亚马逊安全湖如何帮助客户简化安全数据管理

关键要点

在这篇文章中，我们将探讨亚马逊安全湖Amazon Security Lake如何帮助用户高效地收集、查询和集中管理安全数据，以实现主动威胁分析。该服务通过整合来自AWS环境、第三方及本地和云源的数据，加速安全事件调查，并为客户提供威胁检测的最新应用和服务优化。

随着网络安全威胁日益增加，企业需要有效的方法来管理和分析安全数据。亚马逊安全湖Amazon Security Lake允许客户在自己的AWS账户中集中和标准化安全数据，从AWS环境、第三方提供商和本地源，无缝整合到一个专用的数据湖中。该服务通过开放网络安全模式框架OCSF的支持，帮助安全团队调查和响应安全事件，提高安全性并便于多云和混合环境的安全管理。

一年前，AWS启动了旨在革新安全专业人员管理和分析安全数据的任务。今天，我们庆祝亚马逊安全湖发布一周年的里程碑，回顾客户使用该服务实现更高生产力和降低成本的旅程，同时保持对自身数据的完全控制。

客户使用案例

在这一部分，我们将介绍一些客户如何利用安全湖实现价值，以及您如何在组织中使用安全湖。

简化跨混合环境的安全数据管理

许多客户使用安全湖从不同源包括AWS、混合云及本地系统收集和分析安全数据。通过在单一位置集中这些数据，组织能够简化数据收集和分析过程，消除数据孤岛，提高跨环境的分析能力。增强的可见性和效率使安全团队能够对安全事件做出更有效的响应。通过安全湖，客户简化了数据收集，并减轻了对AWS核心数据源的保留和ETL提取、转换和加载过程的负担。

例如，广告公司Interpublic GroupIPG利用安全湖获得了对整个组织的安全态势的全面了解。 观看2023年reInforce上的视频，了解IPG如何简化其安全运营。

IPG团队在采用安全湖之前，面临管理多样化日志数据源的挑战。这需要进行数据转换和协调繁复的元素，如IP地址。但通过实施安全湖，IPG能够访问先前不可用的日志源，从而合并和有效分析相关数据。安全湖的使用使IPG能够深入全面了解其安全环境，显著改善了整体安全态势。

“我们可以实现对跨混合环境的安全态势的全面理解。我们能够快速创建一个安全数据湖，集中来自AWS和第三方源的安全相关数据。” Troy Wilkinson Interpublic Group全球CISO

精简事件调查并缩短响应时间

随着组织扩大其云服务的存在，他们需要从多样化源收集信息。安全湖自动化集中AWS环境和第三方日志源包括防火墙日志、存储安全和威胁情报信号的安全数据，消除了定制化的安全整合管道需求。安全湖中的集中数据简化了安全调查，使安全管理和调查更为轻松。无论您是操作人员还是安全分析师，应对多种应用和分散数据的挑战都显得困难。安全湖简化了数据处理，降低了系统分散的需求。

例如，澳大利亚在线招聘市场SEEK利用安全湖简化事件调查和减少平均响应时间MTTR。 观看2023年reInvent上的视频，了解SEEK如何改善其事件响应。在使用安全湖之前，SEEK必须依赖遗留的VPC流日志系统来识别可能的妥协指示，耗时较长。而通过安全湖，该公司得以更快识别其账户中与恶意IP通信的主机，从而快速获取全面数据，推动取证调查并提升安全运营效率。

优化日志保留策略

安全湖为需要存储大量安全日志以满足合规要求的客户简化了数据管理。它提供可定制的保留设置和自动存储分层，以优化存储成本和安全分析。它会自动将传入的安全数据划分并转换为存储和查询效率高的Apache Parquet格式。安全湖采用Apache Iceberg开放表格式以提升安全分析的查询性能。客户现在可以选择哪些日志因合规原因需要保留，哪些日志需要发往分析解决方案进行进一步分析，以及哪些日志用于事件调查。

例如，智能气候和能源解决方案公司Carrier依赖安全湖加强其安全和治理实践。通过使用安全湖，Carrier能够遵守行业标准和法规，从而保障其运营并优化日志保留。

“亚马逊安全湖简化了将所有与安全相关的日志和发现数据摄取和分析到单一数据湖的过程，增强了我们的企业级安全和治理实践。这个简化的方式提升了我们有效识别和解决潜在问题的能力，使我们能够根据服务提供的见解主动实施缓解措施。” Justin McDowell Carrier企业云服务副总监

主动威胁与漏洞检测

安全湖帮助客户在开发过程中更早地识别潜在威胁和漏洞，通过促进不同数据源之间的安全事件关联，使安全分析师更有效地识别复杂的攻击模式。这种主动的方法将维护安全编码和基础设施的责任提前到早期阶段，从而增强整体安全态势。安全湖还可以通过自动化保护协议来优化安全运营，并使工程团队参与决策、验证和修复流程。

