- Seguridad, identidad y conformidad›
- Amazon Security Lake›
- Preguntas frecuentes
Preguntas frecuentes sobre Amazon Security Lake
Temas de la página
Aspectos generalesAspectos generales
¿Qué es Amazon Security Lake?
Amazon Security Lake es un servicio que automatiza el abastecimiento, la agregación, la normalización y la administración de datos de seguridad en toda su organización en un lago de datos de seguridad almacenado en su cuenta. Un lago de datos de seguridad ayuda a que los datos de seguridad de su organización sean ampliamente accesibles para sus soluciones de análisis de seguridad preferidas a fin de impulsar casos de uso como la detección de amenazas, la investigación y la respuesta a incidentes.
¿Por qué debería usar Security Lake?
Security Lake centraliza automáticamente los datos de seguridad de entornos de AWS, proveedores de SaaS y orígenes locales y de la nube en un lago de datos con un diseño personalizado que se almacena en su cuenta. Utilice Security Lake para analizar los datos de seguridad, obtener una comprensión más completa de la seguridad en toda la organización y mejore la protección de sus cargas de trabajo, aplicaciones y datos. Los datos relacionados con la seguridad incluyen registros de servicios y aplicaciones, alertas de seguridad e inteligencia de amenazas (como direcciones IP maliciosas conocidas), que son de vital importancia para detectar, investigar y remediar incidentes de seguridad. Las prácticas recomendadas de seguridad requieren un proceso eficaz de administración de datos de eventos de seguridad y registro. Security Lake automatiza este proceso y facilita las soluciones que realizan detecciones de análisis de transmisión, análisis de series temporales, análisis de comportamiento de usuarios y entidades (UEBA), orquestación y remediación de seguridad (SOAR) y respuesta a incidentes.
¿Qué es el Open Cybersecurity Schema Framework?
El Open Cybersecurity Schema Framework (OCSF) es un esquema colaborativo de código abierto para registros y eventos de seguridad. Incluye una taxonomía de datos independiente del proveedor que reduce la necesidad de normalizar el registro de seguridad y los datos de eventos en varios productos, servicios y herramientas de código abierto.
¿Qué orígenes de registros y eventos son compatibles con Security Lake?
Security Lake recopila automáticamente los registros de los siguientes servicios:
- AWS CloudTrail
- Amazon Virtual Private Cloud (VPC)
- Amazon Route 53
- Amazon Simple Storage Service (S3)
- AWS Lambda
- Amazon Elastic Kubernetes Service (EKS)
- AWS Web Application Firewall (WAF)
También recopila los resultados de seguridad a través de AWS Security Hub para los siguientes servicios:
- AWS Config
- AWS Firewall Manager
- Amazon GuardDuty
- AWS Health
- Analizador de acceso de AWS Identity and Access Management (IAM)
- Amazon Inspector
- Amazon Macie
- AWS Systems Manager Patch Manager
Además, puede agregar datos de soluciones de seguridad de terceros, otros orígenes en la nube y sus propios datos personalizados compatibles con el OCSF. Estos datos incluyen registros de aplicaciones internas o infraestructura de red que ha convertido al formato del OCSF.
¿Hay una versión de prueba gratuita de Security Lake?
Sí, puede probar el servicio durante 15 días sin costo alguno con cualquier cuenta nueva de Security Lake con el nivel gratuito de AWS. Durante la prueba gratuita, tendrá acceso al conjunto completo de características.
¿Cómo funciona la integración entre Amazon OpenSearch Service y Amazon Security Lake?
La integración entre Amazon OpenSearch Service y Amazon Security Lake ofrece una experiencia simplificada para buscar directamente, obtener información y analizar los datos almacenados en Security Lake, todo dentro del Amazon OpenSearch Service. Hay dos maneras de integrar Security Lake y OpenSearch Service: acceso a datos bajo demanda e ingesta continua. La opción bajo demanda es ideal para fuentes de registro voluminosas con acceso poco frecuente, ya que permite a los usuarios analizar los datos sin costos de ingestión iniciales. Como alternativa, el método de ingesta continua es adecuado para el análisis en tiempo real y proporciona un acceso más rápido a fuentes de seguridad de alto valor, como los resultados de AWS Security Hub y los eventos de administración de AWS CloudTrail.
¿Cuáles son las diferencias entre Security Lake y CloudTrail Lake?
