Ngayon ay nasasabik kaming ipahayag ang pangkalahatang kakayahang magamit ng Amazon Security Lake, na unang inihayag sa isang preview na release noong 2022 re:Invent. Isinasentro ng Security Lake ang data ng seguridad mula sa mga kapaligiran ng Amazon Web Services (AWS), software as a service (SaaS) provider, on-premises, at cloud source sa isang purpose-built na data lake na nakaimbak sa iyong AWS account. Sa suporta ng Open Cybersecurity Schema Framework (OCSF), ang serbisyo ay nag-normalize at pinagsasama ang data ng seguridad mula sa AWS at isang malawak na hanay ng mga mapagkukunan ng data ng seguridad. Nakakatulong ito na bigyan ang iyong team ng mga analyst at security engineer ng malawak na visibility upang mag-imbestiga at tumugon sa mga kaganapang panseguridad, na maaaring mapadali ang mga napapanahong tugon at makakatulong na pahusayin ang iyong seguridad sa mga multicloud at hybrid na kapaligiran.
Ipinapakita ng Figure 1 kung paano gumagana ang Security Lake, hakbang-hakbang. Sa post na ito, tinatalakay namin ang mga hakbang na ito, i-highlight ang ilan sa mga pinakasikat na kaso ng paggamit para sa Security Lake, at ibahagi ang mga pinakabagong pagpapahusay at update na ginawa namin mula noong paglulunsad ng preview.
Figure 1: Paano gumagana ang Security Lake
Target na mga kaso ng paggamit
Sa seksyong ito, ipinapakita namin ang ilan sa mga kaso ng paggamit na nakita ng mga customer na pinakamahalaga habang nasa preview ang serbisyo.
Pangasiwaan ang iyong mga pagsisiyasat sa seguridad na may mataas na visibility
Tumutulong ang Amazon Security Lake na i-streamline ang mga pagsisiyasat sa seguridad sa pamamagitan ng pagsasama-sama, pag-normalize, at pag-optimize ng imbakan ng data sa isang lawa ng data ng seguridad. Awtomatikong ginagawang normal ng Security Lake ang mga log ng AWS at mga natuklasang panseguridad sa schema ng OCSF. Kabilang dito ang AWS CloudTrail mga kaganapan sa pamamahala, Mga Log ng Daloy ng Amazon Virtual Private Cloud (Amazon VPC)., Mga log ng query ng Amazon Route 53 Resolver, at AWS Security Hub mga natuklasan sa seguridad mula sa mga serbisyo sa seguridad ng Amazon, kabilang ang Tungkulin ng Amazon Guard, Inspektor ng Amazon, at AWS IAM Access Analyzer, pati na rin ang mga natuklasang panseguridad mula sa mahigit 50 solusyon sa kasosyo. Sa pamamagitan ng pagkakaroon ng mga log at natuklasang nauugnay sa seguridad sa isang sentralisadong lokasyon, at sa parehong format, maaaring i-streamline ng mga Security Operations team ang kanilang proseso at maglaan ng mas maraming oras sa pagsisiyasat ng mga isyu sa seguridad. Binabawasan ng sentralisasyong ito ang pangangailangang gumugol ng mahalagang oras sa pagkolekta at pag-normalize ng mga log sa isang partikular na format.
Ipinapakita ng Figure 2 ang pahina ng pag-activate ng Security Lake, na nagpapakita sa mga user ng mga opsyon upang paganahin ang mga source ng log, AWS Regions, at mga account.
Figure 2: page ng pag-activate ng Security Lake na may mga opsyon para paganahin ang mga source ng log, Rehiyon, at account
Ang Figure 3 ay nagpapakita ng isa pang seksyon ng pahina ng pag-activate ng Security Lake, na nagpapakita sa mga user ng mga pagpipilian upang itakda rollup Rehiyon at mga klase sa imbakan.
Figure 3: Pahina ng pag-activate ng Security Lake na may mga opsyon para pumili ng rollup na Rehiyon at magtakda ng mga klase ng storage
Pasimplehin ang iyong pagsubaybay at pag-uulat sa pagsunod
Sa Security Lake, maaaring isentro ng mga customer ang data ng seguridad sa isa o higit pang mga rollup na Rehiyon, na makakatulong sa mga team na pasimplehin ang kanilang pagsunod sa rehiyon at mga obligasyon sa pag-uulat. Madalas na nahaharap ang mga team sa mga hamon kapag sinusubaybayan ang pagsunod sa maraming pinagmumulan ng log, Rehiyon, at account. Sa pamamagitan ng paggamit ng Security Lake upang kolektahin at isentro ang ebidensyang ito, ang mga security team ay maaaring makabuluhang bawasan ang oras na ginugol sa pagtuklas ng log at maglaan ng mas maraming oras patungo sa pagsubaybay at pag-uulat ng pagsunod.
