Características de Amazon Security Lake

Security Lake crea un lago de datos de seguridad específico en su cuenta. Security Lake recopila datos de registros y eventos de origen de datos en la nube, locales y personalizadas en cuentas y regiones. El servicio almacena los registros recopilados en sus buckets de Amazon Simple Storage Service (S3), por lo que retiene el control completo y la propiedad de sus datos.

Security Lake recopila automáticamente los registros de los siguientes servicios:

• AWS CloudTrail
• Amazon Virtual Private Cloud (VPC)
• Amazon Route 53
• Amazon Simple Storage Service (S3)
• AWS Lambda
• Amazon Elastic Kubernetes Service (EKS)
• AWS Web Application Firewall (WAF)

También recopila los hallazgos de AWS Security Hub, incluidos los hallazgos originados en los siguientes servicios: 

• AWS Config
• AWS Firewall Manager
• Amazon GuardDuty
• AWS Health
• Analizador de acceso de AWS Identity and Access Management (IAM)
• Amazon Inspector
• Amazon Macie
• AWS Systems Manager Patch Manager

Security Lake normaliza automáticamente los registros de AWS y los resultados de seguridad en OCSF. Puede agregar datos de soluciones de seguridad de terceros y sus datos personalizados y orígenes en la nube, como registros de aplicaciones internas o infraestructura de red que haya convertido al formato OCSF. Con compatibilidad con OCSF, Security Lake centraliza, transforma y pone sus datos de seguridad a disposición de sus herramientas de análisis preferidas.

Puede activar Amazon Security Lake en varias regiones en las que esté disponible el servicio y en varias cuentas de AWS. Puede agregar los datos de seguridad de las cuentas por región o consolidar los datos de seguridad de varias regiones en regiones de acumulación. Las regiones de acumulación de Security Lake pueden ayudarlo a cumplir los requisitos de conformidad regional.

Security Lake lo ayuda a agilizar la configuración del acceso a su lago de datos para sus herramientas de seguridad y análisis. Por ejemplo, puede optar por conceder acceso únicamente a conjuntos de datos de orígenes específicos como CloudTrail. Hay dos modos de acceso disponibles: el acceso a los datos, que emite una notificación cuando se escriben nuevos objetos en el lago de datos, y el acceso a consultas, que permite a las herramientas consultar los datos almacenados en el lago de datos de seguridad.

Security Lake administra el ciclo de vida de sus datos con ajustes de retención personalizables y costos de almacenamiento con niveles de almacenamiento automatizados. Security Lake particiona y convierte automáticamente los datos de seguridad entrantes en un formato Apache Parquet de almacenamiento y consulta eficientes. Security Lake admite tablas de Apache Iceberg en el catálogo de AWS Glue para ayudarlo a realizar una transición sencilla de sus herramientas de análisis para ejecutar consultas con un mayor rendimiento.

AWS AppFabric normaliza automáticamente los registros de auditoría de aplicaciones SaaS al formato OCSF y entrega datos OCSF normalizados a Security Lake. Con la combinación de Security Lake y AppFabric, podrá agregar, normalizar y visualizar fácilmente los datos de seguridad de los principales orígenes de datos. No hay tarifas asociadas a la normalización o ingesta de datos para la integración de AppFabric con Security Lake. Se aplican los cargos estándar de AppFabric.

Amazon OpenSearch Service le facilita la realización de análisis de registros interactivos y la supervisión de aplicaciones en tiempo real, y ahora se integra perfectamente con Security Lake. Esto permite a su organización buscar, analizar y obtener información procesable de manera eficiente a partir de sus datos de seguridad, lo que ayuda a simplificar los complejos requisitos de ingeniería de datos y a aprovechar todo el potencial de sus datos de seguridad.  Los beneficios clave de esta integración incluyen una visibilidad y un acceso completos a todos sus datos de Security Lake, un valor de seguridad más rápido y una configuración simplificada. Además, esta integración ofrece la posibilidad de mejorar la administración de costos. Características como la consulta directa de los datos de Security Lake pueden ayudar a evitar la duplicación de datos. Esta integración también proporciona la indexación bajo demanda de conjuntos de datos seleccionados para análisis avanzados, así como consultas y paneles prediseñados que utilizan el marco de esquema abierto de ciberseguridad (OCSF). Al aprovechar esta integración, su organización puede utilizar las capacidades de análisis y visualización de OpenSearch Service para realizar investigaciones más profundas, mejorar la búsqueda de amenazas y supervisar de forma proactiva su postura de seguridad, a la vez que puede reducir los costos.