Fonctionnalités d'Amazon Security Lake

Security Lake crée un lac de données de sécurité conçu sur mesure dans votre compte. Security Lake collecte les données de journaux et d'événements à partir de sources de données dans le cloud, sur site et personnalisées, dans les différents comptes et régions. Le service stocke les journaux recueillis dans vos compartiments Amazon Simple Storage Service (S3), ce qui vous permet de conserver l'intégralité du contrôle et de la propriété de vos données.

Security Lake collecte automatiquement les journaux des services suivants :

• AWS CloudTrail
• Amazon Virtual Private Cloud (VPC)
• Amazon Route 53
• Amazon Simple Storage Service (S3)
• AWS Lambda
• Amazon Elastic Kubernetes Service (EKS)
• AWS Web Application Firewall (WAF)

Il collecte également les résultats d'AWS Security Hub, y compris les résultats provenant des services suivants : 

• AWS Config
• AWS Firewall Manager
• Amazon GuardDuty
• AWS Health
• Analyseur d'accès à la gestion des identités et des accès (IAM) AWS
• Amazon Inspector
• Amazon Macie
• Gestionnaire de correctifs d'AWS Systems Manager

Amazon Security Lake normalise automatiquement les résultats liés à la sécurité et aux journaux AWS au format OCSF. Vous pouvez ajouter des données provenant de solutions de sécurité tierces ainsi que vos données personnalisées telles que des journaux d'applications internes ou d'infrastructure réseau que vous avez converties au format OCSF. Avec la prise en charge du format OCSF, Security Lake vous permet de centraliser et transformer vos données de sécurité tout en les exploitant via les outils analytiques de votre choix.

Vous pouvez activer Amazon Security Lake sur plusieurs régions AWS où le service est disponible et sur plusieurs comptes AWS. Vous pouvez agréger les données de sécurité des comptes sur une base par région ou consolider les données de sécurité de plusieurs régions dans des régions de rollup. Les régions de synthèse de Security Lake constituent un outil idéal pour respecter les exigences de conformité régionales.

Simplifiez la configuration de l'accès à votre lac de données pour vos outils de sécurité et analytiques. Par exemple, vous pouvez choisir d'accorder l'accès uniquement aux jeux de données provenant de sources spécifiées telles que CloudTrail. Deux modes d'accès sont disponibles : l'accès aux données, qui émet une notification lorsque de nouveaux objets sont écrits dans le lac de données, et l'accès aux requêtes, qui permet aux outils d'interroger les données stockées dans votre lac de données de sécurité.

Security Lake gère le cycle de vie de vos données via des coûts de stockage et des paramètres de conservation personnalisables ainsi qu'une hiérarchisation automatisée des niveaux de stockage. Security Lake partitionne et convertit automatiquement les données de sécurité entrantes dans un format Apache Parquet efficace en termes de stockage et d'archivage. Security Lake prend en charge les tables Apache Iceberg dans le catalogue AWS Glue afin de faciliter la transition de vos outils d'analyse pour exécuter des requêtes avec des performances accrues.

AWS AppFabric normalise automatiquement les journaux d'audit des applications SaaS au format OCSF et fournit des données OCSF normalisées à Security Lake. Grâce à la combinaison de Security Lake et d'AppFabric, vous pouvez facilement agréger, normaliser et visualiser les données de sécurité dans les principales sources de données. Aucuns frais ne sont associés à la normalisation ou à l'ingestion de données pour l'intégration d'AppFabric à Security Lake. Les frais standard d'AppFabric s'appliquent.

Amazon OpenSearch Service vous permet d'effectuer plus facilement des analyses interactives des journaux et de surveiller les applications en temps réel. Il s'intègre désormais parfaitement à Security Lake. Cela permet à votre organisation de rechercher, d’analyser et d’obtenir des informations exploitables de manière efficace à partir de vos données de sécurité, ce qui contribue à rationaliser les exigences complexes en matière d’ingénierie des données et à exploiter tout le potentiel de vos données de sécurité.  Les principaux avantages de cette intégration incluent une visibilité et un accès complets à toutes vos données Security Lake, une valeur de sécurité plus rapide et une configuration simplifiée. En outre, cette intégration offre la possibilité d’améliorer la gestion des coûts. Des fonctionnalités telles que l’interrogation directe des données de Security Lake peuvent aider à éviter la duplication des données. Cette intégration fournit également une indexation à la demande de certains ensembles de données pour des analytiques avancées, ainsi que des requêtes et des tableaux de bord prédéfinis à l’aide de l’Open Cybersecurity Schema Framework (OCSF). En tirant parti de cette intégration, votre organisation peut utiliser les fonctionnalités d’analytique et de visualisation d’OpenSearch Service pour mener des enquêtes plus approfondies, améliorer la détection des menaces et surveiller de manière proactive votre niveau de sécurité, tout en réduisant potentiellement vos coûts.