Сегодня мы рады объявить об общедоступной версии Amazon Security Lake, о которой впервые было объявлено в предварительной версии на re:Invent 2022. Security Lake централизует данные безопасности из сред Amazon Web Services (AWS), поставщиков программного обеспечения как услуги (SaaS), локальных и облачных источников в специально созданное озеро данных, которое хранится в вашей учетной записи AWS. Благодаря поддержке Open Cybersecurity Schema Framework (OCSF) сервис нормализует и объединяет данные безопасности из AWS и широкого спектра источников данных безопасности. Это помогает предоставить вашей команде аналитиков и инженеров по безопасности широкую видимость для расследования событий безопасности и реагирования на них, что может способствовать своевременному реагированию и помогает улучшить вашу безопасность в мультиоблачных и гибридных средах.
На рис. 1 показано, как работает Security Lake, шаг за шагом. В этом посте мы обсудим эти шаги, выделим некоторые из наиболее популярных вариантов использования Security Lake и поделимся последними улучшениями и обновлениями, которые мы сделали с момента запуска предварительной версии.
Рисунок 1. Как работает Security Lake
Целевые варианты использования
В этом разделе мы демонстрируем некоторые варианты использования, которые клиенты сочли наиболее ценными, пока служба находилась в предварительной версии.
Облегчите проведение расследований безопасности благодаря повышенной прозрачности
Amazon Security Lake помогает оптимизировать расследования безопасности за счет агрегирования, нормализации и оптимизации хранения данных в одном озере данных безопасности. Security Lake автоматически нормализует журналы AWS и результаты безопасности в соответствии со схемой OCSF. Это включает AWS CloudTrail управленческие мероприятия, Журналы потоков виртуального частного облака Amazon (Amazon VPC), Журналы запросов Amazon Route 53 Resolver и Центр безопасности AWS результаты безопасности от служб безопасности Amazon, в том числе Амазонка - стражник, Амазонка инспектор и Анализатор доступа AWS IAM, а также результаты анализа безопасности более чем 50 партнерских решений. Имея журналы и результаты, связанные с безопасностью, централизованно и в одном и том же формате, группы по обеспечению безопасности могут оптимизировать свои процессы и уделять больше времени исследованию проблем безопасности. Такая централизация снижает необходимость тратить драгоценное время на сбор и приведение журналов в определенный формат.
На рис. 2 показана страница активации Security Lake, на которой пользователям предлагаются варианты включения источников журналов, регионов AWS и учетных записей.
Рис. 2. Страница активации Security Lake с параметрами включения источников журналов, регионов и учетных записей.
На рис. 3 показан еще один раздел страницы активации Security Lake, на котором пользователям предлагаются параметры настройки. объединение регионов и классы хранения.
Рис. 3. Страница активации Security Lake с возможностью выбора региона объединения и установки классов хранения.
Упростите мониторинг соответствия и отчетность
С помощью Security Lake клиенты могут централизовать данные безопасности в одном или нескольких объединенных регионах, что может помочь командам упростить свои региональные обязательства по обеспечению соответствия и отчетности. Команды часто сталкиваются с проблемами при мониторинге соответствия требованиям в нескольких источниках журналов, регионах и учетных записях. Используя Security Lake для сбора и централизации этих данных, группы безопасности могут значительно сократить время, затрачиваемое на обнаружение журналов, и уделять больше времени мониторингу соответствия требованиям и составлению отчетов.
Быстро анализируйте данные безопасности за несколько лет
Security Lake предлагает интеграцию со сторонними сервисами безопасности, такими как системы управления информацией и событиями безопасности (SIM-ORD).SIEM) и расширенное обнаружение и реагирование (XDRинструменты, а также популярные сервисы анализа данных, такие как Амазонка Афина и Сервис Amazon OpenSearch для быстрого анализа петабайт данных. Это позволяет командам безопасности получить более глубокое представление о своих данных безопасности и принять быстрые меры для защиты своей организации. Security Lake помогает обеспечить контроль с минимальными привилегиями для групп в организациях за счет централизации данных и внедрения надежных средств контроля доступа, автоматического применения политик, применимых к необходимым подписчикам и источникам. Хранители данных могут использовать встроенные функции для создания и обеспечения детального контроля доступа, например, для ограничения доступа к данным в озере безопасности только тем, кто в этом нуждается.
На рис. 4 показан процесс создания подписчика доступа к данным в Security Lake.
Рисунок 4. Создание подписчика доступа к данным в Security Lake.
Унифицируйте управление данными безопасности в гибридных средах.
Централизованное хранилище данных в Security Lake обеспечивает комплексное представление данных о безопасности в гибридных и мультиоблачных средах, помогая специалистам по безопасности лучше понимать угрозы и реагировать на них. Вы можете использовать Security Lake для хранения журналов и данных, связанных с безопасностью, из различных источников, включая облачные и локальные системы, что упрощает сбор и анализ данных безопасности. Кроме того, используя решения по автоматизации и машинному обучению, группы безопасности могут помочь более эффективно выявлять аномалии и потенциальные угрозы безопасности. В конечном итоге это может привести к лучшему управлению рисками и улучшению общего состояния безопасности организации. На рис. 5 показан процесс одновременного запроса журналов аудита AWS CloudTrail и Microsoft Azure с помощью Amazon Athena.
