Hôm nay, chúng tôi vui mừng thông báo về tính khả dụng rộng rãi của Amazon Security Lake, lần đầu tiên được công bố trong bản phát hành xem trước tại re:Invent năm 2022. Hồ bảo mật tập trung dữ liệu bảo mật từ môi trường Amazon Web Services (AWS), nhà cung cấp phần mềm dưới dạng dịch vụ (SaaS), tại chỗ và nguồn đám mây vào hồ dữ liệu chuyên dụng được lưu trữ trong tài khoản AWS của bạn. Với sự hỗ trợ của Open Cybersecurity Schema Framework (OCSF), dịch vụ này sẽ chuẩn hóa và kết hợp dữ liệu bảo mật từ AWS với nhiều nguồn dữ liệu bảo mật khác nhau. Điều này giúp cung cấp cho nhóm các nhà phân tích và kỹ sư bảo mật của bạn khả năng hiển thị rộng rãi để điều tra và ứng phó với các sự kiện bảo mật, điều này có thể tạo điều kiện phản hồi kịp thời và giúp cải thiện bảo mật của bạn trên các môi trường đa đám mây và kết hợp.
Hình 1 cho thấy cách hoạt động của Security Lake, từng bước một. Trong bài đăng này, chúng tôi thảo luận về các bước này, nêu bật một số trường hợp sử dụng phổ biến nhất cho Security Lake, đồng thời chia sẻ những cải tiến và cập nhật mới nhất mà chúng tôi đã thực hiện kể từ khi ra mắt bản xem trước.
Hình 1: Cách thức hoạt động của Security Lake
Các trường hợp sử dụng mục tiêu
Trong phần này, chúng tôi giới thiệu một số trường hợp sử dụng mà khách hàng nhận thấy là có giá trị nhất khi dịch vụ ở dạng xem trước.
Tạo điều kiện thuận lợi cho các cuộc điều tra bảo mật của bạn với khả năng hiển thị nâng cao
Amazon Security Lake giúp hợp lý hóa các cuộc điều tra bảo mật bằng cách tổng hợp, chuẩn hóa và tối ưu hóa lưu trữ dữ liệu trong một kho dữ liệu bảo mật duy nhất. Security Lake tự động chuẩn hóa nhật ký AWS và các phát hiện bảo mật cho lược đồ OCSF. Điêu nay bao gôm Đường mòn đám mây AWS sự kiện quản lý, Nhật ký luồng Amazon Virtual Private Cloud (Amazon VPC), Nhật ký truy vấn Amazon Route 53 Resolvervà Trung tâm bảo mật AWS phát hiện bảo mật từ các dịch vụ bảo mật của Amazon, bao gồm nhiệm vụ bảo vệ amazon, Thanh tra Amazonvà Trình phân tích truy cập AWS IAM, cũng như các phát hiện bảo mật từ hơn 50 giải pháp đối tác. Bằng cách có các bản ghi và phát hiện liên quan đến bảo mật ở một vị trí tập trung và ở cùng định dạng, các nhóm Hoạt động bảo mật có thể hợp lý hóa quy trình của họ và dành nhiều thời gian hơn để điều tra các vấn đề bảo mật. Việc tập trung hóa này giúp giảm nhu cầu dành thời gian quý báu để thu thập và chuẩn hóa nhật ký thành một định dạng cụ thể.
Hình 2 hiển thị trang kích hoạt Security Lake, trang này cung cấp cho người dùng các tùy chọn để kích hoạt nguồn nhật ký, Khu vực AWS và tài khoản.
Hình 2: Trang kích hoạt Security Lake với các tùy chọn bật nguồn nhật ký, Khu vực và tài khoản
Hình 3 hiển thị một phần khác của trang kích hoạt Security Lake, hiển thị cho người dùng các tùy chọn để thiết lập tổng số khu vực và các lớp lưu trữ.
Hình 3: Trang kích hoạt Security Lake với các tùy chọn để chọn khu vực tổng số và đặt các lớp lưu trữ
Đơn giản hóa việc giám sát và báo cáo tuân thủ của bạn
Với Security Lake, khách hàng có thể tập trung dữ liệu bảo mật vào một hoặc nhiều Khu vực tổng số, điều này có thể giúp các nhóm đơn giản hóa các nghĩa vụ báo cáo và tuân thủ theo khu vực của họ. Các nhóm thường gặp thách thức khi theo dõi sự tuân thủ trên nhiều nguồn nhật ký, Khu vực và tài khoản. Bằng cách sử dụng Security Lake để thu thập và tập trung bằng chứng này, các nhóm bảo mật có thể giảm đáng kể thời gian dành cho việc khám phá nhật ký và phân bổ nhiều thời gian hơn cho việc giám sát và báo cáo tuân thủ.
