什麼是 Amazon Security Lake? - Amazon Security Lake
Security Lake 概觀Security Lake 的功能存取 Security Lake相關服務

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

什麼是 Amazon Security Lake?

Amazon Security Lake 是完全受管的安全資料湖服務。您可以使用 Security Lake,將來自 AWS 環境、SaaS 提供者、內部部署、雲端來源和第三方來源的安全資料自動集中到存放在 中的專用資料湖 AWS 帳戶。Security Lake 可協助您分析安全資料,因此您可以更完整地了解整個組織的安全狀態。透過 Security Lake,您還可以改善工作負載、應用程式和資料的保護。

資料湖由 Amazon Simple Storage Service (Amazon S3) 儲存貯體支援,您可以保留資料的所有權。

Security Lake 會自動從整合和第三方服務收集與安全相關的日誌 AWS 服務 和事件資料。它還可協助您使用可自訂的保留和複寫設定來管理資料的生命週期。Security Lake 會將擷取的資料轉換為 Apache Parquet 格式,以及稱為開放式網路安全結構描述架構 () 的標準開放原始碼結構描述OCSF。透過 OCSF支援,Security Lake 會標準化並結合來自 AWS 和各種企業安全資料來源的安全資料。

其他 AWS 服務 和第三方服務可以訂閱存放在 Security Lake 中的資料,以進行事件回應和安全資料分析。

Security Lake 概觀

Amazon Security Lake 資料湖的概觀圖,顯示 Security Lake 如何在您的帳戶中自動建置安全資料湖。

Security Lake 的功能

以下是 Security Lake 協助您集中、管理和訂閱安全相關日誌和事件資料的一些重要方式。

資料彙總至您的帳戶

Security Lake 會在您的帳戶中建立專用安全資料湖。Security Lake 會從雲端、內部部署和跨帳戶和區域的自訂資料來源收集日誌和事件資料。資料湖由 Amazon Simple Storage Service (Amazon S3) 儲存貯體支援,您可以保留資料的所有權。

各種支援的日誌和事件來源

Security Lake 會從多個來源收集安全日誌和事件,包括內部部署 AWS 服務和第三方服務。擷取日誌之後,無論來源為何,您都可以集中存取它們,並管理其生命週期。如需 Security Lake 收集日誌和事件來源的詳細資訊,請參閱 Security Lake 中的來源管理

資料轉換和標準化

Security Lake 會自動分割來自原生支援的 AWS 服務 傳入資料,並將其轉換為具有儲存和查詢效率的 Parquet 格式。它也會 AWS 服務 將資料從原生支援轉換為開放式網路安全結構描述架構 (OCSF) 開放原始碼結構描述。這可讓資料與其他 AWS 服務 和第三方供應商相容,而不需要後製處理。由於 Security Lake 會標準化資料,因此許多安全解決方案可以並行使用這些資料。

訂閱者的多重存取層級

訂閱者會使用存放在 Security Lake 中的資料。您可以選擇訂閱者的存取資料層級。訂閱者只能使用 AWS 區域您指定的來源和 中的資料。訂閱者在寫入資料湖時,可能會收到新物件的自動通知。或者,訂閱者可以從資料湖查詢資料。Security Lake 會自動建立和交換 Security Lake 和訂閱者之間所需的登入資料。

多帳戶和多區域資料管理

您可以集中啟用 Security Lake,涵蓋所有可用區域,以及多個區域 AWS 帳戶。在 Security Lake 中,您也可以指定彙總區域來合併來自多個區域的安全日誌和事件資料。這可協助您遵守資料駐留合規要求。

可設定且可自訂

Security Lake 是可設定且可自訂的服務。您可以指定要設定日誌集合的來源、帳戶和區域。您也可以指定訂閱者對資料湖的存取層級。

資料生命週期管理和最佳化

Security Lake 使用可自訂的保留設定來管理資料的生命週期,並使用自動化儲存分層來管理儲存成本。Security Lake 會自動分割傳入的安全資料並將其轉換為儲存體,並查詢有效的 Apache Parquet 格式。