Рис. 5. Совместный запрос журналов аудита AWS CloudTrail и Microsoft Azure в Amazon Athena.
Обновления с момента запуска предварительной версии
Security Lake автоматически нормализует журналы и события из встроенно поддерживаемых сервисов AWS в схему OCSF. В общедоступном выпуске Security Lake теперь поддерживает последнюю версию OCSF — версию 1 rc2. События управления CloudTrail теперь разделены на три отдельных класса событий OCSF: аутентификация, изменение учетной записи и активность API.
Мы внесли различные улучшения в имена ресурсов и сопоставление схем, чтобы повысить удобство использования журналов. Регистрация становится проще благодаря автоматизированному Управление идентификацией и доступом AWS (IAM) создание роли из консоли. Кроме того, у вас есть возможность независимо собирать источники CloudTrail, включая события управления, Сервис Amazon Simple Storage (Amazon S3) события данных и AWS Lambda Мероприятия.
Чтобы повысить производительность запросов, мы перешли от почасового разделения времени к ежедневному в Amazon S3, что привело к более быстрому и эффективному получению данных. Также мы добавили Amazon CloudWatch метрики, позволяющие осуществлять упреждающий мониторинг процесса приема журналов и облегчать выявление пробелов или скачков сбора данных.
Владельцы новых учетных записей Security Lake имеют право на 15-дневная бесплатная пробная версия в поддерживаемых регионах. Security Lake теперь общедоступен в следующих AWS Регионы: Восток США (Огайо), Восток США (Северная Вирджиния), Запад США (Орегон), Азиатско-Тихоокеанский регион (Сингапур), Азиатско-Тихоокеанский регион (Сидней), Азиатско-Тихоокеанский регион (Токио), Европа (Франкфурт), Европа (Ирландия), Европа (Лондон) и Южная Америка (Сан-Паулу).
Интеграция с экосистемой
Мы расширили поддержку сторонних интеграций и добавили 23 новых партнера. Сюда входят 10 исходных партнеров — Аква Безопасность, Клароти, Переход, Darktrace, Экстрахоп, Гигамон, Sentra, Крутящий момент, Трелликс и Уптикс — позволяя им отправлять данные непосредственно в Security Lake. Кроме того, мы интегрировались с девятью новыми партнерами-подписчиками — ХаосПоиск, Новый Реликвия, Рипьяр, SOC Простое число, Звездный кибер, Дорожка, Лапы, Крутящий момент и Вазух. Мы также установили шесть новых партнеров по оказанию услуг, в том числе Booz Allen Hamilton, CMD Solutions, часть Mantel Group, Infosys, Встроенный, Leidos и Tata Consultancy Services.
Кроме того, Security Lake поддерживает сторонние источники, которые предоставляют данные безопасности OCSF. Известные партнеры включают Барракуда, Cisco, Крибл, CrowdStrike, CyberArk, Lacework, ламинарный, NETSCOUT, Netskope, Okta, Orca, Palo Alto Networks, Ping Identity, Tanium, Проект Фалько, Trend Micro, Вектра ИИ, VMware, волшебник и Zscaler. Мы интегрировали различные сторонние инструменты безопасности, автоматизации и аналитики. Это включает Datadog, IBM, Rapid7, SentinelOne, Splunk, Сумо Логик и Трелликс. Наконец, мы сотрудничаем с такими партнерами по обслуживанию, как Accenture, Deloitte, Технология DXC, Эвиден , Киндрил, PwC, и Wipro, который сможет сотрудничать с вами и Security Lake для предоставления комплексных решений.
Получите помощь от профессиональных услуг AWS
Профессиональные услуги AWS Организация — это глобальная команда экспертов, которая может помочь клиентам добиться желаемых бизнес-результатов при использовании AWS. Наши команды архитекторов данных и инженеров по безопасности сотрудничают с руководителями служб безопасности, ИТ и бизнеса для разработки корпоративных решений. Мы следуем текущим рекомендациям, чтобы поддержать клиентов на пути к интеграции данных в Security Lake. Мы интегрируем готовые преобразования данных, визуализацию и рабочие процессы искусственного интеллекта и машинного обучения (ML), которые помогают командам по обеспечению безопасности быстро осознать ценность. Если вы хотите узнать больше, обратитесь к представителю своего аккаунта AWS Professional Services.
Резюме
Мы приглашаем вас изучить преимущества использования Amazon Security Lake, воспользовавшись нашими преимуществами. 15-дневная бесплатная пробная версия и предоставление ваших отзывов о вашем опыте, вариантах использования и решениях. У нас есть несколько ресурсов, которые помогут вам начать работу и создать свое первое озеро данных, включая комплексные документации, демонстрационные видео и Вебинары. Durch,en попробовать Security Lake, вы можете на собственном опыте убедиться, как это помогает вам централизовать, нормализовать и оптимизировать данные безопасности и, в конечном итоге, оптимизировать обнаружение инцидентов безопасности в вашей организации и реагирование на них в мультиоблачных и гибридных средах.
