Amazon Security Lake 自動將來自 AWS 環境、SaaS 供應商、內部部署和雲端來源的安全資料集中到儲存在您帳戶中的專用資料湖。Security Lake 可讓您更輕鬆地分析安全資料、更全面地了解整個組織的安全性,以及改善工作負載、應用程式和資料的保護。Security Lake 可自動收集和管理跨帳戶和 AWS 區域的安全資料,讓您可以使用喜好的分析工具,同時保留對安全資料的控制權和擁有權。Security Lake 採用了開放式網路安全模式框架 (OCSF),這是一種開放式標準。在 OCSF 的支援下,該服務可標準化和組合來自 AWS 和許多不同企業安全資料來源的安全資料。有了 Security Lake,您的分析師和安全工程師團隊可獲得廣泛的洞察,以調查和回應安全事件,促進及時回應,以及提高您跨多雲端和混合環境的安全性。
Security Lake 會在您帳戶中建立專用的安全資料湖。Security Lake 會從不同帳戶和區域的雲端、內部部署及自訂資料來源收集日誌和事件資料。此服務會將收集到的日誌儲存到您的 Amazon Simple Storage Service (S3) 儲存貯體,讓您保留對資料的完全掌控權和擁有權。
Security Lake 會自動收集下列服務的日誌:
它還會收集來自 AWS Security Hub 的調查結果,包括來自下列服務的調查結果:
Security Lake 會將 AWS 日誌和安全調查結果自動標準化為 OCSF。您可以加入來自第三方安全解決方案的資料、其他雲端來源和您的自訂資料,例如來自內部應用程式或網路基礎設施,並已轉換為 OCSF 格式的日誌。憑藉 OCSF 支援,Security Lake 可集中、轉換並透過您偏好的分析工具處理安全資料。
您可在提供此服務的多個區域和多個 AWS 帳戶中啟用 Security Lake。您可依每個區域彙總不同帳戶的安全資料,或將多個區域的安全資料合併至彙總區域。Security Lake 彙總區域可協助您遵循區域合規要求。
Security Lake 可協助簡化安全及分析工具的資料湖存取設定。例如,您可以選擇只針對指定來源 (例如 CloudTrail) 的資料集授予存取權。有兩種可用的存取模式:資料存取 (當新物件寫入資料湖時會發出通知) 和查詢存取 (可讓工具查詢存放在安全資料湖中的資料)。
Security Lake 可透過自動化儲存分層,自訂保留設定和儲存成本,從而管理您的資料生命週期。Security Lake 會自動將傳入的安全資料分區,並且轉換為可高效儲存及查詢的 Apache Parquet 格式。 Security Lake 支援 AWS Glue 型錄中的 Apache Iceberg 資料表,可協助您輕鬆轉換分析工具,以更高效能執行查詢。
AWS AppFabric 會自動將 SaaS 稽核日誌標準化為 OCSF 格式,並將標準化的 OCSF 資料傳遞給 Security Lake。結合 Security Lake 和 AppFabric,您可以輕鬆彙總、標準化和視覺化關鍵資料來源之間的安全資料。Security Lake 與 AppFabric 整合,不會產生與資料標準化或資料擷取關聯的任何費用。標準 AppFabric 費用適用。
Amazon OpenSearch Service 可讓您輕鬆執行互動式日誌分析和即時應用程式監控,且其目前可與 Security Lake 無縫整合。這樣一來,您的組織將能夠高效搜尋、分析安全資料並從中獲得可行的洞察,從而協助簡化複雜的資料工程需求,並發揮安全資料的全部潛力。 此整合的主要優勢包括對所有 Security Lake 資料的全面可見性和存取、更快的安全價值以及簡化的組態。另外,此整合還提供改善成本管理的潛力。直接查詢 Security Lake 資料等功能可以協助避免資料重複。此整合還提供用於進階分析的精選資料集的隨需索引,以及使用開放式網路安全結構描述框架 (OCSF) 預先建置的查詢和儀表板。藉由利用此整合,您的組織可以使用 OpenSearch Service 的分析和視覺化功能來執行更深入的調查、加強威脅獵捕,以及主動監控您的安全狀態,同時可能降低成本。