Pag-aralan nang mabilis ang maraming taon ng data ng seguridad
Nag-aalok ang Security Lake ng integrasyon sa mga serbisyong pangseguridad ng ikatlong partido tulad ng impormasyon sa seguridad at pamamahala ng kaganapan (SIEM) at pinalawak na pagtuklas at tugon (XDR) mga kagamitan, pati na rin ang mga sikat na serbisyo sa pagsusuri ng datos tulad ng Amazon Athena at Serbisyo ng Amazon OpenSearch upang mabilis na pag-aralan ang mga petabytes ng data. Nagbibigay-daan ito sa mga security team na makakuha ng malalim na insight sa kanilang data ng seguridad at gumawa ng maliksi na hakbang upang makatulong na protektahan ang kanilang organisasyon. Tinutulungan ng Security Lake na ipatupad ang mga kontrol na may pinakamababang pribilehiyo para sa mga team sa lahat ng organisasyon sa pamamagitan ng pagsentralisa ng data at pagpapatupad ng mahusay na mga kontrol sa pag-access, awtomatikong paglalapat ng mga patakarang nasasaklaw sa mga kinakailangang subscriber at source. Maaaring gamitin ng mga tagapag-ingat ng data ang mga built-in na feature para gumawa at magpatupad ng mga granular na kontrol sa pag-access, gaya ng paghigpitan ang access sa data sa security lake sa mga nangangailangan lang nito.
Ang Figure 4 ay naglalarawan sa proseso ng paglikha ng isang data access subscriber sa loob ng Security Lake.
Figure 4: Paglikha ng data access subscriber sa Security Lake
Pag-isahin ang pamamahala ng data ng seguridad sa mga hybrid na kapaligiran
Ang sentralisadong imbakan ng data sa Security Lake ay nagbibigay ng komprehensibong view ng data ng seguridad sa mga hybrid at multicloud na kapaligiran, na tumutulong sa mga security team na mas maunawaan at tumugon sa mga banta. Maaari mong gamitin ang Security Lake para mag-imbak ng mga log at data na nauugnay sa seguridad mula sa iba't ibang source, kabilang ang cloud-based at on-premises system, na ginagawang mas simple ang pagkolekta at pagsusuri ng data ng seguridad. Bukod pa rito, sa pamamagitan ng paggamit ng mga solusyon sa automation at machine learning, makakatulong ang mga security team na matukoy ang mga anomalya at potensyal na panganib sa seguridad nang mas mahusay. Ito ay maaaring humantong sa mas mahusay na pamamahala sa peligro at mapahusay ang pangkalahatang postura ng seguridad para sa organisasyon. Inilalarawan ng Figure 5 ang proseso ng pag-query ng AWS CloudTrail at mga log ng audit ng Microsoft Azure nang sabay-sabay sa pamamagitan ng paggamit ng Amazon Athena.
Figure 5: Pagtatanong sa AWS CloudTrail at Microsoft Azure audit log nang magkasama sa Amazon Athena
Mga update mula noong paglulunsad ng preview
Awtomatikong ginagawang normal ng Security Lake ang mga log at kaganapan mula sa mga serbisyo ng AWS na sinusuportahan ng katutubong sa OCSF schema. Sa pangkalahatang paglabas ng availability, sinusuportahan na ngayon ng Security Lake ang pinakabagong bersyon ng OCSF, na bersyon 1 rc2. Ang mga kaganapan sa pamamahala ng CloudTrail ay na-normalize na ngayon sa tatlong natatanging klase ng kaganapan ng OCSF: Pagpapatotoo, Pagbabago ng Account, at Aktibidad ng API.
Gumawa kami ng iba't ibang pagpapabuti sa mga pangalan ng mapagkukunan at pagmamapa ng schema upang mapahusay ang kakayahang magamit ng mga log. Ang onboarding ay ginagawang mas simple gamit ang automated AWS Identity and Access Management (IAM) paglikha ng papel mula sa console. Bukod pa rito, mayroon kang kakayahang umangkop upang mangolekta ng mga pinagmumulan ng CloudTrail nang nakapag-iisa kabilang ang mga kaganapan sa pamamahala, Amazon Simple Storage Service (Amazon S3) mga kaganapan sa datos, at AWS Lambda Mga kaganapan.
Upang mapahusay ang pagganap ng query, gumawa kami ng paglipat mula sa oras-oras patungo sa pang-araw-araw na paghati sa oras sa Amazon S3, na nagreresulta sa mas mabilis at mas mahusay na pagkuha ng data. Gayundin, idinagdag namin Amazon CloudWatch mga sukatan upang paganahin ang maagap na pagsubaybay sa iyong proseso ng pag-ingest ng log upang mapadali ang pagtukoy ng mga puwang sa koleksyon o surge.
