Amazon Security Lake 专业2022年〜
自动集中管理安全数据的数据湖服务
它能做什么
Amazon Security Lake 是一项自动将安全相关数据集中到专用数据湖的服务。以 OCSF(Open Cybersecurity Schema Framework)标准格式收集来自 AWS 服务、第三方安全产品和自定义源的日志和事件数据。数据存储在客户拥有的 S3 桶中,可以使用 Athena、OpenSearch 等工具进行分析。
使用场景
用于安全数据的集中存储和标准化、跨多个安全工具的统一分析、安全事件的长期保留和取证、SIEM 和安全分析工具的数据源。
日常类比
可以比作安全信息的中央档案馆。将散落在各处的安全记录(日志)收集到一个档案馆中,统一格式整理后存档。调查人员可以在一个地方搜索所有记录。
什么是 Security Lake
Amazon Security Lake 是一项安全数据湖服务。安全团队通常需要从多个来源(CloudTrail、VPC Flow Logs、Route 53 DNS 日志、第三方安全产品)收集数据,每个来源的格式不同。Security Lake 自动收集这些数据并转换为统一的 OCSF 格式,存储在 S3 中。
数据源与订阅者
Security Lake 支持 AWS 原生数据源(CloudTrail、VPC Flow Logs、Route 53、S3 数据事件、Lambda 数据事件、EKS 审计日志)和第三方数据源。订阅者(Subscriber)是消费数据的安全工具,可以通过 S3 通知或直接查询访问数据。支持跨区域和跨账户的数据汇聚。 如需了解数据源与订阅者的详细信息,可参考相关书籍(Amazon)。
开始使用
在 Security Lake 控制台启用服务,选择要收集的数据源和存储区域。配置数据保留期和存储类别转换规则。添加订阅者(如 SIEM 工具)以消费数据。
注意事项
- 数据存储在客户拥有的 S3 桶中,客户保持对数据的完全控制
- 使用 OCSF 标准格式,便于与第三方安全工具集成
