Amazon Security Lake 常見問答集

問:什麼是 Amazon Security Lake?

Amazon Security Lake 是一項服務,可將組織中安全資料的來源、彙總、標準化和資料管理自動化,並儲存在您帳戶的安全資料湖中。安全資料湖可協助您透過偏好的安全分析解決方案廣泛存取組織的安全資料,以支援威脅偵測、調查和事件回應等使用案例。

問:使用 Security Lake 的優勢為何?

Amazon Security Lake 自動將來自雲端、內部部署和自訂來源的安全資料集中到儲存在您帳戶中的專用資料湖。使用 Security Lake 分析安全資料,可更全面地了解整個組織的安全性。您也可以使用 Security Lake 來助您改善工作負載、應用程式和資料的保護。安全相關資料包括服務和應用程式日誌、安全提醒以及威脅情報 (例如已知的惡意 IP 地址),這些資料是偵測、調查和補救安全事件的真實來源。安全最佳實務需要有效的日誌和安全事件資料管理程序。Security Lake 可將此程序自動化,並促進解決方案執行串流分析偵測、時間序列分析、使用者和實體行為分析 (UEBA)、安全協同運作和補救 (SOAR),以及事件回應。 

問:Security Lake 在預覽版期間支援哪些日誌和事件來源?

Amazon Security Lake 會自動收集 AWS CloudTrail、Amazon Virtual Private Cloud (Amazon VPC)、Amazon Route 53、Amazon Simple Storage Service (Amazon S3) 和 AWS Lambda 的日誌。它也會透過適用於 AWS Config、AWS Firewall Manager、Amazon GuardDuty、AWS Health、AWS Identity and Access Management (IAM) Access Analyzer、Amazon Inspector、Amazon Macie 和 AWS Systems Manager Patch Manager 的 AWS Security Hub 來收集安全問題清單。您也可以從支援開放式網路安全結構描述架構 (OCSF) 和您的自訂資料的第三方安全解決方案新增資料。此資料包括來自您已轉換成 OCSF 格式的內部應用程式或網路基礎架構的日誌。

問:哪些合作夥伴正與 Amazon Security Lake 合作?

Amazon Security Lake 採用 OCSF,這是一種開放標準,有助於從透過 AWS Security Hub 的 50 多項解決方案自動標準化安全問題清單。如需詳細資訊,請參閱 AWS Security Hub 合作夥伴。 還有越來越多的技術解決方案可提供 OCSF 格式的資料,並與 Amazon Security Lake 整合。如需詳細資訊,請參閱 Amazon Security Lake Partners

問:什麼是開放式網路安全結構描述架構 (OCSF)?

OCSF 是用於安全日誌和事件的協作式開放原始碼結構描述。OCSF 包含與廠商無關的資料分類法,可減少在各種產品、服務和開放原始碼工具之間標準化安全日誌和事件資料的需求。

問:如何啟用 Amazon Security Lake?

在第一次開啟 Amazon Security Lake 主控台時,請選擇「開始使用」,然後選擇「啟用」。Amazon Security Lake 使用服務連結角色,該角色包含允許 Amazon Security Lake 從您的來源收集資料並向訂閱者授予存取權的許可和信任政策。最佳實務是在所有受支援的 AWS 區域中啟用 Amazon Security Lake。這可讓 Amazon Security Lake 收集並保留與未經授權或不尋常活動相關的資料,即使在您未主動使用的區域亦然。如果未在所有支援的區域中啟用 Amazon Security Lake,則其收集涉及全球服務之資料的能力就會降低。

問:什麼是彙總區域?

彙總區域是彙總來自其他指定區域的安全日誌和事件的 AWS 區域。啟用 Amazon Security Lake 時,您可以指定一或多個彙總區域,以協助您遵守區域合規要求。