|
Para identificar posibles amenazas y vulnerabilidades de seguridad, los clientes deben habilitar el registro en sus diversos recursos y centralizar estos registros para facilitar el acceso y el uso dentro de las herramientas de análisis. Algunas de estas fuentes de datos incluyen registros de infraestructura local, firewalls y soluciones de seguridad de punto final y, cuando se utiliza la nube, servicios como Amazon Route 53, AWS CloudTrail y Amazon Virtual Private Cloud (Amazon VPC).
Amazon Simple Storage Service (Amazon S3) y AWS Lake Formation simplifican la creación y administración de un lago de datos en AWS. Sin embargo, los equipos de seguridad de algunos clientes todavía luchan por definir e implementar aspectos específicos del dominio de seguridad, como la normalización de datos, lo que les obliga a analizar la estructura y los campos de cada fuente de registro, definir esquemas y asignaciones, y obtener enriquecimiento de datos, como inteligencia de amenazas. .
Hoy anunciamos el lanzamiento preliminar de Lago de seguridad de Amazon, un servicio especialmente diseñado que centraliza automáticamente los datos de seguridad de una organización desde la nube y fuentes locales en un lago de datos especialmente diseñado almacenado en su cuenta. Amazon Security Lake automatiza la administración central de datos de seguridad, normalizándolos a partir de servicios integrados de AWS y servicios de terceros y administrando el ciclo de vida de los datos con retención personalizable y también automatiza la organización del almacenamiento en niveles.
Estas son las características clave de Amazon Security Lake:
- Variedad de fuentes de registro y eventos compatibles – Durante la vista previa, Amazon Security Lake recopila automáticamente registros para AWS CloudTrail, Amazon VPC, Amazon Route 53, Amazon S3 y AWS Lambda, así como hallazgos de seguridad a través de AWS Security Hub para AWS Config, AWS Firewall Manager, Amazon GuardDuty, AWS Panel de control de estado, AWS IAM Access Analyzer, Amazon Inspector, Amazon Macie y AWS Systems Manager Patch Manager. Además, se pueden enviar más de 50 fuentes de hallazgos de seguridad de terceros a Amazon Security Lake. Los socios de seguridad también envían datos directamente en un esquema estándar denominado Marco de esquema de ciberseguridad abierto (OCSF) a Amazon Security Lake, como Cisco Security, CrowdStrike, Palo Alto Networks y más.
- Transformación y normalización de datos – Security Lake divide y convierte automáticamente los datos de registro entrantes en un almacenamiento y consultas eficientes parquet apache y formato OCSF, lo que hace que los datos se puedan utilizar de forma amplia e inmediata para análisis de seguridad sin necesidad de procesamiento posterior. Security Lake admite integraciones con socios de análisis como IBM, Splunk, Sumo Logic y más para abordar una variedad de casos de uso de seguridad, como detección de amenazas, investigación y respuesta a incidentes.
- Niveles de acceso a datos personalizables – Puede configurar el nivel de suscriptores que consumen datos almacenados en Security Lake, como fuentes de datos específicas para acceder a los datos de todos los objetos nuevos o consultar directamente los datos almacenados. También puede especificar una región acumulada en la que Security Lake esté disponible y varias cuentas de AWS en sus organizaciones de AWS. Esto puede ayudarlo a cumplir con los requisitos de cumplimiento de residencia de datos.
Al reducir la sobrecarga operativa de la administración de datos de seguridad, puede facilitar la recopilación de más señales de seguridad de toda su organización y analizar esos datos para mejorar la protección de sus datos, aplicaciones y cargas de trabajo.
Configure su lago de seguridad para recopilar datos
Para comenzar con Amazon Security Lake, elija Empezar en la consola de AWS. Puede habilitar fuentes de registro y eventos para todas las regiones y todas las cuentas.
Puede seleccionar orígenes de registros y eventos, como registros de CloudTrail, registros de flujo de VPC y registros de resolución de Route53 en su lago de datos. Algunas regiones contribuirán con sus datos a su lago de datos con el cifrado administrado por Amazon S3 que Amazon S3 creará y administrará todas las claves de cifrado, así como las cuentas específicas de AWS en sus organizaciones.
A continuación, puede seleccionar regiones acumuladas y contribuyentes. Todos los datos agregados de las regiones contribuyentes residen en la región acumulada. Puede crear varias regiones acumuladas, lo que puede ayudarlo a cumplir con los requisitos de cumplimiento de residencia de datos. Opcionalmente, puede definir las clases de almacenamiento de Amazon S3 y el período de retención en el que desea que los datos pasen de las clases de almacenamiento estándar de Amazon S3 utilizadas en Security Lake.
Después de la configuración inicial, elija Fuentes en el panel izquierdo de la consola si puede agregar o eliminar fuentes de registro en sus regiones o cuenta.
También puede recopilar datos de fuentes personalizadas, como registros de Bind DNS, registros de telemetría de punto final, registros de Netflow locales, etc. Antes de agregar una fuente personalizada, debe crear un rol de AWS IAM para otorgar permisos para AWS Glue.
