使用Amazon Security Lake收集安全日志

什么是AWS Security Lake？

亚马逊安全湖（Amazon Security Lake）是一项服务，可自动将来自 AWS 环境、领先 SaaS 提供商、IDC和云原生的安全数据集中到一个专用数据湖中，从而使客户能够更快地对安全数据采取行动，并简化混合和多云环境中的安全数据管理。Amazon Security Lake 将传入的安全数据转换并符合开放网络安全模式框架 (Open Cybersecurity Schema Framework, OCSF) 开放标准，使安全团队能够更轻松地自动收集、组合和分析来自 80 多个来源（包括 AWS、安全合作伙伴和分析提供商）的安全数据。Amazon Security Lake 是一系列广泛的 AWS 云安全服务的一部分，这些服务以 AWS 的安全基础架构为基础，帮助使 AWS 成为最灵活、最安全的云，受到数百万客户（包括一些对安全最敏感的组织）的信赖，并得到广泛的安全合作伙伴社区的支持，帮助客户提升云中的安全性。Amazon Security Lake 可聚合和优化大量不同的日志和事件数据，以实现更快的威胁检测、调查和响应，从而使企业可以使用其首选的分析工具快速有效地解决潜在问题。要开始使用 Amazon Security Lake，请访问 https://aws.amazon.com/security-lake。

只需几个步骤，客户就可以轻松创建一个数据湖，从 Amazon VPC Flow Logs 和 AWS CloudTrail 等来源、Splunk、CrowdStrike、Datadog 和 Cribl 等第三方来源以及他们自己的数据来源收集安全数据。Amazon Security Lake 中的所有安全数据都符合 OCSF 模式，从而使使用单一、统一的视图进行安全调查变得更加简单。客户可以使用其首选的安全和分析工具（包括 Amazon Athena、Amazon OpenSearch Service 和 Amazon SageMaker）以及领先的第三方解决方案，快速、轻松地获取更广泛、更深入的分析。

AWS日志收集

Amazon Security Lake 可以从以下支持的 AWS 服务中收集日志和事件：

• CloudTrail - Management events

• CloudTrail - Lambda data events

• CloudTrail - S3 data events

• Amazon Route 53 resolver query logs

• AWS Security Hub findings

• Amazon Virtual Private Cloud (Amazon VPC) Flow Logs

CloudTrail event logs

AWS CloudTrail 可为您提供帐户的 AWS API 调用历史记录，包括使用 AWS 管理控制台、AWS SDK、命令行工具和某些 AWS 服务进行的 API 调用。CloudTrail 还允许您识别哪些用户和帐户调用了支持 CloudTrail 的服务的 AWS API、调用的源 IP 地址以及调用发生的时间。有关详细信息，请参阅AWS CloudTrail User Guide.

查看AWS CloudTrail 事件历史记录可以选择使用Amazon Security Lake统一收集并用Athena查询。（好处是开启Amazon Security Lake以后直接就可以使用Athena查询比如CloudTrail日志了，不需要再配置Athena创建数据库和表以及也不需要做字段拆分。非常方便）。使用AWS Security Lake统一收集并用Athena查询会比使用CloudTrail Lake进行日志的分析要便宜，两者的对比可以参见此文档。

• 通过CloudTrail创建和管理trail ，从AWS CloudTrail 用户手册中查看 Creating a trail for an organization

• 通过AWS Control Tower创建和管理trail ，从 AWS Control Tower 用户手册中查看 Logging AWS Control Tower actions with AWS CloudTrail。

Route 53 resolver query logs

Route 53 解析器查询日志可跟踪 Amazon 虚拟私有云 (Amazon VPC) 中资源进行的 DNS 查询。这有助于您了解应用程序的运行情况并发现安全威胁。

在 Security Lake 中将 Route 53 解析器查询日志添加为源时，Security Lake 会立即开始通过独立和重复的事件流直接从 Route 53 收集解析器查询日志。

Security Lake 不会管理 Route 53 日志，也不会影响现有的解析器查询日志配置。要管理解析器查询日志，您必须使用 Route 53 服务控制台。Managing Resolver query logging configurations

有关 Security Lake 如何将 Route 53 日志规范化为 OCSF，请参阅GitHub OCSF repository for Route 53 logs.

Security Hub findings

安全中心的发现可帮助您了解 AWS 中的安全状况，并让您根据安全行业标准和最佳实践检查您的环境。Security Hub从各种来源收集发现，包括与其他 AWS 服务的集成、第三方产品集成以及Security Hub预置的检查控制项。Security Hub将 AWS 安全发现统一为一种格式，称为AWS Security Finding Format (ASFF) 。当您在Security Lake中添加Security Hub发现作为源时，Security Lake会立即开始通过独立和重复的事件流直接从Security Hub收集您的发现。Security Lake还会将调查结果从 ASFF 转换到 Open Cybersecurity Schema Framework (OCSF) 。

Security Lake 不会管理 Security Hub发现，也不会影响现有的Security Hub配置。要管理Security Hub发现，您必须使用 Security Hub 服务控制台。Findings in AWS Security Hub

有关 Security Lake 如何将 Security Hub findings 规范化为 OCSF，请参阅 GitHub OCSF repository for Security Hub findings.

