セキュリティ

Amazon Security Lake

Servicio que normaliza automáticamente datos de seguridad como CloudTrail, VPC Flow Logs y logs de Route 53 Resolver al formato OCSF, centralizándolos en un data lake basado en S3

Unos 3 min de lectura

Descripción general

Amazon Security Lake es un servicio que centraliza automáticamente datos de seguridad de fuentes AWS y de terceros en un data lake de seguridad dedicado basado en S3. Normaliza todos los datos al formato Open Cybersecurity Schema Framework (OCSF), facilitando el análisis de seguridad, investigación de incidentes y cumplimiento con herramientas analíticas estándar.

Esquema OCSF y mecanismo de normalización de datos

OCSF (Open Cybersecurity Schema Framework) es un esquema abierto que estandariza eventos de seguridad en categorías y clases comunes. Security Lake normaliza automáticamente datos de fuentes nativas de AWS (CloudTrail, VPC Flow Logs, Route 53 Resolver logs, Security Hub findings, EKS audit logs, Lambda execution logs) al formato OCSF. Esto elimina la necesidad de escribir parsers personalizados para cada fuente de datos. Los datos se almacenan en formato Apache Parquet particionado por región, cuenta, fuente y fecha, optimizado para consultas analíticas. Las fuentes de terceros (firewalls, EDR, SIEM) pueden enviar datos en formato OCSF directamente o mediante integraciones de socios.

Integración de fuentes y gestión de suscriptores

Las fuentes de datos se configuran por región y cuenta, con Security Lake recopilando y normalizando datos automáticamente. Los suscriptores son consumidores autorizados de los datos del lake, configurados con acceso de consulta (Athena, herramientas SIEM) o acceso de datos (notificación S3/SQS cuando llegan nuevos datos). Los suscriptores de consulta reciben credenciales para consultar directamente con Athena o servicios compatibles. Los suscriptores de datos reciben notificaciones de nuevos objetos para ingestión en sus propias herramientas. Los permisos de suscriptor se controlan granularmente por fuente de datos y región, siguiendo el principio de mínimo privilegio.

Agregación entre cuentas y acceso de consulta

Security Lake soporta agregación entre cuentas mediante un administrador delegado de Organizations que configura la recopilación de datos de todas las cuentas miembro. Los datos se consolidan en buckets S3 de la cuenta del administrador, organizados por región. Las regiones de rollup permiten consolidar datos de múltiples regiones en una región central para análisis unificado. Para consultas, la integración nativa con Athena permite SQL sobre los datos normalizados OCSF. Las tablas de Glue Catalog se crean automáticamente. Los equipos de seguridad pueden investigar incidentes correlacionando datos de múltiples fuentes con consultas SQL estándar. La retención configurable por fuente permite equilibrar costos de almacenamiento con requisitos de retención de cumplimiento. Las clases de almacenamiento S3 (transición a Glacier) reducen costos para datos históricos.

共有するXB!

Términos relacionados

AWS Security HubAmazon GuardDutyAWS CloudTrailAmazon AthenaAmazon Detective

Servicios relacionados

AWS Security HubAmazon GuardDutyAWS CloudTrailAmazon Athena

Artículos relacionados

Registro de auditoría de API con AWS CloudTrail - Diseño de trails y análisis de seguridadRegistre toda la actividad de API y ejecute análisis avanzados con consultas SQL en CloudTrail Lake. Presentamos la detección automática de patrones anómalos con Insights y la detección en tiempo real mediante integración con EventBridge.CloudTrail lo ve todo - Mecanismo de registro de llamadas API y práctica de investigación forenseExplicamos cómo CloudTrail registra las llamadas a la API de AWS, las diferencias entre eventos de administración y eventos de datos, el análisis SQL con CloudTrail Lake y las técnicas de investigación forense ante incidentes de seguridad.Protección de privacidad de datos - Detección automática de datos confidenciales y defensa contra amenazas con Amazon Macie y GuardDutyDetección automática de datos confidenciales en S3 con Amazon Macie e inteligencia de amenazas con Amazon GuardDuty para protección integral de privacidad de datos. Desde identificación de información personal hasta detección de amenazas en tiempo real.Investigación de incidentes de seguridad con Amazon Detective - Identificación de causas raíz mediante análisis de grafosExplicamos la investigación de hallazgos de GuardDuty con Detective, perfiles de entidades y el uso de grafos de comportamiento.Detección de amenazas con Amazon GuardDuty - Detección de anomalías basada en ML y respuesta a incidentesAprende cómo GuardDuty detecta amenazas, clasifica hallazgos e integra con Security Hub para la respuesta a incidentes.

Términos y artículos similares

Construcción de un data lake de seguridad con Amazon Security Lake - Análisis integrado en formato OCSFExplicamos la agregación automática de CloudTrail, VPC Flow Logs y logs de Route 53 con Security Lake, la normalización OCSF y la integración con suscriptores.Amazon Security LakeServicio de data lake que centraliza datos de seguridad en formato OCSFAWS AppFabricServicio que normaliza los registros de seguridad de aplicaciones SaaS al formato OCSF, permitiendo auditoría centralizada y análisis de seguridadAWS Lake FormationServicio que centraliza la construcción, gestión y seguridad de data lakes, proporcionando control de acceso granular a nivel de columna y fila sobre datos en S3Centralización de registros de auditoría SaaS con AWS AppFabric - Estandarización OCSF e integración con Security LakeExplicamos la recopilación de registros de auditoría de aplicaciones SaaS con AppFabric, la estandarización al formato OCSF y la construcción de pipelines de análisis.