คำถามที่พบบ่อยเกี่ยวกับที่จัดเก็บข้อมูลการรักษาความปลอดภัยของ Amazon

ที่จัดเก็บข้อมูลการรักษาความปลอดภัยของ Amazon คือบริการระบบอัตโนมัติสำหรับการจัดหา การรวม การนอร์มัลไลซ์ และการจัดการข้อมูลด้านความปลอดภัยในทั่วทั้งองค์กรลงใน Data Lake ด้านความปลอดภัยที่จัดเก็บอยู่ในบัญชีของคุณ Data Lake ด้านความปลอดภัยช่วยให้โซลูชันวิเคราะห์ความปลอดภัยสามารถเข้าถึงข้อมูลด้านความปลอดภัยขององค์กรได้ในวงกว้าง เพื่อเพิ่มประสิทธิภาพให้กรณีการใช้งาน เช่น การตรวจหาภัยคุกคาม การตรวจสอบ และการตอบสนองต่อเหตุการณ์

ที่จัดเก็บข้อมูลการรักษาความปลอดภัยจะรวมศูนย์ข้อมูลความปลอดภัยจากระบบคลาวด์ ในองค์กร และแหล่งข้อมูลที่กำหนดเองโดยอัตโนมัติไปยัง Data Lake ที่สร้างขึ้นตามวัตถุประสงค์ซึ่งจัดเก็บไว้ในบัญชีของคุณ ใช้ที่จัดเก็บข้อมูลการรักษาความปลอดภัยเพื่อวิเคราะห์ข้อมูลความปลอดภัย ทำความเข้าใจความปลอดภัยทั่วทั้งองค์กรที่ครอบคลุมมากยิ่งขึ้น และปรับปรุงการปกป้องเวิร์กโหลด แอปพลิเคชัน และข้อมูลของคุณ ข้อมูลเกี่ยวกับความปลอดภัย ได้แก่ ข้อมูลบันทึกบริการและแอปพลิเคชัน การแจ้งเตือนด้านความปลอดภัย และข่าวกรองภัยคุกคาม (เช่น ที่อยู่ IP ที่เป็นอันตราย) ซึ่งจำเป็นต่อการตรวจหา การตรวจสอบ และการแก้ไขเหตุการณ์ด้านความปลอดภัย แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยกำหนดให้ต้องมีกระบวนการจัดการข้อมูลบันทึกและเหตุการณ์ด้านความปลอดภัยที่มีประสิทธิภาพ ที่จัดเก็บข้อมูลการรักษาความปลอดภัยทำให้กระบวนการนี้เป็นระบบอัตโนมัติและอำนวยความสะดวกให้โซลูชันในการตรวจหาการวิเคราะห์การสตรีม การวิเคราะห์แบบอนุกรมเวลา การวิเคราะห์พฤติกรรมผู้ใช้และเอนทิตี (UEBA) การควบคุมระบบและการแก้ไขด้านความปลอดภัย (SOAR) รวมถึงการตอบสนองต่อเหตุการณ์

Open Cybersecurity Schema Framework (OCSF) คือสคีมาโอเพนซอร์สที่ทำงานร่วมกันสำหรับบันทึกความปลอดภัยและเหตุการณ์ต่างๆ ซึ่งรวมถึงการจัดกลุ่มข้อมูลที่ไม่อิงผู้จำหน่ายที่ลดความจำเป็นในการนอร์มัลไลซ์ข้อมูลบันทึกและข้อมูลเหตุการณ์ด้านความปลอดภัยในทั่วทุกผลิตภัณฑ์ บริการ และเครื่องมือโอเพนซอร์ส

ที่จัดเก็บข้อมูลการรักษาความปลอดภัยจะรวบรวมข้อมูลบันทึกสำหรับบริการต่อไปนี้โดยอัตโนมัติ:

