Amazon Security Lake : pour compléter ou remplacer les SIEM ?

Collecter séparément les événements S3 et Lambda depuis CloudTrail ?Amazon Security Lake ne le permettait pas à son lancement en version préliminaire fin 2022. C'est désormais possible. AWS le souligne à l'heure d'annoncer la disponibilité générale du service.

Ce data lake est destiné à la collecte de journaux et d'événements de sécurité. Il les normalise au format Parquet, selon le schéma OCSF.

Outre CloudTrail, trois sources AWS sont nativement prises en charge : les logs VPC, ceux de Route 53 et les résultats de Security Hub. Une trentaine de partenaires, d'Aqua Security à Zscaler, ont développé des connecteurs*.

Par défaut, Amazon Security Lake s'active sur les dix régions où il est disponible (dont trois en Europe : Francfort, Irlande et Londres). On peut choisir les classes de stockage S3 à utiliser. Et éventuellement définir des « régions de synthèse » qui regrouperont les données des régions contributrices.

La tarification se fonde sur deux aspects : le volume de données ingéré (sur la région Londres, 0,75 $/Go pour les journaux CloudTrail et à partir de 0,299 $/Go pour les autres journaux) et le volume normalisé (0,035 $/Go). Il faut y ajouter les frais S3... et ceux des services AWS complémentaires auxquels on ferait éventuellement appel.

* Il faut y ajouter une vingtaine de connecteurs sortants (Datadog, IBM QRadar, SentinelOne, Splunk, Trellix...).

Photo d'illustration © ZinetroN - Adobe Stock