# AWS - Security Lake
# Security Lake
AWS Security Lake 是一項全受管的安全性資料湖服務,它能自動化地將您組織的安全資料(包括日誌、事件和安全發現結果)從 AWS 環境、SaaS 供應商、內部部署和雲端來源集中化、彙總、標準化,並儲存在您帳戶中的專用資料湖裡。
它旨在為您的安全分析解決方案提供單一、可存取的資料來源,以加強威脅偵測、調查和事件響應能力。
# 核心功能與工作原理
# 資料集中化與擁有權 (Data Centralization & Ownership)
- 彙總所有來源:Security Lake 自動收集並彙總來自 AWS 服務、AWS Security Hub 發現結果、第三方 SaaS 解決方案、內部部署系統和自訂來源的安全資料。
- 儲存在您的 S3 儲存桶:資料最終儲存在您帳戶中的 Amazon S3 儲存桶,這讓您對資料保有完整的控制權和擁有權,並能利用 S3 具成本效益的儲存優勢。
- 多帳號 / 多區域支援:Security Lake 支援多帳號和多 AWS 區域,允許您將多個區域的資料彙總 (rollup) 到一個或多個指定區域,以滿足合規要求。
# 資料標準化 (Data Standardization)
- OCSF 標準:Security Lake 採用了 開放式網路安全模式框架 (Open Cybersecurity Schema Framework, OCSF),這是一種開放式標準結構描述。
- 自動轉換:服務會自動將 AWS 的日誌和安全發現結果標準化並合併到 OCSF 格式。這解決了傳統上安全日誌格式不一致、難以整合分析的問題。
- 格式優化:擷取的資料會自動轉換為 Apache Parquet 格式,並進行分區,以實現更高效的儲存和查詢性能。
# 支援的資料來源
Security Lake 會自動收集以下服務的日誌,並從 Security Hub 收集安全發現結果
- AWS CloudTrail 事件日誌
- Amazon VPC Flow Logs (VPC 流程日誌)
- Amazon Route 53 Resolver
- Amazon EKS Audit Logs (EKS 稽核日誌)
- AWS WAF logs (WAF 日誌)
- 自訂來源 (Custom Sources)
- AWS Security Hub (包括 GuardDuty、Inspector、Macie 等)
- AWS Config
- AWS Firewall Manager
- AWS Health
- AWS Identity and Access Management (IAM) Access Analyzer
- AWS Systems Manager Patch Manager
# 數據使用與分析 (Data Consumption)
- 訂閱者模式 (Subscriber Model):您可以建立訂閱者 (Subscribers),授予他們對資料湖中特定資料集的存取權限。
- 開放式分析:訂閱者可以使用他們偏好的分析工具來分析資料,例如 Amazon Athena (用於 SQL 查詢)、Amazon QuickSight (用於可視化)、Amazon SageMaker (用於機器學習) 或其他領先的第三方安全解決方案 (如 SIEM/SOAR 工具)。
# 優勢
- 簡化安全營運:自動化收集、標準化和管理流程,減少手動 ETL 的負擔。
- 增強可視性:將混合式環境 (AWS、SaaS、內部部署) 的資料集中化,獲得全面的安全視圖。
- 合規性與稽核:透過集中且易於查詢的資料,簡化合規監控和報告工作。
- 數據控制與成本效益:資料儲存在您自己的 S3 中,並透過可自訂的保留策略來優化儲存成本。
# 使用案例
- 加快安全調查:為事件響應者提供單一、統一的資料來源和廣泛的能見度,以便快速回應安全事件。
- 長期數據分析:儲存多年的歷史安全資料,用於模式分析、異常偵測或滿足長期合規性需求。
- 威脅偵測:利用機器學習和關聯規則,跨多個數據源識別潛在的威脅和複雜的攻擊模式。
- 客製化分析:運行自訂分析和機器學習模型,以識別傳統工具可能遺漏的異常行為。
