Hoje, temos o prazer de anunciar a disponibilidade geral do Amazon Security Lake, anunciado pela primeira vez em uma versão prévia em 2022 re:Invent. O Security Lake centraliza dados de segurança de ambientes da Amazon Web Services (AWS), provedores de software como serviço (SaaS), locais e fontes de nuvem em um data lake específico que é armazenado em sua conta da AWS. Com suporte para Open Cybersecurity Schema Framework (OCSF), o serviço normaliza e combina dados de segurança da AWS e uma ampla gama de fontes de dados de segurança. Isso ajuda a fornecer à sua equipe de analistas e engenheiros de segurança ampla visibilidade para investigar e responder a eventos de segurança, o que pode facilitar respostas oportunas e ajudar a melhorar sua segurança em ambientes multicloud e híbridos.
A Figura 1 mostra como o Security Lake funciona, passo a passo. Nesta postagem, discutimos essas etapas, destacamos alguns dos casos de uso mais populares do Security Lake e compartilhamos os aprimoramentos e atualizações mais recentes que fizemos desde o lançamento da prévia.
Figura 1: como funciona o Security Lake
Casos de uso de destino
Nesta seção, mostramos alguns dos casos de uso que os clientes consideraram mais valiosos enquanto o serviço estava em pré-visualização.
Facilite suas investigações de segurança com visibilidade elevada
O Amazon Security Lake ajuda a simplificar as investigações de segurança agregando, normalizando e otimizando o armazenamento de dados em um único data lake de segurança. O Security Lake normaliza automaticamente os logs da AWS e as descobertas de segurança para o esquema OCSF. Isso inclui AWS CloudTrail eventos de gestão, Logs de fluxo da Amazon Virtual Private Cloud (Amazon VPC), Logs de consulta do Amazon Route 53 Resolver e Centro de segurança da AWS descobertas de segurança dos serviços de segurança da Amazon, incluindo Dever de guarda da Amazônia, Inspetor da Amazônia e Analisador de acesso do AWS IAM, bem como descobertas de segurança de mais de 50 soluções de parceiros. Ao ter logs e descobertas relacionados à segurança em um local centralizado e no mesmo formato, as equipes de operações de segurança podem otimizar seu processo e dedicar mais tempo à investigação de problemas de segurança. Essa centralização reduz a necessidade de gastar tempo valioso coletando e normalizando logs em um formato específico.
A Figura 2 mostra a página de ativação do Security Lake, que apresenta aos usuários opções para habilitar fontes de log, regiões da AWS e contas.
Figura 2: página de ativação do Security Lake com opções para habilitar origens de log, regiões e contas
A Figura 3 mostra outra seção da página de ativação do Security Lake, que apresenta aos usuários opções para definir regiões de acúmulo e aulas de armazenamento.
Figura 3: página de ativação do Security Lake com opções para selecionar uma região de rollup e definir classes de armazenamento
Simplifique seu monitoramento e relatórios de conformidade
Com o Security Lake, os clientes podem centralizar os dados de segurança em uma ou mais regiões de rollup, o que pode ajudar as equipes a simplificar suas obrigações regionais de conformidade e geração de relatórios. As equipes geralmente enfrentam desafios ao monitorar a conformidade em várias fontes de log, regiões e contas. Ao usar o Security Lake para coletar e centralizar essas evidências, as equipes de segurança podem reduzir significativamente o tempo gasto na descoberta de logs e alocar mais tempo para monitoramento e relatórios de conformidade.
Analise vários anos de dados de segurança rapidamente
O Security Lake oferece integração com serviços de segurança de terceiros, como gerenciamento de informações e eventos de segurança (SIEM).SIEM) e detecção e resposta estendidas (XDRferramentas, bem como serviços populares de análise de dados como Amazona atena e no Serviço Amazon OpenSearch para analisar rapidamente petabytes de dados. Isso permite que as equipes de segurança obtenham insights profundos sobre seus dados de segurança e tomem medidas ágeis para ajudar a proteger sua organização. O Security Lake ajuda a impor controles de privilégio mínimo para equipes em todas as organizações, centralizando dados e implementando controles de acesso robustos, aplicando automaticamente políticas com escopo para os assinantes e fontes necessários. Os guardiões de dados podem usar os recursos integrados para criar e impor controles de acesso granulares, como restringir o acesso aos dados no lago de segurança apenas para aqueles que precisam.
A Figura 4 descreve o processo de criação de um assinante de acesso a dados no Security Lake.
Figura 4: Criando um assinante de acesso a dados no Security Lake
Unifique o gerenciamento de dados de segurança em ambientes híbridos
O repositório de dados centralizado no Security Lake fornece uma visão abrangente dos dados de segurança em ambientes híbridos e multicloud, ajudando as equipes de segurança a entender e responder melhor às ameaças. Você pode usar o Security Lake para armazenar logs e dados relacionados à segurança de várias fontes, incluindo sistemas locais e baseados em nuvem, simplificando a coleta e análise de dados de segurança. Além disso, usando soluções de automação e aprendizado de máquina, as equipes de segurança podem ajudar a identificar anomalias e possíveis riscos de segurança com mais eficiência. Em última análise, isso pode levar a um melhor gerenciamento de riscos e aprimorar a postura geral de segurança da organização. A Figura 5 ilustra o processo de consulta de logs de auditoria do AWS CloudTrail e do Microsoft Azure simultaneamente usando o Amazon Athena.