Ang mga bagong may hawak ng account sa Security Lake ay karapat-dapat para sa a 15-araw na libreng pagsubok sa mga sinusuportahang Rehiyon. Ang Security Lake ay karaniwang magagamit na sa mga sumusunod Mga Rehiyon ng AWS: US East (Ohio), US East (N. Virginia), US West (Oregon), Asia Pacific (Singapore), Asia Pacific (Sydney), Asia Pacific (Tokyo), Europe (Frankfurt), Europe (Ireland), Europe (London), at Timog Amerika (São Paolo).
Pagsasama-sama ng ekosistema
Pinalawak namin ang aming suporta para sa mga pagsasama ng third-party at nagdagdag kami ng 23 bagong kasosyo. Kabilang dito ang 10 source partners — Aqua Security, Si Claroty, Lakas, Darktrace, ExtraHop, gigamon, Gitna, metalikang kuwintas, Trellix, at Uptycs — pagpapagana sa kanila na direktang magpadala ng data sa Security Lake. Bukod pa rito, isinama namin ang siyam na bagong kasosyo sa pag-subscribe — ChaosSearch, New Relic, Ripjar, SOC Pagpabatiran, Stellar Cyber, Swimlane, Mga Tine, metalikang kuwintas, at Wazuh. Nagtatag din kami ng anim na bagong kasosyo sa serbisyo, kabilang ang Booz Allen Hamilton, CMD Solutions, bahagi ng Mantel Group, Infosys, Insbuilt, Leidos, at Tata Consultancy Services.
Bilang karagdagan, sinusuportahan ng Security Lake ang mga mapagkukunan ng third-party na nagbibigay ng data ng seguridad ng OCSF. Kasama sa mga kilalang kasosyo Barakuda, Cisco, Cribl, CrowdStrike, CyberArk, Lacework, Nakalamina, NETSCOUT, Netsscope, Okta, Orca, Palo Alto Networks, Pagkakakilanlan ng Ping, Tanium, Ang Falco Project, Uso Micro, Vectra AI, VMware, Wiz, at Zscaler. Nagsama kami sa iba't ibang third-party na security, automation, at analytics tool. Kabilang dito ang datadog, IBM, Mabilis7, Sentinel One, Splunk, Lohika ng Sumo, at Trellix. Panghuli, nakipagsosyo kami sa mga kasosyo sa serbisyo tulad ng Accenture, Deloitte, Teknolohiya ng DXC, Katibayan , Kyndryl, PwC, at Wipro, na maaaring makipagtulungan sa iyo at sa Security Lake upang maghatid ng mga komprehensibong solusyon.
Kumuha ng tulong mula sa AWS Professional Services
Ang Mga Serbisyong Propesyonal ng AWS Ang organisasyon ay isang pandaigdigang pangkat ng mga eksperto na makakatulong sa mga customer na maisakatuparan ang kanilang ninanais na mga resulta ng negosyo kapag gumagamit ng AWS. Ang aming mga koponan ng mga arkitekto ng data at inhinyero ng seguridad ay nakikipag-ugnayan sa mga lider ng Seguridad, IT, at negosyo ng customer upang bumuo ng mga solusyon sa negosyo. Sinusunod namin ang mga kasalukuyang rekomendasyon upang suportahan ang mga customer sa kanilang paglalakbay upang maisama ang data sa Security Lake. Isinasama namin ang mga ready-built na pagbabagong-anyo ng data, visualization, at AI/machine learning (ML) workflows na tumutulong sa mga Security Operations team na mabilis na matanto ang halaga. Kung interesado kang matuto nang higit pa, makipag-ugnayan sa iyong kinatawan ng account sa AWS Professional Services.
Buod
Inaanyayahan ka naming tuklasin ang mga benepisyo ng paggamit ng Amazon Security Lake sa pamamagitan ng pagsasamantala sa aming 15-araw na libreng pagsubok at pagbibigay ng iyong feedback sa iyong mga karanasan, mga kaso ng paggamit, at mga solusyon. Mayroon kaming ilang mapagkukunan upang matulungan kang magsimula at buuin ang iyong unang data lake, kabilang ang komprehensibo dokumentasyon, mga demo na video, at webinar. Sa pamamagitan ng sinusubukan ang Security Lake, maaari mong maranasan mismo kung paano ito nakakatulong sa iyong isentro, gawing normal, at i-optimize ang iyong data ng seguridad, at sa huli ay i-streamline ang pagtuklas at pagtugon sa insidente ng seguridad ng iyong organisasyon sa mga multicloud at hybrid na kapaligiran.
