利用 Amazon Security Lake 简化安全调查

## 视频 <video src="https://dev-media.amazoncloud.cn/30-LibaiGenerate/31-LiBaiRebrandingVideo/SEC234-Streamlining_security_investigations_with_Amazon_Security_Lake-LBrebrandingWCaptionCN.mp4" class="bytemdVideo" controls="controls"></video> ## 导读 在混合环境中获得全面安全调查和快速事件响应的可见性。在本论坛中，了解 [Amazon Security Lake](https://aws.amazon.com/cn/security-lake/?trk=cndc-detail) 与 OCSF 支持如何规范化和组合来自亚马逊云科技和广泛的企业安全源的安全数据，以优化整个组织的数据可访问性，促进更全面的安全操作方法。了解 Security Lake 如何有效地帮助您大规模整合和优化安全日志。 ## 演讲精华 <font color = "grey">以下是小编为您整理的本次演讲的精华，共1000字，阅读时间大约是5分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。</font> 马特是亚马逊云科技全球进入市场团队的领导者，负责检测和响应服务。在re:Invent的环节中，他向观众表示欢迎。他的团队负责提供六种类似的安全服务，包括最近推出的[Amazon Security Lake](https://aws.amazon.com/cn/security-lake/?trk=cndc-detail)。 他强调，Security Lake的诞生源于亚马逊云科技客户在构建自己的安全数据湖过程中所面临挑战的直接反馈。亚马逊云科技采用了以客户为中心的方法，从客户需求出发进行反向思考。在了解到混合环境中集中安全日志和归一化数据的常见问题后，亚马逊云科技立即组建了一个内部团队来开发这个专有解决方案。 Security Lake的主要目标是集中并归一化客户整个生态系统中的安全日志，包括亚马逊云科技的工作负载、内部数据中心、混合部署乃至主要的第三方云提供商。这为客户构建基于不同数据源整合成通用模式的现代数据分析策略奠定了基础。 Security Lake还具备长期保留功能，有助于区分存储和检测需求。通过将数据汇聚在一起，Security Lake不再需要选择特定的分析供应商或工具。客户可以在整个安全生态系统中自由地使用他们偏好的解决方案来构建查询、可视化和警报。 亚马逊云科技还与Splunk等18家企业共同创立了开放网络安全架构框架（OCSF）作为开源项目，以标准化安全数据。随着超过500个贡献伙伴的加入，OCSF正作为安全分析的通用语言不断发展。 尽管OCSF和Security Lake各自独立存在，但它们之间存在着共生关系。Security Lake在内部分享OCSF的数据模型，并为客户提供在整个环境中实施OCSF的全面管理服务。 Security Lake已与IBM、Trellix等供应商的解决方案进行了集成。详细说明如何将Security Lake与这些供应商的解决方案连接起来的指南已经提供。 Matt解释了他所推荐的安全湖架构。首先，他在一个简单且安全的两点击集成枢纽中对发现结果进行汇总。接着，安全湖会收集所有类型的日志数据，包括来自Amazon Web Services服务、合作伙伴解决方案、内部以及自定义来源的数据。最后，他会启用各种分析工具，以便根据不同用途对集中数据进行查询。例如，客户可以在Splunk中分析发现结果，在[Amazon QuickSight](https://aws.amazon.com/cn/quicksight/?trk=cndc-detail)中构建可视化，并在[Amazon Athena](https: //aws.amazon.com/cn/athena/?trk=cndc-detail)中运行即席SQL查询，从而针对相同的安全湖数据集进行操作。这有助于降低从不同来源聚合、转换和查询数据的复杂性。 除了用于安全分析，Matt强调运营团队还可以通过轻松搜索历史日志来解决故障排除任务。他认为，由于解决了成本、复杂性和安全日志分析方面的挑战，安全湖能够加速威胁检测、事件响应、取证以及其他使用场景的速度。 作为安全湖解决方案的架构师，Ross展示了一个实际客户的现场演示。该客户希望通过Athena分析存储在安全湖中的VPC流日志，以检查他们每天监控的100,000个IP地址是否存在威胁。然而，他们尚未将这些流日志发送给他们的安全工具。罗斯展示了如何仅用几分钟时间从一个包含50万个威胁IP地址的开源反馈表中创建一个新表。然后，他编写了一个查询，将威胁IP地址与安全湖中的流日志数据进行连接，识别出超过100次可疑通信。为了自动化这个过程，他使用了一个步骤函数来定期运行Athena查询。步骤函数还会格式化结果并通过电子邮件和Slack发送它们。这样，安全团队就可以在不干扰现有系统的情况下监测VPC流日志中的威胁。 Andrew，一家名为Seek的公司（位于澳大利亚、新西兰和东南亚）的云安全负责人，分享了他们是如何使用安全湖的实际案例。Seek运营着在线就业市场，每天为近10亿人口的区域提供5000万次搜索请求。他们在Amazon Web Services上运行大部分工作负载，因此产生了大量安全数据。 他们发现，采用多种解决方案来管理日志会给操作员和分析员带来额外的负担。