AWS AppFabric 新服务2023年〜
标准化并集中聚合 SaaS 应用程序审计日志的服务
它能做什么
AWS AppFabric 是一项自动从 Slack、Salesforce、Google Workspace 等 SaaS 应用收集审计日志,将其标准化为 OCSF(开放网络安全架构框架)格式,并聚合到 S3 或 Security Lake 的服务。通过统一各 SaaS 的专有格式,简化跨平台安全分析和合规工作。
使用场景
用于使用多个 SaaS 应用的企业集中安全监控、可视化员工 SaaS 使用情况、自动收集和保存合规审计所需的日志等。IT 部门管理的 SaaS 数量越多,AppFabric 集中管理的效果就越显著。
日常类比
可以将其比作多语言翻译服务。当来自各国(SaaS)的报告以各自的语言(专有格式)送达时,比较和分析内容非常困难。翻译服务(AppFabric)将所有报告翻译成通用语言(OCSF),让您一目了然地掌握整体情况。
什么是 AppFabric
AWS AppFabric 是一项集中管理企业使用的多个 SaaS 应用审计日志的服务。现代企业使用 Slack、Microsoft 365、Salesforce、Zoom 等众多 SaaS 工具。每个 SaaS 以各自的专有格式输出日志,使得跨平台安全分析变得困难。AppFabric 将这些日志转换为标准格式并集中到一处。
日志标准化与聚合
AppFabric 自动从已连接的 SaaS 应用获取审计日志,并将其转换为行业标准架构 OCSF(开放网络安全架构框架)。转换后的日志可输出到 S3 存储桶或 Security Lake。由于格式统一,可以使用 Athena 或 OpenSearch 执行跨平台查询,检测可疑活动。
支持的 SaaS 应用
AppFabric 支持 Slack、Microsoft 365、Google Workspace、Salesforce、Zoom、Dropbox、Okta 等主流 SaaS 应用。与各 SaaS 的连接通过 OAuth 认证进行,API 密钥管理由 AppFabric 自动处理。支持的 SaaS 应用持续增加中,覆盖了企业常用的大部分应用。 关于支持的 SaaS 应用的详细说明,也可以参考参考书籍(Amazon)。
开始使用
在 AppFabric 控制台中创建应用包,选择要连接的 SaaS 应用。通过 OAuth 认证连接 SaaS 后,指定日志输出目标(如 S3 存储桶)。配置完成后,审计日志的自动收集即开始。收集的日志以 OCSF 格式输出,可以立即开始分析。
注意事项
- AppFabric 按日志摄入量计费,成本因连接的 SaaS 数量和日志量而异
- 由于 SaaS 端的 API 速率限制,可能无法一次性获取大量日志。首次连接时历史日志的摄入可能需要一些时间
- 支持的 SaaS 应用有限,请事先确认您使用的 SaaS 是否在支持范围内
