Aujourd'hui, nous sommes ravis d'annoncer la disponibilité générale d'Amazon Security Lake, annoncée pour la première fois dans une version préliminaire à 2022 re:Invent. Security Lake centralise les données de sécurité des environnements Amazon Web Services (AWS), des fournisseurs de logiciels en tant que service (SaaS), des sources sur site et du cloud dans un lac de données spécialement conçu qui est stocké dans votre compte AWS. Avec la prise en charge d'Open Cybersecurity Schema Framework (OCSF), le service normalise et combine les données de sécurité d'AWS et un large éventail de sources de données de sécurité. Cela permet de fournir à votre équipe d'analystes et d'ingénieurs en sécurité une large visibilité pour enquêter sur les événements de sécurité et y répondre, ce qui peut faciliter des réponses rapides et contribuer à améliorer votre sécurité dans les environnements multicloud et hybrides.
La figure 1 illustre le fonctionnement de Security Lake, étape par étape. Dans cet article, nous discutons de ces étapes, mettons en évidence certains des cas d'utilisation les plus populaires de Security Lake et partageons les dernières améliorations et mises à jour que nous avons apportées depuis le lancement de la préversion.
Figure 1 : Fonctionnement de Security Lake
Cibler les cas d'utilisation
Dans cette section, nous présentons certains des cas d'utilisation que les clients ont trouvés les plus précieux pendant que le service était en avant-première.
Facilitez vos enquêtes de sécurité grâce à une visibilité accrue
Amazon Security Lake aide à rationaliser les enquêtes de sécurité en agrégeant, normalisant et optimisant le stockage des données dans un seul lac de données de sécurité. Security Lake normalise automatiquement les journaux AWS et les résultats de sécurité sur le schéma OCSF. Ceci comprend AWS CloudTrail événements de gestion, Journaux de flux Amazon Virtual Private Cloud (Amazon VPC), Journaux de requête du résolveur Amazon Route 53bauen Centre de sécurité AWS résultats de sécurité des services de sécurité Amazon, y compris Service de garde Amazon, Inspecteur Amazonbauen Analyseur d'accès AWS IAM, ainsi que les résultats de sécurité de plus de 50 solutions partenaires. En disposant de journaux et de résultats liés à la sécurité dans un emplacement centralisé et dans le même format, les équipes des opérations de sécurité peuvent rationaliser leur processus et consacrer plus de temps à l'étude des problèmes de sécurité. Cette centralisation réduit le besoin de passer un temps précieux à collecter et à normaliser les journaux dans un format spécifique.
La figure 2 montre la page d'activation de Security Lake, qui présente aux utilisateurs des options pour activer les sources de journal, les régions AWS et les comptes.
Figure 2 : Page d'activation de Security Lake avec des options pour activer les sources de journal, les régions et les comptes
La figure 3 montre une autre section de la page d'activation de Security Lake, qui présente aux utilisateurs des options pour définir régions de cumul et classes de stockage.
Figure 3 : Page d'activation de Security Lake avec des options pour sélectionner une région de cumul et définir des classes de stockage
Simplifiez votre surveillance de la conformité et vos rapports
Avec Security Lake, les clients peuvent centraliser les données de sécurité dans une ou plusieurs régions de cumul, ce qui peut aider les équipes à simplifier leurs obligations régionales de conformité et de reporting. Les équipes sont souvent confrontées à des défis lors de la surveillance de la conformité sur plusieurs sources de journaux, régions et comptes. En utilisant Security Lake pour collecter et centraliser ces preuves, les équipes de sécurité peuvent réduire considérablement le temps consacré à la découverte des journaux et allouer plus de temps à la surveillance de la conformité et à la création de rapports.
Analysez rapidement plusieurs années de données de sécurité
Security Lake offre une intégration avec des services de sécurité tiers tels que la gestion des informations et des événements de sécurité (SIEM) et détection et réponse étendues (XDR) des outils, ainsi que des services d'analyse de données populaires comme Amazone Athéna que le béton ey Service Amazon OpenSearch pour analyser rapidement des pétaoctets de données. Cela permet aux équipes de sécurité d'obtenir des informations approfondies sur leurs données de sécurité et de prendre des mesures agiles pour aider à protéger leur organisation. Security Lake aide à appliquer des contrôles de moindre privilège pour les équipes de toutes les organisations en centralisant les données et en mettant en œuvre des contrôles d'accès robustes, en appliquant automatiquement des politiques qui sont limitées aux abonnés et aux sources requis. Les dépositaires de données peuvent utiliser les fonctionnalités intégrées pour créer et appliquer des contrôles d'accès granulaires, par exemple pour restreindre l'accès aux données du lac de sécurité à ceux qui en ont besoin.
La figure 4 décrit le processus de création d'un abonné d'accès aux données dans Security Lake.
Figure 4 : Création d'un abonné d'accès aux données dans Security Lake
Unifiez la gestion des données de sécurité dans les environnements hybrides
Le référentiel de données centralisé de Security Lake offre une vue complète des données de sécurité dans les environnements hybrides et multicloud, aidant les équipes de sécurité à mieux comprendre et répondre aux menaces. Vous pouvez utiliser Security Lake pour stocker des journaux et des données liés à la sécurité provenant de diverses sources, y compris des systèmes basés sur le cloud et sur site, ce qui simplifie la collecte et l'analyse des données de sécurité. De plus, en utilisant des solutions d'automatisation et d'apprentissage automatique, les équipes de sécurité peuvent aider à identifier plus efficacement les anomalies et les risques de sécurité potentiels. Cela peut finalement conduire à une meilleure gestion des risques et améliorer la posture de sécurité globale de l'organisation. La figure 5 illustre le processus d'interrogation simultanée des journaux d'audit AWS CloudTrail et Microsoft Azure à l'aide d'Amazon Athena.
