亚马逊安全数据湖自动将来自 AWS 环境、SaaS 提供商、本地和云端来源的安全数据集中到您的账户中存储的一个专门构建的数据湖中。安全数据湖可以简化安全数据分析,更全面地了解整个组织的安全性,并改善对工作负载、应用程序和数据的保护。安全数据湖可自动跨账户和 AWS 区域收集和管理您的安全数据,使您就可以使用首选的分析工具,同时保留对安全数据的控制权和所有权。安全数据湖采用开源标准 Open Cybersecurity Schema Framework(OCSF),这是一个开源标准。通过对 OCSF 的支持,该服务可以对来自 AWS 和各种企业安全数据来源的安全数据进行标准化处理并组合这些安全数据。借助安全数据湖,您的分析师和安全工程师团队可以获得广泛的可见性,以调查和响应安全事件、促进及时响应,并提高您在多云和混合环境中的安全性。
账户中的数据聚合
亚马逊安全数据湖可以在您的账户中创建专门构建的安全数据湖。Security Lake 会跨账户和区域从云、本地和自定义数据来源收集日志和事件数据。该服务将收集的日志存储在您的 Amazon Simple Storage Service(S3)存储桶中,以便您保留对数据的完全控制权和所有权。
各种受支持的 AWS 和第三方日志和事件源
安全数据湖可自动收集以下服务的日志:
- AWS CloudTrail
- Amazon Virtual Private Cloud(VPC)
- Amazon Route 53
- Amazon Simple Storage Service(S3)
- AWS Lambda
- Amazon Elastic Kubernetes Service(EKS)
- AWS Web Application Firewall(WAF)
它还可以通过 AWS Security Hub 收集以下服务的安全调查发现:
- AWS Config
- AWS Firewall Manager
- Amazon GuardDuty
- AWS Health
- AWS Identity and Access Management(IAM)访问分析器
- Amazon Inspector
- Amazon Macie
- AWS Systems Manager 补丁管理器
数据标准化和对 OCSF 的支持
安全数据湖会自动对 AWS 日志和安全检测结果进行标准化处理,以符合 OCSF。您可以添加来自第三方安全解决方案、其他云端来源的数据和自定义数据,例如来自内部应用程序或已转换为 OCSF 格式的网络基础设施的日志。通过对 OCSF 的支持,安全数据湖可以集中和转换安全数据,并将其提供给您的首选分析工具。
多账户和多区域支持
您可以跨提供该服务的多个 AWS 区域和多个 AWS 账户激活亚马逊安全数据湖。您可以按区域跨账户聚合安全数据,或将来自多个区域的安全数据整合到汇总区域中。安全数据湖汇总区域可帮助您符合区域合规性要求。
安全数据湖访问管理
安全数据湖有助于简化对安全和分析工具的数据湖的访问设置。例如,您可以选择仅授予对来自指定源(如 CloudTrail)的数据集的访问权限。有两种访问模式可用:数据访问,该模式会在将新对象写入数据湖时发出通知;查询访问,该模式允许工具查询存储在安全数据湖中的数据。
数据生命周期管理和优化
安全数据湖通过可自定义的保留设置来管理数据的生命周期,通过自动化存储分层来管理存储成本。安全数据湖会自动对传入的安全数据进行分区,并将其转换为具有高效存储和查询性能的 Apache Parquet 格式。 Security Lake 支持 AWS Glue Catalog 中的 Apache Iceberg 表,可帮助您轻松转换分析工具,以更高的性能运行查询。
使用 AWS AppFabric 实现安全可观测性
AWS AppFabric 可自动将 SaaS 应用程序审计日志标准化为 OCSF 格式,并将标准化的 OCSF 数据传输到 Security Lake。借助 Security Lake 和 AppFabric 的组合,您可以轻松汇总、标准化和可视化关键数据来源中的安全数据。用于 AppFabric 与 Security Lake 集成的数据标准化或数据摄取不收取任何费用。AppFabric 会收取标准费用。