Dziś z radością ogłaszamy ogólną dostępność usługi Amazon Security Lake, ogłoszonej po raz pierwszy w wersji zapoznawczej w 2022 r. re:Invent. Security Lake centralizuje dane bezpieczeństwa ze środowisk Amazon Web Services (AWS), dostawców oprogramowania jako usługi (SaaS), źródeł lokalnych i chmurowych w specjalnie zbudowanym jeziorze danych, które jest przechowywane na Twoim koncie AWS. Dzięki obsłudze Open Cybersecurity Schema Framework (OCSF) usługa normalizuje i łączy dane bezpieczeństwa z AWS i szerokiego zakresu źródeł danych bezpieczeństwa. Pomaga to zapewnić Twojemu zespołowi analityków i inżynierów bezpieczeństwa szeroki wgląd w zdarzenia związane z bezpieczeństwem i reagowanie na nie, co może ułatwić szybkie reagowanie i pomóc poprawić bezpieczeństwo w środowiskach wielochmurowych i hybrydowych.
Rysunek 1 pokazuje krok po kroku, jak działa Security Lake. W tym poście omawiamy te kroki, podkreślamy niektóre z najpopularniejszych przypadków użycia usługi Security Lake oraz udostępniamy najnowsze ulepszenia i aktualizacje, które wprowadziliśmy od czasu premiery wersji zapoznawczej.
Rysunek 1: Jak działa Security Lake
Docelowe przypadki użycia
W tej sekcji przedstawiamy niektóre przypadki użycia, które klienci uznali za najbardziej wartościowe, gdy usługa była w wersji zapoznawczej.
Ułatw sobie dochodzenie w sprawie bezpieczeństwa dzięki zwiększonej widoczności
Amazon Security Lake pomaga usprawnić dochodzenia w sprawie bezpieczeństwa poprzez agregację, normalizację i optymalizację przechowywania danych w jednym jeziorze danych bezpieczeństwa. Security Lake automatycznie normalizuje dzienniki AWS i ustalenia dotyczące bezpieczeństwa do schematu OCSF. To zawiera Chmura AWS imprezy menadżerskie, Dzienniki przepływu Amazon Virtual Private Cloud (Amazon VPC)., Dzienniki zapytań Amazon Route 53 Resolver, Centrum bezpieczeństwa AWS ustalenia dotyczące bezpieczeństwa z usług bezpieczeństwa Amazon, w tym Amazon Guard Obowiązek, Inspektor Amazona, Analizator dostępu AWS IAM, a także wnioski dotyczące bezpieczeństwa z ponad 50 rozwiązań partnerskich. Dysponując dziennikami i wynikami związanymi z bezpieczeństwem w scentralizowanej lokalizacji iw tym samym formacie, zespoły ds. operacji związanych z bezpieczeństwem mogą usprawnić swoje procesy i poświęcić więcej czasu na badanie problemów związanych z bezpieczeństwem. Ta centralizacja zmniejsza potrzebę poświęcania cennego czasu na zbieranie i normalizowanie dzienników do określonego formatu.
Rysunek 2 przedstawia stronę aktywacji Security Lake, która przedstawia użytkownikom opcje włączania źródeł dziennika, regionów AWS i kont.
Rysunek 2: strona aktywacji usługi Security Lake z opcjami włączania źródeł dzienników, regionów i kont
Rysunek 3 przedstawia inną sekcję strony aktywacji Security Lake, która przedstawia użytkownikom opcje do ustawienia Regiony zestawienia i klas przechowywania.
Rysunek 3: Strona aktywacji usługi Security Lake z opcjami wyboru regionu zbiorczego i ustawienia klas magazynu
Uprość monitorowanie zgodności i raportowanie
Dzięki Security Lake klienci mogą scentralizować dane bezpieczeństwa w jednym lub większej liczbie regionów zbiorczych, co może pomóc zespołom uprościć regionalne obowiązki w zakresie zgodności i raportowania. Zespoły często napotykają wyzwania podczas monitorowania zgodności w wielu źródłach dzienników, regionach i kontach. Używając Security Lake do gromadzenia i centralizowania tych dowodów, zespoły ds. bezpieczeństwa mogą znacznie skrócić czas poświęcany na wykrywanie dzienników i przeznaczyć więcej czasu na monitorowanie zgodności i raportowanie.