• AWS CloudTrail
• Amazon Virtual Private Cloud (VPC)
• Amazon Route 53
• Amazon Simple Storage Service (S3)
• AWS Lambda
• Amazon Elastic Kubernetes Service (EKS) 
• AWS Web Application Firewall (WAF)

นอกจากนี้ยังรวบรวมการค้นพบด้านความปลอดภัยผ่าน AWS Security Hub สำหรับบริการต่อไปนี้

• AWS Config
• AWS Firewall Manager
• Amazon GuardDuty
• AWS Health
• AWS Identity and Access Management (IAM) Access Analyzer
• Amazon Inspector
• Amazon Macie
• ตัวจัดการโปรแกรมแก้ไขระบบของ AWS Systems Manager

นอกจากนี้ คุณยังสามารถเพิ่มข้อมูลจากโซลูชันการรักษาความปลอดภัยของบุคคลที่สาม แหล่งที่มาของคลาวด์อื่นๆ และข้อมูลที่คุณกำหนดเองซึ่งสนับสนุน OCSF ได้อีกด้วย ข้อมูลนี้รวมถึงข้อมูลบันทึกจากแอปพลิเคชันภายในหรือโครงสร้างพื้นฐานของเครือข่ายที่คุณแปลงเป็นรูปแบบ OCSF แล้ว

ใช่ คุณสามารถลองใช้บริการได้เป็นเวลา 15 วันโดยไม่มีค่าใช้จ่ายด้วยบัญชีใหม่ใด ๆ กับ Security Lake ด้วย AWS Free Tier คุณสามารถเข้าถึงฟีเจอร์แบบครบชุดได้ในช่วงทดลองใช้ฟรี

การผสานรวมระหว่าง Amazon OpenSearch Service และ Amazon Security Lake มอบประสบการณ์ที่คล่องตัวสำหรับการค้นหาโดยตรง รับข้อมูลเชิงลึก และวิเคราะห์ข้อมูลที่เก็บไว้ใน Security Lake ทั้งหมดภายในบริการ Amazon OpenSearch มีสองวิธีที่คุณสามารถผสานรวม Security Lake และ OpenSearch Service ได้แก่ การเข้าถึงข้อมูลตามความต้องการและการนำเข้าข้อมูลอย่างต่อเนื่อง ตัวเลือกแบบตามความต้องการเหมาะสำหรับแหล่งที่มาของข้อมูลบันทึกขนาดใหญ่ที่มีการเข้าถึงไม่บ่อยทำให้ผู้ใช้สามารถวิเคราะห์ข้อมูลได้โดยไม่ต้องเสียค่าใช้จ่ายในการนำเข้าข้อมูลล่วงหน้า นอกจากนี้ วิธีการนำเข้าข้อมูลอย่างต่อเนื่องยังเหมาะสำหรับการวิเคราะห์แบบเรียลไทม์ และให้การเข้าถึงแหล่งข้อมูลความปลอดภัยที่มีมูลค่าสูง เช่น การค้นพบ AWS Security Hub และเหตุการณ์การจัดการ AWS CloudTrail ได้รวดเร็วยิ่งขึ้น