Figure 5 : Interrogation des journaux d'audit AWS CloudTrail et Microsoft Azure ensemble dans Amazon Athena
Mises à jour depuis le lancement de l'aperçu
Security Lake normalise automatiquement les journaux et les événements des services AWS pris en charge en mode natif vers le schéma OCSF. Avec la version de disponibilité générale, Security Lake prend désormais en charge la dernière version d'OCSF, qui est la version 1 rc2. Les événements de gestion CloudTrail sont désormais normalisés en trois classes d'événements OCSF distinctes : authentification, changement de compte et activité d'API.
Nous avons apporté diverses améliorations aux noms de ressources et au mappage de schéma pour améliorer la convivialité des journaux. L'intégration est simplifiée grâce à l'automatisation Gestion des identités et des accès AWS (IAM) création de rôle depuis la console. De plus, vous avez la possibilité de collecter des sources CloudTrail indépendamment, y compris des événements de gestion, Service de stockage simple Amazon (Amazon S3) événements de données, et AWS Lambda événements.
Pour améliorer les performances des requêtes, nous sommes passés du partitionnement horaire au partitionnement quotidien dans Amazon S3, ce qui a permis une récupération des données plus rapide et plus efficace. Aussi, nous avons ajouté Amazon Cloud Watch des métriques pour permettre une surveillance proactive de votre processus d'ingestion de journaux afin de faciliter l'identification des lacunes ou des pics de collecte.
Les nouveaux titulaires de compte Security Lake sont éligibles pour un Essai gratuit 15 jours dans les régions prises en charge. Security Lake est désormais généralement disponible dans les versions suivantes Régions AWS: USA Est (Ohio), USA Est (Virginie du Nord), USA Ouest (Oregon), Asie-Pacifique (Singapour), Asie-Pacifique (Sydney), Asie-Pacifique (Tokyo), Europe (Francfort), Europe (Irlande), Europe (Londres) et Amérique du Sud (São Paolo).
Intégrations écosystémiques
Nous avons étendu notre prise en charge des intégrations tierces et avons ajouté 23 nouveaux partenaires. Cela comprend 10 partenaires sources — Aqua sécurité, Clarté, ConFluent™, Darktrace, ExtraHop, Gigamon, Sentra, Couple, Treillisbauen Uptycs — leur permettant d'envoyer des données directement à Security Lake. De plus, nous avons intégré neuf nouveaux partenaires abonnés — ChaosRecherche, New Relic, Ripjar, SOC Prime, Cyber stellaire, Couloir, Dents, Couplebauen Wazuh. Nous avons également établi six nouveaux partenaires de services, dont Booz Allen Hamilton, CMD Solutions, filiale du groupe Mantel, Infosys, Intégré, Science Applications International Corporationbauen Tata Consultancy Services.
De plus, Security Lake prend en charge les sources tierces qui fournissent des données de sécurité OCSF. Les partenaires notables incluent Barracuda, Cisco, Crèche, CrowdStrike, CyberArk, Dentelle, laminaire, NETSCOUT, Netskope, Okta, Orca, Palo Alto Networks, Ping Identity, tanium, Le projet Falco, Trend Micro, Vectra IA, VMware, Asbauen Zscaler. Nous avons intégré divers outils de sécurité, d'automatisation et d'analyse tiers. Ceci comprend Datadog, IBM, Rapid7, SentinelleUn, Splunk, Sumo Logicbauen Treillis. Enfin, nous nous sommes associés à des partenaires de services tels que Accenture, Deloitte, Technologie DXC, Évident , Kyndryl, PwC que le béton ey Wipro, qui peut travailler avec vous et Security Lake pour fournir des solutions complètes.
Obtenez de l'aide des services professionnels AWS
Construction Services professionnels AWS organisation est une équipe mondiale d'experts qui peut aider les clients à atteindre les résultats commerciaux souhaités lorsqu'ils utilisent AWS. Nos équipes d'architectes de données et d'ingénieurs en sécurité collaborent avec les responsables de la sécurité, de l'informatique et des affaires des clients pour développer des solutions d'entreprise. Nous suivons les recommandations actuelles pour accompagner les clients dans leur parcours d'intégration des données dans Security Lake. Nous intégrons des transformations de données prêtes à l'emploi, des visualisations et des flux de travail d'IA/apprentissage automatique (ML) qui aident les équipes des opérations de sécurité à réaliser rapidement de la valeur. Si vous souhaitez en savoir plus, contactez votre représentant de compte AWS Professional Services.
Synthèse
Nous vous invitons à explorer les avantages de l'utilisation d'Amazon Security Lake en profitant de notre Essai gratuit 15 jours et commenter vos expériences, cas d'utilisation et solutions. Nous avons plusieurs ressources pour vous aider à démarrer et à créer votre premier lac de données, notamment des Documentation, vidéos de démonstrationbauen webinaires. par essayer Security Lake, vous pouvez découvrir de première main comment il vous aide à centraliser, normaliser et optimiser vos données de sécurité, et finalement rationaliser la détection et la réponse aux incidents de sécurité de votre organisation dans les environnements multicloud et hybrides.
