Câu hỏi thường gặp về Amazon Security Lake

Câu hỏi: Amazon Security Lake là gì?

Hồ bảo mật của Amazon là dịch vụ tự động hóa việc tìm nguồn, tổng hợp, chuẩn hóa và quản lý dữ liệu của dữ liệu bảo mật trong tổ chức thành một hồ dữ liệu bảo mật được lưu trữ trong tài khoản của bạn. Hồ dữ liệu bảo mật giúp các giải pháp phân tích bảo mật ưa thích của bạn có thể truy cập rộng rãi vào dữ liệu bảo mật của tổ chức, từ đó hỗ trợ các trường hợp sử dụng như phát hiện mối đe dọa, điều tra và ứng phó sự cố.

Câu hỏi: Tại sao tôi nên dùng Hồ bảo mật?

Hồ bảo mật tự động tập trung dữ liệu bảo mật của bạn từ môi trường AWS, nhà cung cấp SaaS, tại chỗ và các nguồn từ đám mây vào một hồ dữ liệu xây dựng cho mục đích nhất định được lưu trữ trong tài khoản của bạn. Sử dụng Hồ bảo mật để phân tích dữ liệu bảo mật, hiểu rõ hơn về tình trạng bảo mật trong toàn bộ tổ chức, đồng thời cải thiện khả năng bảo vệ khối lượng công việc, ứng dụng và dữ liệu. Dữ liệu liên quan đến bảo mật bao gồm bản ghi dịch vụ và ứng dụng, cảnh báo bảo mật và thông tin về mối đe dọa (chẳng hạn như địa chỉ IP độc hại đã biết), đóng vai trò thiết yếu để phát hiện, điều tra và khắc phục sự cố bảo mật. Các biện pháp bảo mật tốt nhất đòi hỏi phải có một quy trình quản lý dữ liệu sự kiện bảo mật và bản ghi hiệu quả. Hồ bảo mật tự động hóa quy trình này và hỗ trợ các giải pháp thực hiện phát hiện số liệu phân tích luồng, phân tích chuỗi thời gian, phân tích hành vi người dùng và thực thể (UEBA), điều phối và khắc phục bảo mật (SOAR) và ứng phó sự cố.

Hỏi: Khung lược đồ an ninh mạng mở là gì?

Khung lược đồ an ninh mạng mở (OCSF) là một lược đồ nguồn mở cộng tác cho các sự kiện và bản ghi bảo mật. Lược đồ này bao gồm nguyên tắc phân loại dữ liệu không phụ thuộc vào nhà cung cấp, giúp giảm nhu cầu chuẩn hóa dữ liệu sự kiện và bản ghi bảo mật trên các sản phẩm, dịch vụ và công cụ nguồn mở khác nhau.

Hỏi: Hồ bảo mật hỗ trợ các bản ghi và nguồn sự kiện nào?

Hồ bảo mật tự động thu thập bản ghi cho các dịch vụ sau:

  • AWS CloudTrail
  • Đám mây riêng ảo (VPC) của Amazon
  • Amazon Route 53
  • Dịch vụ lưu trữ đơn giản của Amazon (S3)
  • AWS Lambda
  • Dịch vụ Kubernetes linh hoạt (EKS) Amazon 

Hồ bảo mật cũng thu thập các nội dung phát hiện về bảo mật thông qua Trung tâm bảo mật AWS cho các dịch vụ sau:

  • AWS Config
  • Trình quản lý tường lửa của AWS
  • Amazon GuardDuty
  • Trạng thái AWS
  • Trình phân tích truy cập của Quản lý danh tính và truy cập (IAM) trong AWS
  • Amazon Inspector
  • Amazon Macie
  • Trình quản lý bản vá của Trình quản lý hệ thống AWS

Ngoài ra, bạn có thể thêm dữ liệu từ các giải pháp bảo mật của bên thứ ba, các nguồn đám mây khác và dữ liệu tùy chỉnh của riêng bạn có hỗ trợ OCSF. Dữ liệu này bao gồm bản ghi từ các ứng dụng nội bộ hoặc cơ sở hạ tầng mạng mà bạn đã chuyển đổi sang định dạng OCSF.

Hỏi: Hồ bảo mật có bản dùng thử miễn phí không?

Có, bạn có thể dùng thử miễn phí dịch vụ trong 15 ngày bằng bất kỳ tài khoản mới đăng ký Hồ bảo mật với Bậc miễn phí của AWS. Bạn có thể truy cập vào toàn bộ các tính năng trong thời gian dùng thử miễn phí.

Hỏi: Sự khác biệt giữa Hồ bảo mật và Hồ CloudTrail là gì?

