amazon Security Lake 是一項服務,可將組織中安全資料的來源、彙總、標準化和資料管理自動化,並儲存在您帳戶的安全資料湖中。安全資料湖可協助您透過偏好的安全分析解決方案廣泛存取組織的安全資料,以支援威脅偵測、調查和事件回應等使用案例。

Security Lake 自動將來自 AWS 環境、SaaS 供應商、內部部署和雲端來源的安全資料集中到儲存在您帳戶中的專用資料湖。使用 Security Lake 分析安全性資料、更全面地了解整個組織的安全性,並改善工作負載、應用程式和資料的保護。安全相關資料包括服務和應用程式日誌、安全提醒以及威脅情報 (例如已知的惡意 IP 地址),這些資料對於偵測、調查和補救安全事件至關重要。安全最佳實務需要有效的日誌和安全事件資料管理程序。Security Lake 可將此程序自動化,並促進解決方案執行串流分析偵測、時間序列分析、使用者和實體行為分析 (UEBA)、安全協同運作和補救 (SOAR),以及事件回應。

開放式網路安全結構描述架構 (OCSF) 是用於安全日誌和事件的協作式開放原始碼結構描述。OCSF 包含與廠商無關的資料分類法,可減少在各種產品、服務和開放原始碼工具之間標準化安全日誌和事件資料的需求。

Security Lake 會自動收集下列服務的日誌:

  • AWS CloudTrail
  • Amazon Virtual Private Cloud (VPC)
  • Amazon Route 53
  • Amazon Simple Storage Service (S3)
  • AWS Lambda
  • Amazon Elastic Kubernetes Service (EKS) 
  • AWS Web Application Firewall (WAF)

此外還會透過 AWS Security Hub,針對下列服務收集安全調查結果:

  • AWS Config
  • AWS Firewall Manager
  • Amazon GuardDuty
  • AWS Health
  • AWS Identity and Access Management (IAM) Access Analyzer
  • Amazon Inspector
  • Amazon Macie
  • AWS Systems Manager Patch Manager

此外,您可以新增來自第三方安全解決方案、其他雲端來源的資料,以及您自己支援 OCSF 的自訂資料。此資料包括來自您已轉換成 OCSF 格式的內部應用程式或網路基礎架構的日誌。

是,任何新帳戶透過 AWS 免費方案使用 Security Lake,都能免費試用該服務 15 天。 在免費試用期間,您擁有完整功能集的存取權。

Security Lake 可將來自雲端、內部部署和自訂來源的安全相關資料的來源、彙總、標準化和管理自動化,自動連線至存放在您 AWS 帳戶的安全資料湖。Security Lake 採用 OCSF,這是一項開放的標準。在 OCSF 的支援下,該服務可以標準化和組合來自 AWS 和許多不同企業安全來源的安全資料。AWS CloudTrail Lake 是一個受管的稽核和安全資料湖。它可讓您彙總、不可變地存放和查詢來自 AWS 和外部來源 (在內部部署或雲端託管的內部或 SaaS 應用程式、虛擬機器或容器) 的稽核和安全日誌 (CloudTrail 事件、AWS Config 的組態項目、AWS Audit Manager 的稽核證據)。這些資料隨後可在 CloudTrail Lake 事件資料存放區中存放長達 7 年,無需額外付費,以及使用 CloudTrail Lake 內建的 SQL 查詢引擎接受調查。

開啟 CloudTrail 是透過任何 AWS 服務收集 CloudTrail 管理事件日誌,並將其傳遞至客戶 S3 儲存貯體的先決條件。例如,若要將 CloudTrail 管理事件日誌傳遞至 Amazon CloudWatch Logs,必須先建立追蹤。由於 Security Lake 將組織層級的 CloudTrail 管理事件傳遞至客戶擁有的 S3 儲存貯體,因此需要 CloudTrail 中的組織追蹤,並啟用管理事件。

Security Lake 可透過 AWS Security Hub 整合,從 50 個解決方案中接收安全調查結果。如需詳細資訊,請參閱 AWS Security Hub 合作夥伴。 還有越來越多的技術解決方案可提供 OCSF 格式的資料,並與 Security Lake 整合。如需詳細資訊,請參閱 Amazon Security Lake Partners

首次開啟 Security Lake 主控台時,請選擇「開始使用」,然後選擇「啟用」。Security Lake 使用服務連結角色,該角色包含允許 Security Lake 從您的來源收集資料並向訂閱用戶授予存取權的許可和信任政策。最佳實務是在所有受支援的 AWS 區域中啟用 Security Lake。這可讓 Security Lake 收集並保留與未經授權或不尋常活動相關的資料,即使在您未主動使用的區域亦然。如果未在所有支援的區域中啟用 Security Lake,則其收集涉及全球服務之資料的能力就會降低。

彙總區域是彙總來自其他指定區域的安全日誌和事件的區域。啟用 Security Lake 時,您可以指定一或多個彙總區域,以協助您遵守區域合規要求。

Security Lake 區域可用性列於 Amazon Security Lake 端點頁面。