Szybko analizuj wieloletnie dane bezpieczeństwa
Security Lake umożliwia integrację z usługami bezpieczeństwa stron trzecich, takimi jak zarządzanie informacjami o bezpieczeństwie i zdarzeniami (SIEM) i rozszerzone wykrywanie i reagowanie (XDR) narzędzia, a także popularne usługi analizy danych, takie jak Amazonka Atena oraz Usługa Amazon OpenSearch do szybkiej analizy petabajtów danych. Umożliwia to zespołom ds. bezpieczeństwa uzyskanie głębokiego wglądu w ich dane bezpieczeństwa i podjęcie zwinnych działań w celu ochrony ich organizacji. Security Lake pomaga egzekwować kontrolę najniższych uprawnień dla zespołów w różnych organizacjach, centralizując dane i wdrażając solidne kontrole dostępu, automatycznie stosując zasady, które obejmują wymaganych subskrybentów i źródła. Opiekunowie danych mogą używać wbudowanych funkcji do tworzenia i egzekwowania szczegółowych kontroli dostępu, takich jak ograniczanie dostępu do danych w jeziorze bezpieczeństwa tylko do tych, którzy tego potrzebują.
Rysunek 4 przedstawia proces tworzenia subskrybenta dostępu do danych w usłudze Security Lake.
Rysunek 4: Tworzenie subskrybenta dostępu do danych w usłudze Security Lake
Ujednolicenie zarządzania danymi bezpieczeństwa w środowiskach hybrydowych
Scentralizowane repozytorium danych w Security Lake zapewnia kompleksowy widok danych bezpieczeństwa w środowiskach hybrydowych i wielochmurowych, pomagając zespołom ds. bezpieczeństwa lepiej rozumieć zagrożenia i reagować na nie. Możesz użyć Security Lake do przechowywania dzienników i danych związanych z bezpieczeństwem z różnych źródeł, w tym systemów opartych na chmurze i lokalnych, co upraszcza gromadzenie i analizowanie danych dotyczących bezpieczeństwa. Ponadto, korzystając z rozwiązań do automatyzacji i uczenia maszynowego, zespoły ds. bezpieczeństwa mogą skuteczniej identyfikować anomalie i potencjalne zagrożenia bezpieczeństwa. Ostatecznie może to prowadzić do lepszego zarządzania ryzykiem i poprawy ogólnego stanu bezpieczeństwa organizacji. Rysunek 5 ilustruje proces jednoczesnego wysyłania zapytań do dzienników audytu AWS CloudTrail i Microsoft Azure za pomocą usługi Amazon Athena.
Rysunek 5: Wysyłanie zapytań do dzienników audytu AWS CloudTrail i Microsoft Azure razem w Amazon Athena
Aktualizacje od czasu uruchomienia wersji zapoznawczej
Security Lake automatycznie normalizuje dzienniki i zdarzenia z natywnie obsługiwanych usług AWS do schematu OCSF. Wraz z ogólnodostępną wersją Security Lake obsługuje teraz najnowszą wersję OCSF, czyli wersję 1 rc2. Zdarzenia zarządzania CloudTrail są teraz znormalizowane do trzech odrębnych klas zdarzeń OCSF: Uwierzytelnianie, Zmiana konta i Aktywność interfejsu API.
Wprowadziliśmy różne ulepszenia nazw zasobów i mapowania schematów, aby zwiększyć użyteczność dzienników. Wdrażanie jest prostsze dzięki automatyzacji Zarządzanie tożsamością i dostępem AWS (IAM) tworzenie roli z poziomu konsoli. Ponadto masz możliwość niezależnego zbierania źródeł CloudTrail, w tym zdarzeń związanych z zarządzaniem, Usługa Amazon Simple Storage (Amazon S3) zdarzenia danych i AWS Lambda wydarzenia.
Aby zwiększyć wydajność zapytań, dokonaliśmy przejścia z godzinowego na dzienne partycjonowanie czasu w Amazon S3, co zaowocowało szybszym i wydajniejszym pobieraniem danych. Ponadto dodaliśmy Amazon Cloud Watch metryki umożliwiające proaktywne monitorowanie procesu pozyskiwania dzienników w celu ułatwienia identyfikacji luk w gromadzeniu lub skoków.