Security Lake automatiza el abastecimiento, la agregación, la normalización y la administración de datos relacionados con la seguridad procedentes de orígenes personalizados, locales y en la nube en un lago de datos de seguridad almacenado en su cuenta de AWS. Security Lake ha adoptado el OCSF, un estándar abierto. Gracias a la compatibilidad con el OCSF, el servicio puede normalizar y combinar los datos de seguridad de AWS y una amplia gama de orígenes de datos empresariales de seguridad. AWS CloudTrail Lake es un lago de seguridad y auditoría administrado. Permite agregar, almacenar de forma inmutable y consultar registros de auditoría y seguridad de AWS (eventos de CloudTrail, elementos de configuración de AWS Config, pruebas de auditoría de AWS Audit Manager) y de orígenes externos (aplicaciones internas o SaaS alojadas en las instalaciones o en la nube, máquinas virtuales o contenedores). Luego, estos datos se pueden almacenar durante un máximo de 7 años en un almacén de datos de eventos de CloudTrail Lake, sin costo adicional, e investigarse con el motor de consultas SQL integrado de CloudTrail Lake.
¿Cómo puedo empezar con la integración de Amazon OpenSearch Service y Security Lake?
Para empezar, primero debe tener una configuración de Security Lake existente en su entorno de AWS. Esto proporcionará el almacenamiento centralizado y el acceso a los datos de seguridad de su empresa.
Una vez configurado Security Lake, puede habilitar la integración con Amazon OpenSearch Service. Para ello, vaya a la consola de Security Lake en la consola de administración de AWS y cree un suscriptor para la cuenta que piensa usar en Amazon OpenSearch. A continuación, vaya a la consola de Amazon OpenSearch Service y configure un origen de datos para Security Lake. Este proceso implica configurar los permisos y controles de acceso necesarios para permitir que OpenSearch Service acceda y consulte de forma segura los datos de su Security Lake.
A continuación, puede explorar las consultas e integraciones prediseñadas disponibles a través de OCSF para comenzar rápidamente a utilizar OpenSearch Service Dashboards con casos de uso comunes de análisis de seguridad. También tiene la opción de configurar la indexación bajo demanda de conjuntos de datos específicos de su Security Lake en OpenSearch Service para las necesidades avanzadas de análisis y visualización.
Con la integración configurada, puede empezar a consultar y analizar sus datos de seguridad directamente desde el panel de control, aprovechando las potentes capacidades de búsqueda, análisis y visualización que ofrece. También puede personalizar los paneles y otras características de supervisión en OpenSearch Service para que se ajusten a sus requisitos de seguridad y flujos de trabajo específicos.
¿Por qué necesito un registro de la organización para enviar los eventos de administración de CloudTrail a Security Lake?
La activación de CloudTrail es un requisito previo para recopilar y entregar los registros de eventos de administración de CloudTrail a los buckets de S3 de los clientes a través de cualquier servicio de AWS. Por ejemplo, para entregar los registros de eventos de administración de CloudTrail a los registros de Amazon CloudWatch, primero se debe crear un registro. Dado que Security Lake entrega los eventos de administración de CloudTrail de nivel de organización a un bucket de S3 propiedad del cliente, requiere un seguimiento de la organización en CloudTrail con los eventos de administración activados.
¿Qué socios de AWS trabajan con Security Lake?
Security Lake puede recibir los resultados de seguridad de 50 soluciones mediante la integración de AWS Security Hub. Para obtener más información, consulte Socios de AWS Security Hub. También hay un número creciente de soluciones tecnológicas que pueden proporcionar datos en el formato del OCSF y que se pueden integrar con Security Lake. Para obtener más información, consulte Socios de Amazon Security Lake.
¿Cómo habilito Amazon Security Lake?
Cuando abra la consola de Security Lake por primera vez, seleccione Get Started (Comenzar) y, a continuación, seleccione Enable (Habilitar). Amazon Security Lake utiliza un rol vinculado al servicio que incluye los permisos y la política de confianza que permite que Amazon Security Lake recopile datos de sus orígenes y otorgue acceso a los suscriptores. Es una práctica recomendada habilitar Amazon Security Lake en todas las regiones de AWS admitidas. Esto permite que Amazon Security Lake recopile y retenga datos relacionados con actividades inusuales o no autorizadas, incluso en regiones que no esté utilizando activamente. Si Amazon Security Lake no está habilitado en todas las regiones admitidas, se reduce su capacidad para recopilar datos que involucran servicios globales.
¿Qué es una región de acumulación?
Una región de acumulación es una región que agrega registros de seguridad y eventos de otras regiones especificadas. Cuando habilite Amazon Security Lake, puede especificar una o más regiones acumuladas, lo que puede ayudarlo a cumplir con los requisitos de cumplimiento regionales.
¿Qué regiones son compatibles con Security Lake?
La disponibilidad regional de Security Lake aparece en la página de puntos de enlace de Amazon Security Lake.