Para crear una fuente de datos personalizada, elija Crear fuente personalizada en el menú izquierdo de Fuentes personalizadas.
Requiere que ingrese el rol de IAM Nombres de recursos de Amazon (ARN) para escribir datos en Security Lake e invocar AWS Glue en su nombre. Luego, puede proporcionar detalles sobre su fuente personalizada.
Para un procesamiento y consulta de datos eficientes, los objetos de sus fuentes personalizadas deben particionarse por región de AWS, cuenta de AWS, año, mes, día y hora con un objeto con formato Parquet.
Consuma sus datos de Security Lake
Ahora puede crear un suscriptor, un servicio que consume registros y eventos de Security Lake. Para agregar o ver sus suscriptores, seleccione Suscriptores en el panel izquierdo de la consola.
Security Lake admite dos tipos de métodos de acceso a datos de suscriptores:
- Acceso a datos (Amazon S3) – Se notifica a los suscriptores sobre nuevos objetos para una fuente a medida que los datos se escriben en su depósito de Security Lake S3. Puede optar por notificar a los suscriptores sobre nuevos objetos con una cola de Amazon Simple Queue Service (Amazon SQS) o mediante mensajes a un punto de enlace HTTPS proporcionado por el suscriptor. Este tipo es útil para ingerir datos seleccionados en su aplicación de análisis, bueno para casos de uso que requieren acceso frecuente a los datos.
- Consulta de acceso (Lake Formation) – Los suscriptores pueden consumir datos consultando directamente las tablas de AWS Lake Formation en su depósito S3 a través de servicios como Amazon Athena. Este tipo es útil para proporcionar acceso de consulta a pedido a los datos sin necesidad de ingerir nada previamente y para casos de uso que requieren un acceso poco frecuente o en fuentes de gran volumen que son demasiado costosas para ingerir por adelantado o retener en las herramientas de análisis.
Cuando agrega un suscriptor, puede elegir Amazon S3 para crear acceso a datos para el suscriptor. Si selecciona el método de notificación predeterminado, puede recibir el siguiente mensaje de notificación de objeto en un punto de enlace HTTPS o en Amazon SQS.
{
"source": "aws.s3",
"time": "2021-11-12T00:00:00Z",
"region": "ca-central-1",
"resources": [
"arn:aws:s3:::example-bucket"
],
"detail": {
"bucket": {
"name": "example-bucket"
},
"object": {
"key": "example-key",
"size": 5,
"etag": "b57f9512698f4b09e608f4f2a65852e5"
},
"request-id": "N4N7GDK58NMKJ12R",
"requester": "123456789012"
}
}
Los suscriptores con acceso a consultas pueden consultar directamente los datos almacenados en Security Lake mediante el uso de servicios como Amazon Athena y otros servicios que pueden leer desde AWS Lake Formation. Las siguientes son consultas de muestra de datos de CloudTrail.
SELECT
time,
api.service.name,
api.operation,
api.response.error,
api.response.message,
src_endpoint.ip
FROM ${athena_db}.${athena_table}
WHERE eventHour BETWEEN '${query_start_time}' and '${query_end_time}'
AND api.response.error in (
'Client.UnauthorizedOperation',
'Client.InvalidPermission.NotFound',
'Client.OperationNotPermitted',
'AccessDenied')
ORDER BY time desc
LIMIT 25
Los suscriptores solo tienen acceso a los datos de origen en la región de AWS que seleccionó cuando creó el suscriptor. Para otorgar a un suscriptor acceso a datos de varias regiones, puede configurar la región en la que crea su suscriptor como una región acumulada.
Integraciones de terceros
Para las integraciones de terceros admitidas, hay varias fuentes, así como servicios de suscripción integrados con Amazon Security Lake.
Amazon Security Lake admite fuentes de terceros que proporcionan datos de seguridad OCSF, incluidos Barracuda Networks, Cisco, Cribl, CrowdStrike, CyberArk, Lacework, Laminar, Netscout, Netskope, Okta, Orca, Palo Alto Networks, Ping Identity, SecurityScorecard, Tanium, The Falco Proyecto, Trend Micro, Vectra AI, VMware, Wiz y Zscaler.
También puede utilizar herramientas de análisis, automatización y seguridad de terceros compatibles con Security Lake, incluidos Datadog, IBM, Rapid7, Securonix, SentinelOne, Splunk, Sumo Logic y Trellix. También hay socios de servicios como Accenture, Atos, Deloitte, DXC, Kyndryl, PWC, Rackspace y Wipro que pueden trabajar con usted y Amazon Security Lake.
Únete a la vista previa
La versión preliminar de Amazon Security Lake ya está disponible en EE. UU. Este (Ohio), EE. UU. Este (Norte de Virginia), EE. UU. Oeste (Oregón), Asia Pacífico (Sídney), Asia Pacífico (Tokio), Europa (Fráncfort) y Regiones de Europa (Irlanda).
Para obtener más información, consulte la página de Amazon Security Lake y la Guía del usuario de Amazon Security Lake. Queremos escuchar más comentarios durante la vista previa. Envíe sus comentarios en AWS re:Publicar ya través de sus contactos habituales de soporte de AWS.
– channy