存取 Security Lake

如需目前可使用 Security Lake 的區域清單,請參閱 Security Lake 區域和端點。若要進一步了解 區域,請參閱 中的AWS 服務端點AWS 一般參考

在每個區域中,您可以透過下列任何方式存取 Security Lake:

AWS Management Console

AWS Management Console 是以瀏覽器為基礎的介面,可用來建立和管理 AWS 資源。Security Lake 主控台可讓您存取 Security Lake 帳戶和資源。您可以使用 Security Lake 主控台執行大多數 Security Lake 任務。

安全湖 API

若要以程式設計方式存取 Security Lake,請使用 Security Lake API,並直接向 服務發出HTTPS請求。如需詳細資訊,請參閱 Security Lake API參考

AWS Command Line Interface (AWS CLI)

使用 AWS CLI,您可以在系統的命令列發出命令,以執行 Security Lake 任務和 AWS 任務。使用命令列比使用主控台更快、更方便。若您想要建構執行 任務的指令碼,命令列工具也非常實用。如需安裝和使用 的詳細資訊 AWS CLI,請參閱 AWS Command Line Interface

AWS SDKs

AWS 提供 SDKs,包含適用於各種程式設計語言和平台的程式庫和範例程式碼,例如 Java、Go、Python、C++ 和 NET。SDKs 提供對 Security Lake 和其他 的便利、程式設計存取 AWS 服務。他們也會處理密碼編譯簽署請求、管理錯誤和自動重試請求等任務。如需安裝和使用 的詳細資訊 AWS SDKs,請參閱建置工具 AWS

以下是 AWS 服務 Security Lake 使用的其他功能:

  • Amazon EventBridge – Security Lake 使用 EventBridge ,在物件寫入資料湖時通知訂閱者。

  • AWS Glue – Security Lake 使用 AWS Glue 爬蟲程式來建立 AWS Glue Data Catalog 資料表,並將新寫入的資料傳送至 Data Catalog。Security Lake 也會在 Data Catalog 中存放 AWS Lake Formation 資料表的分割區中繼資料。

  • AWS Lake Formation – Security Lake 會為每個來源建立單獨的 Lake Formation 資料表,將資料貢獻給 Security Lake。Lake Formation 資料表包含每個來源的資料相關資訊,包括結構描述、分割區和資料位置資訊。訂閱者可以選擇查詢 Lake Formation 資料表來使用資料。

  • AWS Lambda – Security Lake 使用 Lambda 函數來支援擷取、轉換和載入原始資料上的 (ETL) 任務,以及註冊來源資料的分割區 AWS Glue。

  • Amazon S3 – Security Lake 會將您的資料儲存為 Amazon S3 物件。儲存類別和保留設定是以 Amazon S3 產品為基礎。Security Lake 不支援 Amazon S3 Select。

  • Amazon Simple Queue Service – Security Lake 使用 Amazon SQS啟用事件驅動的處理和管理通知。

Security Lake 會從自訂來源收集資料,除了下列項目之外 AWS 服務:

  • AWS CloudTrail 管理和資料事件 (S3、Lambda)

  • Amazon Elastic Kubernetes Service (Amazon EKS) 稽核日誌

  • Amazon Route 53 Resolver 查詢日誌

  • AWS Security Hub 問題清單

  • Amazon Virtual Private Cloud (AmazonVPC) 流程日誌

  • AWS WAF v2 日誌

如需這些來源的詳細資訊,請參閱 在 Security Lake AWS 服務 中從 收集資料。您可以透過建立可在結構描述中讀取資料的訂閱者,來取用安全資料湖中的 OCSF Amazon S3 物件。您也可以使用與 整合的 Amazon Athena、Amazon Redshift 和第三方訂閱服務來查詢資料 AWS Glue。