Qu'est-ce qu'Amazon Security Lake ?

Amazon Security Lake est un service de lac de données de sécurité entièrement géré. Vous pouvez utiliser Security Lake pour centraliser automatiquement les données deAWS sécurité provenant de sources tierces dans un lac de données stocké dans votreCompte AWS. Security Lake vous aide à analyser les données de sécurité afin de mieux comprendre votre position en matière de sécurité dans l'ensemble de l'organisation. Security Lake vous permet également d'améliorer la protection de vos charges de travail, de vos applications et de vos données.

Le data Lake est soutenu par des compartiments Amazon Simple Storage Service (Amazon S3). Vous restez propriétaire de vos données.

Security Lake automatise la collecte des données relatives aux journaux et aux événements liés à la sécurité à partir de services intégrésServices AWS et tiers. Il vous aide également à gérer le cycle de vie des données grâce à des paramètres de rétention et de réplication personnalisables. Security Lake convertit les données ingérées au format Apache Parquet et dans un schéma open source standard appelé Open Cybersecurity Schema Framework (OCSF).

D'autres servicesServices AWS et des services tiers peuvent s'abonner aux données stockées dans Security Lake à des fins de réponse aux incidents et d'analyse des données de sécurité.

Présentation de Security Lake

Caractéristiques de Security Lake

Voici quelques moyens clés par lesquels Security Lake vous aide à centraliser, à gérer et à vous abonner aux journaux et aux données d'événements liés à la sécurité.

Diverses sources de journaux et d'événements prises en charge

Security Lake collecte les journaux et les événements de sécurité provenant de plusieurs sourcesServices AWS, notamment des services locaux et tiers. Après avoir ingéré les journaux, quelle que soit leur source, vous pouvez y accéder de manière centralisée et gérer leur cycle de vie.

Transformation et normalisation des données

Security Lake partitionne automatiquement les données entrantes provenant d'un support natifServices AWS et les convertit en un format Parquet efficace en termes de stockage et de requêtes. Il transforme également les données supportées nativementServices AWS vers le schéma open source OCSF (Open Cybersecurity Schema Framework). Cela rend les données compatibles avec d'autres fournisseursServices AWS et des fournisseurs tiers sans nécessiter de post-traitement. Comme Security Lake normalise les données, de nombreuses solutions de sécurité peuvent consommer ces données en parallel.

Plusieurs niveaux d'accès pour les abonnés

Les abonnés consomment les données stockées dans Security Lake. Vous pouvez choisir le niveau d'accès d'un abonné à vos données. Les abonnés ne peuvent consommer des données qu'à partir des sources et dans leRégions AWS, que vous spécifiez. Les abonnés peuvent être automatiquement informés de la présence de nouveaux objets au fur et à mesure de leur écriture dans le lac de données. Les abonnés peuvent également interroger les données du lac de données. Security Lake crée et échange automatiquement les informations d'identification nécessaires entre Security Lake et l'abonné.

Gestion des données multicomptes et multirégions

Vous pouvez activer Security Lake de manière centralisée dans toutes les régions où il est disponible, et dans plusieurs d'entre ellesComptes AWS. Dans Security Lake, vous pouvez également spécifier une région cumulée pour consolider les données du journal de sécurité et des événements provenant de plusieurs régions. Cela peut vous aider à respecter les exigences de conformité en matière de résidence des données.

Configurable et personnalisable

Security Lake est un service configurable et personnalisable. Vous pouvez spécifier les sources, les comptes et les régions pour lesquels vous souhaitez configurer la collecte de journaux. Vous pouvez également spécifier le niveau d'accès d'un abonné au lac de données.

Accéder à Security Lake

Pour obtenir la liste des régions où Security Lake est actuellement disponible, consultezAmazon Security Security Security Security Security Security Security Security Security Security Security Security Security Security. Pour en savoir plus sur les régions, consultez les pointsAWS de terminaison des services dans le Références générales AWS.

Dans chaque région, vous pouvez accéder à Security Lake de l'une des manières suivantes :

AWS Management Console

AWS Management ConsoleIl s'agit d'une interface basée sur un navigateur que vous pouvez utiliser pour créer et gérerAWS des ressources. La console Security Lake permet d'accéder à votre compte et à vos ressources Security Lake. Vous pouvez effectuer la plupart des tâches de Security Lake à l'aide de la console Security Lake.

API Security Lake

Pour accéder à Security Lake par programmation, utilisez l'API Security Lake et envoyez des demandes HTTPS directement au service. Pour plus d'informations, consultez la Référence de l'API Security Lake.

AWS Command Line Interface (AWS CLI)

Vous pouvez utiliserAWS CLI pour envoyer des commandes à la ligne de commande de votre système afin d'effectuer des tâches etAWS des tâches Security Lake. L'utilisation de la ligne de commande peut être plus rapide et plus pratique que d'utiliser la console. Les outils de ligne de commande sont également utiles si vous souhaitez créer des scripts exécutant des tâches . Pour plus d'informations sur l'installation et l'utilisation des AWS CLI, consultez le AWS Command Line Interface.

Kits de développement logiciel (SDK) AWS

AWSfournit des kits SDK composés de bibliothèques et d'exemples de code pour divers langages et plateformes de programmation, par exemple, Java, Go, Python, C++ et .NET. Les SDK fournissent un accès pratique et programmatique à Security Lake et à d'autresServices AWS. Ils automatisent également les tâches telles que la signature cryptographique des demandes, la gestion des erreurs et les nouvelles tentatives de demande automatiques. Pour plus d'informations sur l'installation et l'utilisationAWS des SDK, consultez la section Outils sur lesquels construireAWS.

Services connexes

Security Lake enServices AWS utilise d'autres :

• AWS Glue— Security Lake utilise desAWS Glue robots d'exploration pour créer lesAWS Glue Data Catalog tables et envoyer les données nouvellement écrites au catalogue de données. Security Lake stocke également les métadonnées de partition pourAWS Lake Formation les tables du catalogue de données.

• AWS Lake Formation— Security Lake crée une table de Lake Formation distincte pour chaque source qui fournit des données à Security Lake. Les tables Lake Formation contiennent des informations sur les données de chaque source, notamment des informations sur le schéma, la partition et l'emplacement des données. Les abonnés ont la possibilité de consommer des données en interrogeant les tables de Lake Formation.

• AWS Lambda— Security Lake utilise des fonctions Lambda pour prendre en charge les tâches d'extraction, de transformation et de chargement (ETL) sur les données brutes et pour enregistrer des partitions pour les données sourcesAWS Glue.

• Amazon S3 — Security Lake stocke vos données sous forme d'objets Amazon S3. Les classes de stockage et les paramètres de rétention sont basés sur les offres Amazon S3. Security Lake ne prend pas en charge Amazon S3 SELECT.

Security Lake collecte des données à partir de sources personnalisées, en plus des sources suivantesServices AWS :

• AWS CloudTrailévénements de gestion et de données (S3, Lambda)

• Journaux de requête Amazon Route 53 Resolver

• Résultats AWS Security Hub

• Amazon Virtual Private Cloud (Amazon VPC)

Pour obtenir plus d'informations sur ces sources, consultezCollecte de données à partir deAWS services. Vous pouvez utiliser les objets Amazon S3 de votre lac de données de sécurité en créant un abonné capable de lire les données dans le schéma OCSF. Vous pouvez également interroger des données à l'aide d'Amazon Athena, d'Amazon Redshift et de services d'abonnement tiers intégrés àAWS Glue.