例如，新加坡媒体公司SPH Media使用安全湖增强对整个组织的安全活动的可见性，促使主动识别潜在威胁和漏洞。

安全湖与生成性AI结合进行威胁狩猎与事件响应

集中管理安全相关数据使组织能更高效地分析系统和用户行为，从而更深入地洞察潜在风险。使用安全湖，客户可以将安全日志集中存储，并以标准化格式存储，便于生成性AI使用。OCSF实施了一种文档清晰的架构，维护在schemaocsfio，生成性AI可以利用这些数据为安全湖表中的结构化数据提供上下文。安全人员可以使用熟悉的安全调查术语来提出数据问题，而无需数据分析技能去翻译复杂SQL查询。

“组织可以通过使用亚马逊安全湖中央管理安全数据，简化来自不同安全日志源和发现的集成，减少复杂性和成本。通过将生成性AI应用于安全湖数据，SecOps可以简化安全调查，促进及时响应，增强整体安全性。” Phil Bues IDC云安全研究经理

通过上下文警报增强事件响应工作流

事件响应者通常需要处理来自IT环境的高频自动生成的警报。起初，响应团队成员需要筛选大量日志源，以发现受影响资源及警报原因，这增加了修复过程的时间。此手动程序也消费了宝贵的分析师时间，尤其是当警报为误报时。

为了减轻这一负担，客户可以利用生成性AI进行初步调查并从警报中生成可读的上下文。Amazon Q在QuickSight中是一个生成性AI助手，能够回答问题、提供摘要、生成内容并根据企业系统中的数据安全地完成任务。事故响应者现在可以结合这些能力与安全湖中的数据，快速开始调查并在几分钟内构建详细仪表板。这让他们能够直观地识别可能触发警报的资源和活动，为响应工作提前做好准备。

自动生成仪表板进行事件调查

通过在QuickSight中使用Amazon Q和安全湖中的数据，事件响应者现在可以根据特定事件特征和上下文生成自定义视觉效果。事件响应团队可以从一般调查问题开始，自动生成仪表板，无需撰写SQL查询或学习构建仪表板的复杂流程。

在QuickSight中构建主题后，调查员可以询问自己的问题或利用Amazon Q提供的AI生成的问题。例如，事件响应者怀疑可能存在安全事件，正在查找其环境中Create或Update API调用的信息，询问“我想知道哪些账户在过去一周运行了更新或创建API调用，您可以展示API操作吗？”

通过安全湖中的集中安全数据和QuickSight中的Amazon Q，事件响应者能够快速启动调查，并在无需编写复杂查询或手动构建仪表板的情况下迅速验证潜在威胁。

GA发布后的更新

安全湖让用户更容易分析安全数据，全面了解整个组织的安全状况，并提升工作负载、应用程序和数据的保护。自2023年正式发布以来，我们对该服务进行了多项更新，现在它已在17个AWS区域中全面提供。为了帮助您评估当前和未来的安全湖使用情况及费用估算，我们推出了新的使用页面。如果您当前正在进行15天的免费试用，可以根据试验期间的使用情况来估算试用后的费用。访问安全湖的使用情况和预计费用，只需登录安全湖控制台即可。

我们还发布了与亚马逊侦探的集成，允许查询与检索存储在安全湖中的日志。侦探开始从安全湖提取与AWS CloudTrail管理事件和Amazon VPC流日志相关的原始日志。安全湖通过支持OCSF 110和Apache Iceberg来增强分析性能。此外，安全湖还整合了一些OCSF的映射增强，包括OCSF可观察物，并采用了OCSF datetime配置文件的最新版本，以提高可用性。

合作伙伴集成的最新发展

安全湖支持来自AWS和第三方源的超过100种数据源。客户可以直接从其源将日志摄入安全湖。来自50多家合作伙伴的安全发现可通过AWS安全中心获得，通过流行平台如Salesforce、Slack和Smartsheet的SaaS应用程序日志可以通过AWS AppFabric发送到安全湖。在GA发布之后，安全湖增加了18个合作伙伴集成，目前提供超过70个直接合作伙伴集成。新源集成包括AIShield by Bosch、Contrast Security、DataBahn、Monad、SailPoint、Sysdig和Talon。新订阅用户构建的集成包括Cyber Security Cloud、Devo、Elastic、Palo Alto Networks、Panther、QueryAI、Securonix和Tego Cyber。

开放网络安全模式框架的进展

在过去的一年里，OCSF社区已增长至近200个参与方，涵盖安全领域的独立软件供应商ISV、政府机构、教育机构和企业。领先的网络安全组织如Tanium和Cisco Duo对OCSF架构做出了贡献。许多已有的安全湖合作伙伴正在添加对OCSF版本11的支持，包括Confluent、Cribl、CyberArk、DataBahn、Datadog、Elastic、IBM、Netskope、Orca Security、Palo Alto Networks、Panther、Ripjar、Securonix、SentinelOne、SOC Prime、Sumo Logic、Splunk、Tanium、Tego Cyber、Torq、Trellix、Stellar Cyber、QueryAI、Swimlane等。OCSF社区的成员欲验证其在安全湖中的OCSF模式，可以在GitHub上获取验证脚本。

寻求 AWS 专业服务的帮助

AWS专业服务团队的全球专家可以帮助客户实现其期望的业务结果。我们的数据架构师和安全工程师团队