在经过重新评估策略之后，寻求转向安全湖以实施OCSF并整合数据，从而提高效率、标准和性能。 在一次调查中，GuardDuty发现一个来自可疑IP地址的S3访问事件。尽管在他们的传统系统中检查流日志和CloudTrail没有找到相关证据，但涉及到了350个账户和多个区域。转向安全湖后，他们可以查询更广泛的数据集并找出背后的原因。 在另一个案例中，寻求利用安全湖快速搜索数百个账户和区域的IOC。他们发现这种高性能搜索能力相较于之前的系统能提供更快的价值实现时间。 在未来，寻求计划将更多数据源输入到安全湖中，包括Okta、Proofpoint、GitHub、DNS和防火墙的日志。他们将利用威胁情报和业务背景来源（如VirusTotal、DomainTools和AbuseIPDB）来丰富日志，以便推动主动的威胁狩猎。 寻求将利用数据分析工具（如Databricks、SageMaker和Splunk）在集中式安全湖基础上构建新的使用案例，例如检测高风险用户行为和促进攻击路径映射。 总的来说，马特表示，安全湖为安全团队提供了改进的检测和响应能力以及取证功能。它还使其他团队能够轻松分析日志以进行故障排除等任务。他分享了最佳实践资源并邀请与会者参加即将举行的研讨会。 简而言之，亚马逊根据客户关于处理大量安全数据孤岛挑战的直接反馈发明了安全湖。它通过将日志聚合和规范化为一个统一的数据湖来减少成本和复杂性，同时加速威胁调查和扩展分析。像寻求这样的一些客户已经实现了更快的威胁调查以及在安全湖之上扩展的使用案例。这使组织能够从他们的安全数据中获得更大的价值。 **下面是一些演讲现场的精彩瞬间：** 亚马逊云科技的领导者在安全会议上对观众表示感谢，并向大家介绍了上台的嘉宾。  在演讲中，他们详细讨论了如何通过[Amazon EventBridge](https://aws.amazon.com/cn/eventbridge/?trk=cndc-detail)实现对不同订阅者的数据发送进行精确控制。  领导者展示了一个简单的过程，即捕捉开源数据并将其存储在DynamoDB表中，从而轻松创建一个威胁情报源。  尽管演讲者并非SQL专家，但他们仍然展示了如何编写简单的Athena查询，以便将VPC流日志中的IP地址与威胁情报源进行匹配。  此外，领导者还展示了如何使用亚马逊云科技Step Functions无缝构建并执行[无服务器](https://aws.amazon.com/cn/serverless/?trk=cndc-detail)工作流。  Security Lake能够自动收集云日志和DNS日志等日志，从而取代了传统的手动流程，并为之前无法监控的数据源提供了可视化功能。  最后，演讲者感谢观众参加此次安全会议，并提醒大家可以通过二维码链接提供反馈。  ## 总结 首先，Security Lake能够自动将来自亚马逊云科技服务和合作伙伴解决方案的数据摄入并整合至名为OCSF的开放式标准架构中，从而为分析工具提供更多的选择空间。其次，Security Lake负责管理底层基础设施，例如ETL管道和访问控制，从而加速创建性能卓越且成本效益高的安全数据湖。这使得客户能够专注于利用数据本身。最后，Security Lake支持多种数据分析工具，包括Athena、QuickSight和SageMaker，同时也支持与威胁狩猎、报告以及SIEM系统的集成。总之，通过消除构建安全数据湖所需的繁琐工作，Security Lake使得组织能够简化安全操作并从中获取更多价值。实际案例展示了诸如优化调查工作流程、提高企业范围的查询效率以及发现意想不到的用途等方面的好处。 ## 演讲原文 ## 想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！ [2023亚马逊云科技re:Invent全球大会 - 官方网站](https://webinar.amazoncloud.cn/reInvent2023/?s=8739&smid=19458 "2023亚马逊云科技re:Invent全球大会 - 官方网站") [点击此处](https://aws.amazon.com/cn/new/?trk=6dd7cc20-6afa-4abf-9359-2d6976ff9600&trk=cndc-detail "点击此处")，一键获取亚马逊云科技全球最新产品/服务资讯！ [点击此处](https://www.amazonaws.cn/new/?trk=2ab098aa-0793-48b1-85e6-a9d261bd8cd4&trk=cndc-detail "点击此处")，一键获取亚马逊云科技中国区最新产品/服务资讯！ ## 即刻注册亚马逊云科技账户，开启云端之旅！ [【免费】亚马逊云科技“100 余种核心云服务产品免费试用”](https://aws.amazon.com/cn/campaigns/freecenter/?trk=f079813d-3a13-4a50-b67b-e31d930f36a4&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技“100 余种核心云服务产品免费试用“") [【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”](https://www.amazonaws.cn/campaign/CloudService/?trk=2cdb6245-f491-42bc-b931-c1693fe92be1&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用“")