Perguntas frequentes sobre o Amazon Security Lake

O Amazon Security Lake é um serviço que automatiza o fornecimento, a agregação, a normalização e o gerenciamento de dados de segurança em toda a organização em um data lake de segurança armazenado em sua conta. Um data lake de segurança ajuda a tornar os dados de segurança de sua organização amplamente acessíveis para as soluções de análise de segurança preferenciais a fim de potencializar os casos de uso, como detecção de ameaças, investigação e resposta a incidentes.

O Security Lake centraliza automaticamente os dados de segurança de ambientes da AWS, provedores de SaaS, on-premises e fontes na nuvem em um data lake criado com propósito específico e armazenado em sua conta. Use o Security Lake para analisar dados de segurança, obter uma compreensão mais abrangente da segurança em toda a organização e melhorar a proteção de suas workloads, aplicações e dados. Os dados relacionados à segurança incluem logs de serviço e de aplicações, alertas de segurança e inteligência contra ameaças (como endereços IP maliciosos conhecidos), que são essenciais para detectar, investigar e corrigir incidentes de segurança. As práticas de segurança recomendadas requerem um processo eficaz de gerenciamento de dados de log e de eventos de segurança. O Security Lake automatiza esse processo e facilita para as soluções executarem detecções analíticas de streaming, análises de séries temporais, análises de comportamento do usuário e da entidade (UEBA), orquestração e remediação de segurança (SOAR) e respostas a incidentes.

O Open Cybersecurity Schema Framework (OCSF) é um esquema colaborativo de código aberto para logs e eventos de segurança. Ele inclui uma taxonomia de dados independente do fornecedor que reduz a necessidade de normalizar logs e dados de eventos de segurança em diversos produtos, serviços e ferramentas de código aberto.

O Security Lake coleta automaticamente logs dos seguintes serviços:

• AWS CloudTrail
• Amazon Virtual Private Cloud (VPC)
• Amazon Route 53
• Amazon Simple Storage Service (S3)
• AWS Lambda
• Amazon Elastic Kubernetes Service (EKS) 
• AWS Web Application Firewall (WAF)

Ele também coleta descobertas de segurança por meio do AWS Security Hub para os seguintes serviços:

• AWS Config
• AWS Firewall Manager
• Amazon GuardDuty
• AWS Health
• AWS Identity and Access Management (IAM) Access Analyzer
• Amazon Inspector
• Amazon Macie
• Gerenciador de Patches do AWS Systems Manager

Além disso, você pode adicionar dados de soluções de segurança de terceiros, outras fontes de nuvem e seus próprios dados personalizados compatíveis com o OCSF. Esses dados incluem logs de aplicações internas ou infraestrutura de rede que foram convertidos para o formato OCSF.

Sim, você pode experimentar o serviço por 15 dias sem nenhum custo com qualquer nova conta no Security Lake usando o nível gratuito da AWS. Você tem acesso ao conjunto completo de recursos durante a avaliação gratuita.

A integração entre o Amazon OpenSearch Service e o Amazon Security Lake oferece uma experiência simplificada para pesquisar diretamente, obter insights e analisar dados armazenados no Security Lake, tudo dentro do Amazon OpenSearch Service. Há duas maneiras de integrar o Security Lake e o OpenSearch Service: acesso a dados sob demanda e ingestão contínua. A opção sob demanda é ideal para fontes de log volumosas com acesso pouco frequente, permitindo que os usuários analisem dados sem custos iniciais de ingestão. Como alternativa, o método de ingestão contínua é adequado para análise em tempo real e fornece acesso mais rápido a fontes de segurança de alto valor, como descobertas do AWS Security Hub e eventos de gerenciamento do AWS CloudTrail.