Phân tích dữ liệu bảo mật nhiều năm một cách nhanh chóng
Security Lake cung cấp khả năng tích hợp với các dịch vụ bảo mật của bên thứ ba như quản lý thông tin và sự kiện bảo mật (SEM).SIEM) và phát hiện và phản hồi mở rộng (XDRcác công cụ, cũng như các dịch vụ phân tích dữ liệu phổ biến như amazon Athena và Dịch vụ Tìm kiếm Mở của Amazon để nhanh chóng phân tích hàng petabyte dữ liệu. Điều này cho phép các nhóm bảo mật hiểu sâu hơn về dữ liệu bảo mật của họ và thực hiện các biện pháp nhanh chóng để giúp bảo vệ tổ chức của họ. Security Lake giúp thực thi các biện pháp kiểm soát ít đặc quyền nhất cho các nhóm trong toàn tổ chức bằng cách tập trung dữ liệu và triển khai các biện pháp kiểm soát truy cập mạnh mẽ, tự động áp dụng các chính sách có phạm vi cho những người đăng ký và nguồn được yêu cầu. Người quản lý dữ liệu có thể sử dụng các tính năng tích hợp sẵn để tạo và thực thi các biện pháp kiểm soát truy cập chi tiết, chẳng hạn như hạn chế quyền truy cập vào dữ liệu trong hồ bảo mật chỉ cho những người yêu cầu.
Hình 4 mô tả quá trình tạo thuê bao truy cập dữ liệu trong Security Lake.
Hình 4: Tạo thuê bao truy cập dữ liệu trong Security Lake
Thống nhất quản lý dữ liệu bảo mật trên các môi trường kết hợp
Kho lưu trữ dữ liệu tập trung trong Security Lake cung cấp chế độ xem toàn diện về dữ liệu bảo mật trên các môi trường kết hợp và đa đám mây, giúp các nhóm bảo mật hiểu rõ hơn và ứng phó với các mối đe dọa. Bạn có thể sử dụng Security Lake để lưu trữ nhật ký và dữ liệu liên quan đến bảo mật từ nhiều nguồn khác nhau, bao gồm cả hệ thống dựa trên đám mây và tại chỗ, giúp việc thu thập và phân tích dữ liệu bảo mật trở nên đơn giản hơn. Ngoài ra, bằng cách sử dụng các giải pháp tự động hóa và máy học, các nhóm bảo mật có thể giúp xác định các điểm bất thường và rủi ro bảo mật tiềm ẩn hiệu quả hơn. Điều này cuối cùng có thể dẫn đến quản lý rủi ro tốt hơn và nâng cao tình hình bảo mật tổng thể cho tổ chức. Hình 5 minh họa quá trình truy vấn đồng thời nhật ký kiểm tra AWS CloudTrail và Microsoft Azure bằng cách sử dụng Amazon Athena.
Hình 5: Truy vấn nhật ký kiểm tra AWS CloudTrail và Microsoft Azure cùng nhau trong Amazon Athena
Các bản cập nhật kể từ khi ra mắt bản xem trước
Hồ bảo mật tự động chuẩn hóa nhật ký và sự kiện từ các dịch vụ AWS được hỗ trợ nguyên gốc sang lược đồ OCSF. Với bản phát hành sẵn có chung, Security Lake hiện hỗ trợ phiên bản OCSF mới nhất, đó là phiên bản 1 rc2. Các sự kiện quản lý CloudTrail hiện được chuẩn hóa thành ba lớp sự kiện OCSF riêng biệt: Xác thực, Thay đổi tài khoản và Hoạt động API.
Chúng tôi đã thực hiện nhiều cải tiến đối với tên tài nguyên và ánh xạ lược đồ để nâng cao khả năng sử dụng nhật ký. Lên tàu được thực hiện đơn giản hơn với tự động Quản lý truy cập và nhận dạng AWS (IAM) tạo vai trò từ bảng điều khiển. Ngoài ra, bạn có thể linh hoạt thu thập các nguồn CloudTrail một cách độc lập bao gồm các sự kiện quản lý, Dịch vụ lưu trữ đơn giản của Amazon (Amazon S3) sự kiện dữ liệu, và AWS Lambda sự kiện.
Để nâng cao hiệu suất truy vấn, chúng tôi đã thực hiện chuyển đổi từ phân vùng thời gian hàng giờ sang hàng ngày trong Amazon S3, giúp truy xuất dữ liệu nhanh hơn và hiệu quả hơn. Ngoài ra, chúng tôi đã thêm amazoncloudwatch các số liệu để cho phép giám sát chủ động quá trình nhập nhật ký của bạn nhằm tạo điều kiện thuận lợi cho việc xác định các khoảng trống hoặc mức tăng đột biến của bộ sưu tập.