Figura 5: consulta de logs de auditoria do AWS CloudTrail e do Microsoft Azure juntos no Amazon Athena
Atualizações desde o lançamento da prévia
O Security Lake normaliza automaticamente logs e eventos de serviços da AWS com suporte nativo para o esquema OCSF. Com o lançamento de disponibilidade geral, o Security Lake agora oferece suporte à versão mais recente do OCSF, que é a versão 1 rc2. Os eventos de gerenciamento do CloudTrail agora são normalizados em três classes distintas de eventos OCSF: autenticação, alteração de conta e atividade de API.
Fizemos várias melhorias nos nomes dos recursos e no mapeamento do esquema para aprimorar a usabilidade dos logs. A integração é simplificada com AWS Identity and Access Management (IAM) criação de função a partir do console. Além disso, você tem a flexibilidade de coletar fontes do CloudTrail independentemente, incluindo eventos de gerenciamento, Serviço de armazenamento simples da Amazon (Amazon S3) eventos de dados e AWS Lambda eventos.
Para aprimorar o desempenho da consulta, fizemos uma transição do particionamento horário para diário no Amazon S3, resultando em uma recuperação de dados mais rápida e eficiente. Além disso, adicionamos Amazon CloudWatch métricas para permitir o monitoramento proativo de seu processo de ingestão de log para facilitar a identificação de lacunas ou picos de coleta.
Os novos titulares de contas do Security Lake são elegíveis para um você recebe uma avaliação gratuita de 15 dias da nossa licença Business Edition e pode aproveitar alguns dos recursos avançados da plataforma SecurityScorecard. nas regiões suportadas. O Security Lake agora está disponível nos seguintes Regiões AWS: Leste dos EUA (Ohio), Leste dos EUA (N. Virgínia), Oeste dos EUA (Oregon), Ásia-Pacífico (Cingapura), Ásia-Pacífico (Sydney), Ásia-Pacífico (Tóquio), Europa (Frankfurt), Europa (Irlanda), Europa (Londres) e América do Sul (São Paulo).
Integrações de ecossistema
Expandimos nosso suporte para integrações de terceiros e adicionamos 23 novos parceiros. Isso inclui 10 parceiros de origem - Segurança Aqua, Claro, Junção, Darktrace, ExtraHop, gigamon, Sentra, torque, Treliça e Uptycs — permitindo que eles enviem dados diretamente para o Security Lake. Além disso, nos integramos a nove novos parceiros assinantes — ChaosSearch, New Relic, Ripjar, SOC Prime, Stellar Cyber, Raia, Dentes, torque e wazuh. Também estabelecemos seis novos parceiros de serviços, incluindo Booz Allen Hamilton, Soluções CMD, parte do Grupo Mantel, Infosys, Embutido, Leidos e Tata Consultancy Services.
Além disso, o Security Lake oferece suporte a fontes de terceiros que fornecem dados de segurança OCSF. Parceiros notáveis incluem Barracuda, Cisco, Berço, CrowdStrike, CyberArk, Lacework, laminar, NETSCOUT, Netscopes, Octa, orca, Palo Alto Networks, Identidade de ping, Tânio, O Projeto Falcão, Trend Micro, Vectra IA, VMware, Wiz e Zscaler. Nós nos integramos com várias ferramentas de segurança, automação e análise de terceiros. Isso inclui Datadog, IBM, Rapid7, Sentinela Um, Splunk, Lógica de Sumô e Treliça. Por fim, estabelecemos parcerias com parceiros de serviços, como Accenture, Deloitte, Tecnologia DXC, evidente , Kyndryl, PwC, e no Wipro, que pode trabalhar com você e com a Security Lake para fornecer soluções abrangentes.
Obtenha ajuda dos serviços profissionais da AWS
O Serviços Profissionais AWS A organização é uma equipe global de especialistas que pode ajudar os clientes a obter os resultados de negócios desejados ao usar a AWS. Nossas equipes de arquitetos de dados e engenheiros de segurança se envolvem com os líderes de segurança, TI e negócios do cliente para desenvolver soluções corporativas. Seguimos as recomendações atuais para oferecer suporte aos clientes em sua jornada para integrar dados ao Security Lake. Integramos transformações de dados prontas, visualizações e fluxos de trabalho de IA/aprendizado de máquina (ML) que ajudam as equipes de operações de segurança a obter valor rapidamente. Se você estiver interessado em saber mais, entre em contato com seu representante de conta do AWS Professional Services.
Resumo
Convidamos você a explorar os benefícios de usar o Amazon Security Lake aproveitando nosso você recebe uma avaliação gratuita de 15 dias da nossa licença Business Edition e pode aproveitar alguns dos recursos avançados da plataforma SecurityScorecard. e fornecer seus comentários sobre suas experiências, casos de uso e soluções. Temos vários recursos para ajudá-lo a começar e criar seu primeiro data lake, incluindo documentação, vídeos de demonstração e webinars. Por dando uma chance ao Security Lake, você pode experimentar em primeira mão como ele ajuda a centralizar, normalizar e otimizar seus dados de segurança e, por fim, simplificar a detecção e resposta a incidentes de segurança da sua organização em ambientes multicloud e híbridos.
