Amazon Security Lake : pour compléter ou remplacer les SIEM ?
Publié par La rédaction le - mis à jour à
Disponibilité générale actée pour le « data lake cyber » d'AWS. Sera-t-il un complément ou un substitut aux SIEM ?
Collecter séparément les événements S3 et Lambda depuis CloudTrail ?Amazon Security Lake ne le permettait pas à son lancement en version préliminaire fin 2022. C'est désormais possible. AWS le souligne à l'heure d'annoncer la disponibilité générale du service.
Ce data lake est destiné à la collecte de journaux et d'événements de sécurité. Il les normalise au format Parquet, selon le schéma OCSF.
Outre CloudTrail, trois sources AWS sont nativement prises en charge : les logs VPC, ceux de Route 53 et les résultats de Security Hub. Une trentaine de partenaires, d'Aqua Security à Zscaler, ont développé des connecteurs*.
Par défaut, Amazon Security Lake s'active sur les dix régions où il est disponible (dont trois en Europe : Francfort, Irlande et Londres). On peut choisir les classes de stockage S3 à utiliser. Et éventuellement définir des « régions de synthèse » qui regrouperont les données des régions contributrices.
La tarification se fonde sur deux aspects : le volume de données ingéré (sur la région Londres, 0,75 $/Go pour les journaux CloudTrail et à partir de 0,299 $/Go pour les autres journaux) et le volume normalisé (0,035 $/Go). Il faut y ajouter les frais S3... et ceux des services AWS complémentaires auxquels on ferait éventuellement appel.
* Il faut y ajouter une vingtaine de connecteurs sortants (Datadog, IBM QRadar, SentinelOne, Splunk, Trellix...).
Photo d'illustration © ZinetroN - Adobe Stock