VPC Flow Logs

Amazon VPC 的 VPC 流量日志功能可捕获有关进出环境中网络接口的 IP 流量的信息。

在Security Lake 中添加 VPC Flow Logs 作为源时，Security Lake 会立即开始收集 VPC Flow Logs。它通过独立和重复的 Flow Logs 流直接从 Amazon VPC 获取 VPC Flow Logs。

Security Lake 不会管理您的 VPC Flow Logs 或影响您的 Amazon VPC 配置。要管理 Flow 日志，您必须使用 Amazon VPC 服务控制台。Work with Flow Logs

有关 Security Lake 如何将 VPC Flow Logs 规范化为 OCSF 的信息，请参阅 GitHub OCSF repository for VPC Flow Logs.

第三方日志集成

Amazon Security Lake 支持第三方的提供OCSF格式安全数据来源， 包括 Barracuda Networks, Cisco, Cribl, CrowdStrike, CyberArk, Lacework, Laminar, Netscout, Netskope, Okta, Orca, Palo Alto Networks, Ping Identity, SecurityScorecard, Tanium, The Falco Project, Trend Micro, Vectra AI, VMware, Wiz, and Zscaler.

您还可以使用第三方安全分析工具分析日志，包括： Datadog, IBM, Rapid7, Securonix, SentinelOne, Splunk, Sumo Logic, and Trellix。还有服务合作伙伴，比如 Accenture, Atos, Deloitte, DXC, Kyndryl, PWC, Rackspace, and Wipro t可以和你一起用好Amazon Security Lake。

其中将 Cribl Stream 与Amazon Security Lake集成可以收集本地和其他云上的日志：

比如

Cisco FTD、CrowdStrike Account Change、CrowdStrike Authentication、CrowdStrike Network Activity、GCP Audit Logs Account Activity、Palo Alto Networks (PAN) Threat and Traffic、SentinelOne、Windows Logon Activity、ZScaler Firewall and Weblogs；

https://docs.cribl.io/stream/usecase-security-lake/

参考资料

[AWS Docs]What is Amazon Security Lake?

[AWS Docs]Security Lake pricing

[Youtube] How to get started and manage Amazon Security Lake with AWS Organizations | Amazon Web Services

[Youtube] Amazon Security Lake Custom Source | Amazon Web Services

[Youtube] AWS Summit Tel Aviv 2023 - Amazon Security Lake: Analyze Multiple Security Events (SEC305)

[Github] Amazon Security Lake OCSF Queries

[Github] AWS Security Analytics Bootstrap Deployment Guide

[Github] Using Jupyter for Incident Response - Github Repository

The JupyterLab Interface

Jupyter with Jupyter Lab Notebook User Guide

[Tool] Assisted Log Enabler for AWS

[Tool] AthenaGlueService Logs

[Service] Amazon Detective

[Doc] Running SQL Queries Using Amazon Athena

[Doc] Querying AWS Service Logs

[Blog] Analyze Security, Compliance, and Operational Activity Using AWS CloudTrail and Amazon Athena

[Blog] Athena Performance Tips

[Q&A] CTAS Bucketing Guidance

[Blog] Amazon Route 53 Resolver Query Logs

[Doc] Configure Amazon Route 53 Resolver Query Logs (choose Amazon S3 destination)

[Doc] Security Reference Architecture: Log Archive Account

[Doc] Running SQL Queries Using Amazon Athena

Open Cybersecurity Schema Framework (OCSF) project

Amazon Security Lake - 15min overview - Lightening Talk, Presentation

Webinar - AWS re:Inforce 2023 - Build your security data lake w/ Amazon Security Lake, featuring IPG (TDR205)

Webinar - AWS re:Invent session - Introducing Amazon Security Lake

Webinar - AWS On Air ft. Amazon Security Lake (Preview), and AWS on Air: Lockdown

Demo - How to get started and manage Amazon Security Lake with AWS Organizations

Demo - Amazon Security Lake with Amazon Athena and Amazon QuickSight

Customer Blog - Exploring Amazon Security Lake (Salesforce’s detection and response team)

Blog - Amazon Security Lake is now generally available

Blog - Get custom data into Amazon Security Lake through ingesting Azure activity logs

Blog - Generate machine learning insights for Amazon Security Lake data using Amazon SageMaker

Blog - Generate security insights from Amazon Security Lake data using Amazon OpenSearch Ingestion

[Github]Security Lake bill estimate tool

[Github]AWS Security Analytics Bootstrap

[Github] Amazon Security Lake OCSF Queries

Amazon Security Lake Overview

Amazon Security Lake Pricing

6 ways Amazon Security Lake could boost security analytics

[blog]Identify and remediate security threats to your business using security analytics with Amazon OpenSearch Service

第三方集成指引

[Github] CrowdStrike Falcon Data Replicator and Amazon Security Lake Integration Guide

Amazon OpenSearch Ingestion now supports ingesting events from Amazon Security Lake

[Github] Ingesting Custom Application Logs into AWS Security Lake