ที่จัดเก็บข้อมูลการรักษาความปลอดภัยจะทำให้การจัดหา การรวม การลดความซับซ้อน และการจัดการข้อมูลที่เกี่ยวข้องกับความปลอดภัยจากระบบคลาวด์เป็นไปอย่างอัตโนมัติภายในองค์กร และแหล่งข้อมูลที่กำหนดเองไปยัง Data Lake ด้านความปลอดภัยที่จัดเก็บไว้ในบัญชี AWS ของคุณ ที่จัดเก็บข้อมูลการรักษาความปลอดภัยได้นำ OCSF ซึ่งเป็นมาตรฐานแบบเปิดมาใช้ ด้วยการรองรับ OCSF ทำให้บริการนี้สามารถนอร์มัลไลซ์และรวมข้อมูลความปลอดภัยจาก AWS และแหล่งที่มาของความปลอดภัยระดับองค์กรที่หลากหลายได้ AWS CloudTrail Lake เป็นที่จัดเก็บข้อมูลที่มีการจัดการด้านการตรวจสอบและความปลอดภัย ช่วยให้คุณสามารถรวบรวม จัดเก็บได้โดยไม่ต้องเปลี่ยนแปลง และสืบค้นข้อมูลบันทึกการตรวจสอบและความปลอดภัยจาก AWS (เหตุการณ์ CloudTrail รายการการกำหนดค่าจาก AWS Config หลักฐานการตรวจสอบจาก AWS Audit Manager) และแหล่งข้อมูลภายนอก (แอปพลิเคชันภายในองค์กรหรือ SaaS ที่โฮสต์ในสถานที่หรือใน คลาวด์ เครื่องเสมือน หรือคอนเทนเนอร์) ข้อมูลนี้สามารถเก็บไว้ได้นานถึง 7 ปีในที่เก็บข้อมูลเหตุการณ์ CloudTrail Lake แบบไม่มีค่าใช้จ่ายเพิ่มเติม และตรวจสอบได้ด้วยเครื่องมือสืบค้น SQL ในตัวของ CloudTrail Lake

เพื่อเริ่มต้น ก่อนอื่นคุณต้องมีการตั้งค่า Security Lake ที่มีอยู่ในสภาพแวดล้อม AWS ของคุณ สิ่งนี้จะจัดเก็บข้อมูลส่วนกลางและการเข้าถึงข้อมูลการรักษาความปลอดภัยขององค์กรของคุณ

เมื่อกำหนดค่า Security Lake แล้ว คุณสามารถเปิดใช้งานการผสานรวมกับ Amazon OpenSearch Service ได้ เมื่อต้องการทำเช่นนี้ ให้ไปที่คอนโซล Security Lake ใน AWS Management Console และสร้างสมาชิ กสำหรับบัญชีที่คุณวางแผนจะใช้สำหรับ Amazon OpenSearch ถัดไป ไปที่คอนโซล Amazon OpenSearch Service และกำหนดค่าแหล่งที่มาของข้อมูลสำหรับ Security Lake กระบวนการนี้เกี่ยวข้องกับการกำหนดค่าสิทธิ์ที่จำเป็นและการควบคุมการเข้าถึงเพื่อให้ OpenSearch Service สามารถเข้าถึงและค้นหาข้อมูลใน Security Lake ของคุณได้อย่างปลอดภัย

จากนั้น คุณสามารถสำรวจการสืบค้นและการผสานรวมที่สร้างไว้ล่วงหน้าซึ่งพร้อมใช้งานผ่าน OCSF เพื่อเริ่มต้นใช้งาน OpenSearch Service Dashboards ได้อย่างรวดเร็วด้วยกรณีการใช้งานการวิเคราะห์การรักษาความปลอดภัยทั่วไป คุณยังมีตัวเลือกในการกำหนดค่าการจัดทำดัชนีตามความต้องการของชุดข้อมูลที่เจาะจงจาก Security Lake ของคุณไปยัง OpenSearch Service สำหรับความต้องการวิเคราะห์และการแสดงภาพขั้นสูง

เมื่อตั้งค่าการผสานรวมแล้ว คุณสามารถเริ่มต้นการสืบค้นและวิเคราะห์ข้อมูลการรักษาความปลอดภัยของคุณได้โดยตรงจากแดชบอร์ด โดยใช้ประโยชน์จากความสามารถการค้นหา การวิเคราะห์ และการแสดงภาพอันทรงพลังที่แดชบอร์ดมอบให้ นอกจากนี้คุณยังปรับแต่งแดชบอร์ดและฟีเจอร์การติดตามตรวจสอบอื่น ๆ ใน OpenSearch Service เพื่อให้เหมาะกับความต้องการด้านการรักษาความปลอดภัยและเวิร์กโฟลว์เฉพาะของคุณได้