O Security Lake automatiza o fornecimento, a agregação, a normalização e o gerenciamento de dados relacionados à segurança da nuvem, on-premises e de fontes personalizadas em um data lake de segurança armazenado em sua conta da AWS. O Security Lake adotou o OCSF, um padrão aberto. Compatível com o OCSF, o serviço pode normalizar e combinar dados de segurança da AWS e uma ampla variedade de fontes de segurança empresarial. O AWS CloudTrail Lake é um data lake gerenciado de auditoria e segurança. Ele permite agregar, armazenar de forma imutável e consultar logs de auditoria e segurança da AWS (eventos do CloudTrail, itens de configuração do AWS Config, evidências de auditoria do AWS Audit Manager) e de fontes externas (aplicações internas ou SaaS hospedadas on-premises ou na nuvem, máquinas virtuais ou contêineres). Esses dados podem então ser armazenados por até sete anos em um armazenamento de dados de eventos do CloudTrail Lake, sem custo adicional, e investigados com o mecanismo de consulta SQL integrado do CloudTrail Lake.

Para começar, primeiro você precisa ter uma configuração existente do Security Lake no ambiente da AWS. Isso fornecerá armazenamento centralizado e acesso aos dados de segurança da sua empresa.

Depois que o Security Lake estiver configurado, você poderá habilitar a integração com o Amazon OpenSearch Service. Para fazer isso, navegue até o console do Security Lake no Console de Gerenciamento da AWS e crie um assinante para a conta que planeja usar no Amazon OpenSearch. Em seguida, acesse o console do Amazon OpenSearch Service e configure uma fonte de dados para o Security Lake. Esse processo envolve a configuração das permissões e controles de acesso necessários para permitir que o OpenSearch Service acesse e consulte com segurança os dados no Security Lake.

Em seguida, você pode explorar as consultas e integrações pré-criadas disponíveis por meio do OCSF para começar rapidamente nos painéis do OpenSearch Service com casos de uso comuns de analytics de segurança. Você também tem a opção de configurar a indexação sob demanda de conjuntos de dados específicos do Security Lake para o OpenSearch Service visando necessidades avançadas de analytics e exibição.

Com a integração configurada, você pode começar a consultar e analisar seus dados de segurança diretamente do painel, aproveitando os poderosos recursos de pesquisa, analytics e exibição que ele fornece. Você também pode personalizar painéis e outros recursos de monitoramento no OpenSearch Service para atender aos seus requisitos de segurança e fluxos de trabalho específicos.

Ativar o CloudTrail é um pré-requisito para coletar e entregar logs de eventos de gerenciamento do CloudTrail aos buckets do S3 do cliente por meio de qualquer serviço da AWS. Por exemplo, para entregar logs de eventos de gerenciamento do CloudTrail ao Amazon CloudWatch Logs, é necessário criar uma trilha primeiro. Como o Security Lake fornece eventos de gerenciamento do CloudTrail em nível organizacional para um bucket do S3 de propriedade do cliente, ele exige uma trilha organizacional no CloudTrail com eventos de gerenciamento ativados.

O Security Lake pode receber descobertas de segurança de 50 soluções por meio da integração do AWS Security Hub. Para obter detalhes, consulte AWS Security Hub Partners. Há também um número crescente de soluções de tecnologia que podem fornecer dados no formato OCSF e ser integradas ao Security Lake. Para obter detalhes, consulte Parceiros do Amazon Security Lake.

Ao abrir o console do Security Lake pela primeira vez, escolha Comece a usar e, em seguida, escolha Habilitar. O Security Lake utiliza um perfil vinculado ao serviço que inclui as permissões e a política de confiança que permitem ao Security Lake coletar dados de suas fontes e conceder acesso aos assinantes. É uma prática recomendada habilitar o Security Lake em todas as regiões da AWS com suporte. Isso permite que o Security Lake colete e retenha dados relativos a atividades não autorizadas ou incomuns, mesmo em regiões que você não utiliza ativamente. Se o Security Lake não estiver habilitado em todas as regiões com suporte, a capacidade de coleta de dados que envolvem serviços globais será reduzida.

Uma região de rollup corresponde a uma região que agrega logs e eventos de segurança de outras regiões especificadas. Ao habilitar o Security Lake, você pode especificar uma ou mais regiões de rollup que podem ajudar você a cumprir os requisitos de conformidade regional.

A disponibilidade regional do Security Lake está listada na página de endpoints do Amazon Security Lake.