Hồ bảo mật tự động hóa hoạt động tìm nguồn, tổng hợp, chuẩn hóa và quản lý dữ liệu liên quan đến bảo mật từ đám mây, tại chỗ và các nguồn tùy chỉnh thành một hồ dữ liệu bảo mật được lưu trữ trong tài khoản AWS của bạn. Hồ bảo mật đã áp dụng tiêu chuẩn mở OCSF. Với sự hỗ trợ của OCSF, dịch vụ này có thể chuẩn hóa và kết hợp dữ liệu bảo mật từ AWS và nhiều nguồn bảo mật doanh nghiệp. Hồ AWS CloudTrail là một hồ kiểm tra và bảo mật được quản lý. Dịch vụ này cho phép bạn tổng hợp, lưu trữ bất biến và truy vấn các bản ghi kiểm tra và bảo mật từ AWS (các sự kiện CloudTrail, các mục cấu hình từ AWS Config, bằng chứng kiểm tra từ Trình quản lý kiểm tra AWS) và các nguồn bên ngoài (các ứng dụng nội bộ hoặc SaaS được lưu trữ tại chỗ hoặc trên đám mây, máy ảo hoặc bộ chứa). Sau đó, dữ liệu này có thể được lưu trữ tối đa 7 năm trong kho dữ liệu sự kiện Hồ CloudTrail, mà không phát sinh thêm chi phí và được điều tra bằng công cụ truy vấn SQL được tích hợp sẵn trong Hồ CloudTrail.

Hỏi: Tại sao tôi cần một dấu vết tổ chức để cung cấp các sự kiện quản lý CloudTrail cho Hồ bảo mật?

Bật CloudTrail là điều kiện tiên quyết để thu thập và cung cấp bản ghi sự kiện quản lý CloudTrail đến các vùng lưu trữ S3 của khách hàng thông qua bất kỳ dịch vụ AWS nào. Ví dụ: Để cung cấp các bản ghi sự kiện quản lý CloudTrail vào bản ghi Amazon CloudWatch, trước tiên cần phải tạo một dấu vết. Vì Hồ bảo mật cung cấp các sự kiện quản lý CloudTrail ở cấp tổ chức đến một vùng lưu trữ S3 thuộc sở hữu của khách hàng, dịch vụ này yêu cầu một dấu vết tổ chức trong CloudTrail với các sự kiện quản lý được kích hoạt.

Hỏi: Đối tác AWS nào cộng tác với Hồ bảo mật?

Hồ bảo mật có thể nhận các nội dung phát hiện về bảo mật từ 50 giải pháp thông qua việc tích hợp Trung tâm bảo mật AWS. Để biết chi tiết, hãy xem Đối tác Trung tâm bảo mật AWS. Ngoài ra, ngày càng có nhiều giải pháp công nghệ có thể cung cấp dữ liệu ở định dạng OCSF và được tích hợp với Hồ bảo mật. Để biết chi tiết, hãy xem Đối tác Hồ bảo mật của Amazon.

Câu hỏi: Khung lược đồ an ninh mạng mở (Open Cybersecurity Schema Framework – OCSF) là gì?

OCSF là một lược đồ nguồn mở cộng tác cho các sự kiện và bản ghi bảo mật. Lược đồ này bao gồm nguyên tắc phân loại dữ liệu không phụ thuộc vào nhà cung cấp, giúp giảm nhu cầu chuẩn hóa dữ liệu sự kiện và bản ghi bảo mật trên các sản phẩm, dịch vụ và công cụ nguồn mở khác nhau.

Hỏi: Làm cách nào để bật Hồ bảo mật của Amazon?

Khi bạn mở bảng điều khiển Hồ bảo mật của Amazon lần đầu, hãy chọn Get Started (Bắt đầu) rồi chọn Enable (Bật). Hồ bảo mật sử dụng vai trò được liên kết với dịch vụ bao gồm quyền và chính sách tin cậy cho phép Hồ bảo mật thu thập dữ liệu từ các nguồn của bạn và cấp quyền truy cập cho người đăng ký. Phương pháp tốt nhất là bật Hồ bảo mật trong tất cả các Khu vực AWS được hỗ trợ. Điều này cho phép Hồ bảo mật thu thập và giữ lại dữ liệu có liên hệ với hoạt động trái phép hoặc bất thường, ngay cả ở những Khu vực mà bạn không chủ động sử dụng. Nếu Hồ bảo mật không được bật ở tất cả các Khu vực được hỗ trợ, thì khả năng thu thập dữ liệu liên quan đến các dịch vụ toàn cầu của dịch vụ này sẽ giảm đi.

Hỏi: Khu vực tổng hợp là gì?

Khu vực tổng hợp là một Khu vực tổng hợp các sự kiện và bản ghi bảo mật từ các Khu vực cụ thể khác. Khi bật Hồ bảo mật, bạn có thể chỉ định một hoặc nhiều Khu vực tổng hợp. Điều đó có thể giúp bạn tuân thủ các yêu cầu tuân thủ của khu vực.

Hỏi: Hồ bảo mật hỗ trợ những Khu vực nào?

Những Khu vực có cung cấp Hồ bảo mật được liệt kê trong trang điểm cuối Hồ bảo mật của Amazon.