การเปิดใช้ CloudTrail ถือเป็นข้อกำหนดเบื้องต้นในการรวบรวมและส่งมอบข้อมูลบันทึกเหตุการณ์การจัดการ CloudTrail ไปยังบัคเก็ต S3 ของลูกค้าผ่านบริการของ AWS ตัวอย่างเช่น หากต้องการส่งข้อมูลบันทึกเหตุการณ์การจัดการ CloudTrail ไปยัง Amazon CloudWatch Logs จะต้องมีการสร้างเส้นทางก่อน เนื่องจาก Security Lake ส่งมอบกิจกรรมการจัดการของ CloudTrail ในระดับองค์กรไปยังถัง S3 ที่เป็นเจ้าของลูกค้า จึงต้องใช้เส้นทาง องค์กรใน CloudTrail ที่มีกิจกรรมการจัดการเปิดใช้งาน

ที่จัดเก็บข้อมูลการรักษาความปลอดภัยสามารถรับการค้นพบด้านความปลอดภัยจากโซลูชัน 50 รายการผ่านการผสานรวม AWS Security Hub สำหรับรายละเอียด โปรดดูที่พัน ธมิตรฮับความปลอดภัยของ AWS  นอกจากนี้ยังมีโซลูชันเทคโนโลยีจำนวนมากขึ้นเรื่อยๆ ที่สามารถให้ข้อมูลในรูปแบบ OCSF และผสานรวมเข้ากับที่จัดเก็บข้อมูลการรักษาความปลอดภัยได้ สำหรับรายละเอียดโปรดดูที่ Amazon Security Lake Partners

เมื่อคุณเปิดคอนโซลที่จัดเก็บข้อมูลการรักษาความปลอดภัยเป็นครั้งแรก ให้เลือก เริ่มต้นใช้งาน แล้วเลือก เปิดใช้งาน ที่จัดเก็บข้อมูลการรักษาความปลอดภัยใช้บทบาทที่เชื่อมต่อกับบริการ ซึ่งรวมถึงสิทธิ์และนโยบายที่น่าเชื่อถือที่อนุญาตให้ที่จัดเก็บข้อมูลการรักษาความปลอดภัยรวบรวมข้อมูลจากแหล่งที่มาของคุณและให้สิทธิ์เข้าถึงแก่ผู้สมัครรับข้อมูล การเปิดใช้งานที่จัดเก็บข้อมูลการรักษาความปลอดภัยใน AWS Region ที่รองรับทั้งหมดถือเป็นแนวทางปฏิบัติที่ดีที่สุด เนื่องจากจะทำให้ที่จัดเก็บข้อมูลการรักษาความปลอดภัยสามารถรวบรวมและ Retain ข้อมูลที่เชื่อมต่อกับกิจกรรมที่ไม่ได้รับอนุญาตหรือกิจกรรมที่ผิดปกติได้แม้แต่ในรีเจี้ยนที่คุณไม่ได้ใช้งานอยู่ก็ตาม หากไม่เปิดใช้งานที่จัดเก็บข้อมูลการรักษาความปลอดภัยในรีเจี้ยนที่รองรับทั้งหมด ความสามารถในการรวบรวมข้อมูลที่เกี่ยวข้องกับบริการทั่วโลกจะลดลง

รีเจี้ยนรวมคือรีเจี้ยนที่รวมข้อมูลบันทึกและเหตุการณ์ด้านความปลอดภัยจากรีเจี้ยนที่ระบุอื่น ๆ เมื่อเปิดใช้งานที่จัดเก็บข้อมูลการรักษาความปลอดภัย คุณจะสามารถระบุรีเจี้ยนรวมได้อย่างน้อยหนึ่งรายการ ซึ่งจะช่วยคุณในการปฏิบัติตามข้อกำหนดการปฏิบัติของรีเจี้ยน

ความพร้อมใช้งานของภูมิภาคของทะเลสาบความปลอดภัยจะแสดง ไว้ในหน้า ปลายทางของ Amazon Security Lake