Chủ tài khoản Security Lake mới đủ điều kiện nhận 15 ngày dùng thử miễn phí trong các Khu vực được hỗ trợ. Hồ bảo mật hiện có sẵn trong các phần sau Khu vực AWS: Đông Hoa Kỳ (Ohio), Đông Hoa Kỳ (Bắc Virginia), Tây Hoa Kỳ (Oregon), Châu Á Thái Bình Dương (Singapore), Châu Á Thái Bình Dương (Sydney), Châu Á Thái Bình Dương (Tokyo), Châu Âu (Frankfurt), Châu Âu (Ireland), Châu Âu (London) và Nam Mỹ (São Paolo).
Tích hợp hệ sinh thái
Chúng tôi đã mở rộng hỗ trợ tích hợp bên thứ ba và đã thêm 23 đối tác mới. Điều này bao gồm 10 đối tác nguồn — an ninh nước, Nguyên mẫu, Ngã ba, Bóng tối, ExtraHop, gigamon, Sentra, momen xoắn, lưới mắt cáovà Uptycs — cho phép họ gửi dữ liệu trực tiếp đến Security Lake. Ngoài ra, chúng tôi đã tích hợp với chín đối tác đăng ký mới — hỗn loạntìm kiếm, New Relic, Ripjar, SOC Thủ tướng Chính phủ, sao điện tử, Đường bơi, Dây buộc, momen xoắnvà wazuh. Chúng tôi cũng đã thành lập sáu đối tác dịch vụ mới, bao gồm Booz Allen Hamilton, Giải pháp CMD, một phần của Tập đoàn Mantel, Infosys, sẵn có, Leidosvà Tata Consultancy Services.
Ngoài ra, Security Lake hỗ trợ các nguồn của bên thứ ba cung cấp dữ liệu bảo mật OCSF. Các đối tác đáng chú ý bao gồm Barracuda, Cisco, Nôi, CrowdStrike, CyberArk, Renwork, Gỗ dán, NETSCOUT, Netscope, Okta, Orca, Palo Alto Networks, Nhận dạng Ping, Tani, Dự án Falco, Trend Micro, Vectra AI, VMware, Wizvà Zscaler. Chúng tôi đã tích hợp với nhiều công cụ bảo mật, tự động hóa và phân tích của bên thứ ba. Điêu nay bao gôm Bảng dữ liệu, IBM, Nhanh chóng7, lính gác một, Splunk, Logic Sumovà lưới mắt cáo. Cuối cùng, chúng tôi đã hợp tác với các đối tác dịch vụ như Accenture, Deloitte, Công nghệ DXC, bằng chứng , Kyndryl, PwC, và Wipro, có thể làm việc với bạn và Security Lake để cung cấp các giải pháp toàn diện.
Nhận trợ giúp từ AWS Professional Services
Dịch vụ chuyên nghiệp của AWS tổ chức là một nhóm chuyên gia toàn cầu có thể giúp khách hàng nhận ra kết quả kinh doanh mong muốn khi sử dụng AWS. Các nhóm kiến trúc sư dữ liệu và kỹ sư bảo mật của chúng tôi làm việc với các nhà lãnh đạo về Bảo mật, CNTT và doanh nghiệp của khách hàng để phát triển các giải pháp doanh nghiệp. Chúng tôi tuân theo các đề xuất hiện tại để hỗ trợ khách hàng trong hành trình tích hợp dữ liệu vào Security Lake. Chúng tôi tích hợp các quy trình chuyển đổi dữ liệu, trực quan hóa và AI/máy học (ML) dựng sẵn để giúp các nhóm Hoạt động bảo mật nhanh chóng nhận ra giá trị. Nếu bạn muốn tìm hiểu thêm, hãy liên hệ với đại diện tài khoản AWS Professional Services của bạn.
Tổng kết
Chúng tôi mời bạn khám phá những lợi ích của việc sử dụng Amazon Security Lake bằng cách tận dụng lợi thế của chúng tôi 15 ngày dùng thử miễn phí và cung cấp phản hồi về trải nghiệm, trường hợp sử dụng và giải pháp của bạn. Chúng tôi có một số tài nguyên để giúp bạn bắt đầu và xây dựng kho dữ liệu đầu tiên của mình, bao gồm toàn diện tài liệu hướng dẫn, video giới thiệuvà hội thảo. Qua thử Security Lake, bạn có thể trực tiếp trải nghiệm cách nó giúp bạn tập trung hóa, chuẩn hóa và tối ưu hóa dữ liệu bảo mật của mình, đồng thời hợp lý hóa khả năng phát hiện và phản hồi sự cố bảo mật của tổ chức bạn trên các môi trường đa đám mây và kết hợp.