Nowi posiadacze kont Security Lake są uprawnieni do 15-dniowy bezpłatny okres próbny w obsługiwanych regionach. Usługa Security Lake jest teraz ogólnie dostępna w poniższych wersjach Regiony AWS: Wschodnie Stany Zjednoczone (Ohio), Wschodnie Stany Zjednoczone (Wirginia Północna), Zachodnie Stany Zjednoczone (Oregon), Azja i Pacyfik (Singapur), Azja i Pacyfik (Sydney), Azja i Pacyfik (Tokio), Europa (Frankfurt), Europa (Irlandia), Europa (Londyn) i Ameryki Południowej (São Paulo).
Integracje ekosystemów
Rozszerzyliśmy nasze wsparcie dla integracji stron trzecich i dodaliśmy 23 nowych partnerów. Obejmuje to 10 partnerów źródłowych — Bezpieczeństwo wodne, Claroty'ego, Dopływ, Ciemny ślad, Ekstra przeskok, gigamon, Centrum, moment obrotowy, Trellix, Uptyki — umożliwienie im wysyłania danych bezpośrednio do Security Lake. Ponadto zintegrowaliśmy się z dziewięcioma nowymi partnerami będącymi subskrybentami — Wyszukiwarka Chaosu, Nowy Relikt, Rozpruwacz, SOC premia, Gwiezdny Cyber, tor pływacki, Zęby, moment obrotowy, Łaz. Powołaliśmy również sześciu nowych partnerów usługowych, m.in Booz Allen Hamilton, CMD Solutions, część Mantel Group, Infosys, Wbudowany, Leidos, Tata Consultancy Services.
Ponadto Security Lake obsługuje źródła innych firm, które dostarczają dane zabezpieczeń OCSF. Znani partnerzy to m.in Barracuda, Cisco, Łóżeczko, CrowdStrike, CyberArka, Lacework, warstwowy, NETSCOUT, Netsko, Octa, Orca, Palo Alto Networks, Tożsamość ping, Tanium, Projekt Falko, Trend Micro, Vectrę AI, VMware, Czarodziej, Zscaler. Zintegrowaliśmy się z różnymi zewnętrznymi narzędziami zabezpieczającymi, automatyzującymi i analitycznymi. To zawiera datadog, IBM, Szybki 7, Strażnik Jeden, Splunk, Logika sumo, Trellix. Na koniec nawiązaliśmy współpracę z partnerami serwisowymi, takimi jak Accenture, Deloitte, Technologia DXC, oczywiste , Kyndryl, PwC, oraz Wipro, która może współpracować z Tobą i Security Lake, aby dostarczać kompleksowe rozwiązania.
Uzyskaj pomoc od profesjonalnych usług AWS
Usługi profesjonalne AWS to globalny zespół ekspertów, który może pomóc klientom osiągnąć pożądane wyniki biznesowe przy użyciu AWS. Nasze zespoły architektów danych i inżynierów bezpieczeństwa współpracują z liderami ds. bezpieczeństwa klientów, IT i biznesu w celu opracowania rozwiązań dla przedsiębiorstw. Postępujemy zgodnie z aktualnymi zaleceniami, aby wspierać klientów w ich podróży do integracji danych z Security Lake. Integrujemy gotowe transformacje danych, wizualizacje i przepływy pracy sztucznej inteligencji/uczenia maszynowego (ML), które pomagają zespołom ds. operacji bezpieczeństwa szybko realizować wartość. Jeśli chcesz dowiedzieć się więcej, skontaktuj się z przedstawicielem konta AWS Professional Services.
Podsumowanie
Zapraszamy do zapoznania się z korzyściami płynącymi z korzystania z Amazon Security Lake poprzez skorzystanie z naszego 15-dniowy bezpłatny okres próbny i dostarczanie opinii na temat Twoich doświadczeń, przypadków użycia i rozwiązań. Mamy kilka zasobów, które pomogą Ci rozpocząć i zbudować pierwsze jezioro danych, w tym kompleksowe dokumentacja, filmy demonstracyjne, webinary, Przez dając Security Lake szansę, możesz przekonać się na własnej skórze, jak pomaga centralizować, normalizować i optymalizować dane dotyczące bezpieczeństwa, a ostatecznie usprawniać wykrywanie incydentów bezpieczeństwa w Twojej organizacji i reagowanie na nie w środowiskach wielochmurowych i hybrydowych.
