利用Amazon Security Lake与Trend Vision One实现主动安全防护

本文探讨如何通过Amazon Security Lake集中化安全日志数据,结合Trend Vision One平台的威胁检测能力,实现跨云和混合环境的主动安全防护,包括OCSF标准化架构、自定义检测模型和实时威胁响应。

利用Amazon Security Lake与Trend Vision One实现主动安全防护

引言

安全是现代应用开发和现代化的主要挑战之一。它不仅影响我们构建应用的方式,还影响维护方式。保护应用的方法多种多样,从编写代码到部署方式,但所有这些方法都面临同一个挑战:如何利用数据识别真实的安全事件,并在事件发生后防止其再次发生?

在现代应用中实现这一点通常超越传统安全边界。安全从业者不仅需要理解核心安全原则,还需要了解应用的构建方式、功能以及数据流。尽管可以访问丰富的数据,包括应用日志、使用遥测和资源间关系,但挑战不在于收集数据,而在于将不同数据格式转换为通用语言,并在日常应用行为的噪音中提取可操作的见解。

什么是Amazon Security Lake?

Amazon Security Lake通过将分散的安全日志和数据整合到集中式数据湖系统中,以提升可见性、搜索、调查和整合能力,试图解决这些挑战。它提供了一种方式,可以收集、存储和分析来自不同区域和来源的数据,包括AWS服务(如Amazon EKS、AWS Security Hub、Amazon Route53、AWS WAF)以及第三方来源(如SaaS提供商和本地替代方案)。这有助于更快识别安全事件并防止其再次发生,为安全运营(SecOps)团队提供一个集中位置,查找云基础设施中识别安全事件所需的所有相关信息。

监控云应用日志的最大挑战之一是将数据规范化为基于开放网络安全架构框架(OCSF)的统一模式。OCSF是一个供应商无关的框架,允许使用通用语言进行分析和关联,通常需要复杂的解析和数据管道处理过程。

通过采用OCSF,Amazon Security Lake帮助创建一个统一的生态系统,所有安全供应商都可以从简化集成和标准化数据中受益。有了通用模式,合作伙伴可以更快地接入数据源,减少对自定义解析器的依赖,并实现跨工具的更顺畅互操作性。这种一致性增强了协作,提高了大规模威胁检测能力,并使分析和机器学习更高效运行。对供应商而言,OCSF意味着更广泛的兼容性、更快的开发和为客户提供更多可操作的见解。

这种规范化和互操作性水平是我们采用这种格式的关键原因之一,我们完全将Amazon Security Lake作为我们Trend Vision One™ AI驱动的企业网络安全平台的核心集成。它使我们能够通过统一云和混合环境中的多样化遥测数据,提供更广泛的可见性、更快的检测和更深入的见解,为客户推动更有效和主动的安全成果。

如何利用这些数据

但如何将这些数据点转化为可操作的安全警报和事件?这就是Trend Vision One的用武之地。该平台允许您从Amazon Security Lake摄取数据,并立即受益于数百种威胁检测和关联规则。这些XDR检测由Trend Micro全球威胁研究提供;我们持续研究、改进和调整检测模型,以帮助主动识别云环境中的可疑和恶意活动。客户还可以基于Amazon Security Lake数据创建自己的检测模型。

Amazon Security Lake日志还可以与Trend Micro™威胁情报源关联,使客户能够扫描危害指标(IOCs)并利用我们领先的威胁见解。

Trend™研究团队持续开发和改进检测模型,以帮助识别从不同来源摄取的日志中的可疑和恶意活动。这些基于各种研究见解,以理解和对抗全球不良行为者的行为。为了帮助客户适应并保持灵活性,我们使您能够基于Amazon Security Lake日志数据创建自己的检测模型。

Trend Vision One还扩展了这些功能,允许客户通过启用从本地环境(如网络、终端和应用)的数据摄取,扩展到云环境之外。然后,这些数据与您在Amazon Security Lake中的数据关联。Trend Vision One通过提供高效的数据分析和威胁检测来补充这一点,确保您的安全运营既有效又成本高效。

例如,我们最近发布的一篇博客演示了如何使用Trend Vision One日志中的日志摄取检测AWS上AI服务的可疑活动——具体来说是AWS CloudTrail数据。这可以从Amazon Security Lake中提取,并通过我们的平台为客户应用检测模型,快速无缝地实现。

其中一些模型包括:

  • 枚举服务,如Amazon Bedrock和Amazon SageMaker
  • 未经适当授权删除或修改AI防护栏
  • 禁用关键服务,如AWS Security Hub或AWS CloudTrail
  • 数据提取和勒索软件活动

这些只是如何利用Amazon Security Lake数据识别安全事件并主动防止未来发生的一些示例。

如何开始

通过AWS Marketplace注册Trend Vision One,或与我们预约会议。注册后,您可以通过我们的云连接器将Trend Vision One连接到您的活动Amazon Security Lake,然后启用数据摄取和检测模型,立即开始分析威胁。如果您已经在控制台中,请转到云安全、云账户,然后进行堆栈更新。

Trend Vision One与Amazon Security Lake之间的集成允许公司将我们的安全智能与我们平台和Amazon数据湖的可扩展性和灵活性相结合。这种集成带来许多好处,包括主动检测、自动编排和智能数据存储—— complete with more than 180 detection models applied through detection model management。

例如,金融服务组织可以使用自定义检测模型来关联和识别高风险操作——如在敏感交易时间内对AWS身份和访问管理(IAM)策略的修改或对Amazon简单存储服务(Amazon S3)审计日志的异常访问。这些模式特定于其运营上下文,有助于发现真实威胁,而不会用通用警报淹没团队。

或者,医疗保健提供商可以检测在非工作时间或由通常不涉及患者护理工作流的角色对HIPAA敏感的Amazon S3存储桶的意外访问。通过将检测与客户上下文和数据访问规范对齐,安全团队可以标记否则会被忽视的潜在恶意行为。

这些自定义模型为检测过程添加了关键的客户上下文——定制逻辑以匹配每个独特环境中应用、数据和用户的行为方式。当与我们全球威胁研究团队开发的检测模型结合时,这种混合方法实现了更精确、上下文化和可扩展的云中威胁检测。

结论

Amazon Security Lake通过提供集中化和规范化,帮助您应对分散安全数据的关键挑战,增强可见性并简化数据收集。当与Trend Vision One等平台和我们强大的集成解决方案配对时,这些数据转化为可操作的见解,使安全团队不仅能够识别跨云、本地和混合环境的事件,还能防止其再次发生。

通过利用标准化模式(如OCSF)、高级检测模型和全面的遥测关联,您可以领先于威胁,适应新风险,并构建真正的主动安全态势。最终,Amazon Security Lake的集成使您的团队能够将数据转化为真实的威胁情报。这种集成不仅增强了跨多样化环境的事件检测;它还提供了更易于查询和共享的通用格式,提供集中数据以实现全面可见性,并提供您所需上下文的额外警报,以应对不断演变的威胁——并领先于对手。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次