La seconde journée de re:invent 2022, la conférence annuelle d’AWS, a été l’occasion de nombreuses annonces parmi lesquelles la préversion Amazon Security Lake, un nouveau service qui centralise les données de sécurité des clients provenant de sources dans le cloud et sur site. Celles-ci sont stockées dans un lac de donnée dans le compte du client, inaccessible sauf autorisation du client. Amazon Security Lake automatise la gestion des logs de sécurité, en les normalisant à partir des services AWS intégrés et des services tiers. Pourvu des outils applicatifs nécessaires, il gère automatiquement le cycle de vie des données de log et des événements avec une rétention personnalisable, et automatise également la hiérarchisation du stockage.
L’objectif de cette normalisation est de proposer aux outils d’observabilité et d’analyse une base d’informations normalisée et centralisée en agrégeant les données à partir de diverses sources. Une démarche qui s’inscrit dans la droite ligne de l’Open Cybersecurity Schema Framework (
OCSF), l’initiative récente d’AWS et d’éditeurs de solutions de cybersécurité et d’observabilité pour normaliser le format des données de cybersécurité. Il s’agit de contrer la prolifération des formats propriétaires. Par ailleurs, la centralisation présente l’avantage de réduire les coûts opérationnels relatifs à la dispersion des données et au temps passé par les équipes de sécurité à les collecter.
Le déploiement d’Amazon Security Lake initialise la mise en œuvre automatique de l’architecture de référence fixée par les modèles AWS CloudFormation, qu’il est possible de personnaliser pour répondre à des besoins spécifiques. La fondation déployée intègre des services tels qu’Amazon S3, Redshift, Kinesis, Athena, AWS Glue, Elasticsearch Service (Amazon ES), SageMaker, et QuickSight. Des solutions qui fournissent des fonctions telles que la soumission de données, le traitement d'acquisition, la gestion de jeu de données, la transformation et l'analyse de données, la création et le déploiement d'outils de machine learning, la recherche, la publication et la visualisation. Une fois que cette fondation en place, il est possible d'augmenter fonctionnellement le datalake avec des outils ISV et SaaS.
Diverses sources de journaux et d'événements prises en charge
Ainsi conçue, la solution présente une chaîne de traitement qui repose sur les services de l’éditeur. Amazon Security Lake collecte automatiquement les journaux pour CloudTrail, Amazon VPC, Route 53, S3 et AWS Lambda, ainsi que les résultats de sécurité via Security Hub pour Config, Firewall Manager, GuardDuty, Health Dashboard, IAM Access Analyzer, Inspector, Macie et Systems Manager Patch Manager. En outre, plus de 50 sources de résultats de sécurité tiers peuvent être envoyées à Amazon Security Lake. Les partenaires de sécurité, tels que Cisco Security, CrowdStrike, Palo Alto Networks et d'autres, envoient également directement des données dans le schéma standard OCSF à Amazon Security Lake.
Pour effectuer la normalisation du format des données, Security Lake partitionne et convertit automatiquement les données des journaux entrants dans un format Apache Parquet et OCSF, efficace en termes de stockage et de requêtes, ce qui rend les données immédiatement utilisables pour l'analyse de la sécurité, sans nécessiter de post-traitement. Security Lake prend en charge les intégrations avec des partenaires d'analyse tels qu'IBM, Splunk, Sumo Logic et bien d'autres pour répondre à une variété de cas d'utilisation de la sécurité tels que la détection des menaces, les investigations et la réponse aux incidents.
