En el panorama en constante evolución de la ciberseguridad, contar con un sistema de gestión de eventos e información de seguridad (SIEM) sólido y eficiente es crucial. Una solución poderosa que ha ganado un impulso significativo es la integración de Elastic® con Amazon Security Lake . Esta integración no solo facilita la recopilación de datos de eventos y registros relacionados con la seguridad, sino que también permite a las organizaciones analizar y comprender su postura de seguridad de manera integral.
En esta publicación de blog, se profundiza en las complejidades de esta integración y exploraremos cómo puede mejorar la protección de cargas de trabajo, aplicaciones y datos en toda la organización.
Acerca del lago de seguridad de Amazon
Amazon Security Lake actúa como un repositorio centralizado de datos relacionados con la seguridad, automatizando el proceso de recopilación tanto de los servicios de AWS como de fuentes de terceros. Amazon Security Lake no es una herramienta SIEM en sí misma, pero desempeña un papel fundamental en la transformación de las operaciones de seguridad al centralizar registros y encontrar datos en un lago de datos unificado.
Este enfoque centralizado produce una visión general integral de los datos de seguridad, simplificando el manejo de diversos casos de uso de monitoreo de seguridad y contribuyendo a una postura de seguridad general mejorada. La herramienta no solo agiliza las operaciones de seguridad, sino que también normaliza los registros, lo que garantiza una alimentación rápida y precisa de información a soluciones SIEM externas como Elastic con una sobrecarga operativa mínima.
Esta adopción ha resultado en una reducción sustancial del tiempo y el esfuerzo requeridos por los ingenieros de seguridad para recopilar hallazgos y registros. Los usuarios aprovechan Security Lake más allá del mero almacenamiento, utilizándolo para investigar incidentes y automatizar respuestas en toda la plataforma.
Elastic Security extiende las capacidades de Elastic al ámbito de la ciberseguridad, abordando la necesidad crítica de detección y respuesta a amenazas. Esta iteración centrada en la seguridad incorpora un potente sistema SIEM, que aprovecha el aprendizaje automático y la inteligencia sobre amenazas para fortalecer las defensas de una organización.
Al integrarse perfectamente con el Elastic Stack más amplio , Elastic Security no solo monitorea y analiza eventos de seguridad sino que también facilita un enfoque holístico para gestionar y mitigar amenazas potenciales.
A medida que las organizaciones se enfrentan al panorama en constante evolución de los riesgos cibernéticos, Elastic Security emerge como una herramienta indispensable, que les permite proteger de forma proactiva sus datos e infraestructura.
Cómo implementar la integración de Elastic Security y Amazon Security Lake
A medida que Elastic y Amazon Security Lake se embarcan en esta integración innovadora, estamos preparados para redefinir la gestión de datos de seguridad y reforzar las capacidades de los equipos de seguridad en todo el mundo. Juntos, estamos impulsando la seguridad hacia una nueva era, donde la integración de datos se combina con conocimientos prácticos.
Elastic garantiza una transición perfecta al convertir Open Cybersecurity Schema Framework (OCSF) al formato Elastic Common Schema (ECS) antes de integrarse con Elastic, asegurando así preservar esos paneles predeterminados para una experiencia fluida.
Pasos para integrar Elastic con Amazon Security Lake
Se debe instalar el último agente de Elastic.
Se requiere Elastic Agent para transmitir datos desde la cuenta de suscriptor de Amazon Security Lake para enviar los datos a Elastic, donde los eventos luego se procesarán a través de las canalizaciones de ingesta de la integración.
Deben existir los permisos correctos para configurar un suscriptor de Amazon Security Lake.
Configuración
Para habilitar e iniciar Amazon Security Lake, siga las instrucciones de introducción .
Después de crear un lago de datos, siga los pasos a continuación para crear suscriptores de datos para consumir datos.
Abra la consola de Security Lake .
Utilizando el selector de región de AWS en la esquina superior derecha de la página, seleccione la región donde desea crear el suscriptor.
En el panel de navegación, elija Suscriptores .
En la página Suscriptores, elija Crear suscriptor .
Para obtener detalles del suscriptor , ingrese el nombre del suscriptor y una descripción opcional.
Para Orígenes de registros y eventos , elija qué fuentes el suscriptor está autorizado a consumir.
Para el método de acceso a datos , elija S3 para configurar el acceso a datos para el suscriptor.
Para las credenciales del suscriptor , proporcione el ID de la cuenta de AWS y el ID externo del suscriptor .
Para obtener detalles de la notificación , seleccione Cola SQS .
Elija Crear.
Los pasos mencionados anteriormente crearán y proporcionarán los detalles necesarios, como roles de IAM/ID de rol de AWS, ID externo y URL de cola para configurar la integración de AWS Security Lake.
Habilitando la integración en Elastic
1. En Kibana®, vaya a Gestión > Integraciones .
2. En la barra de búsqueda "Buscar integraciones", escriba Amazon Security Lake.
4. Haga clic en el botón Agregar Amazon Security Lake para agregar la integración.
6. Al agregar la integración, para recopilar registros a través de AWS SQS se requieren los siguientes detalles:
Elastic ofrece un panel preconfigurado que muestra el estado, la gravedad y la clasificación de eventos de aplicaciones, redes, sistemas y gestión de identidades y accesos. Este panel de referencia se puede enriquecer aún más incorporando visualizaciones de Kibana.
Amazon Security Lake ofrece una solución sólida para consolidar y optimizar registros en una única región acumulativa mientras mantiene un formato de registro estándar para un almacenamiento rentable. Sin embargo, es importante tener en cuenta que Amazon Security Lake no es un SIEM ni un servicio de seguridad de punto final o de nube. En cambio, se centra principalmente en almacenar registros en Amazon S3 con algunas capacidades de análisis básicas utilizando Athena.
Si su organización requiere una solución de seguridad integral como SIEM, seguridad de endpoints y funciones de seguridad en la nube, incluidas capacidades avanzadas como asistentes de seguridad AI para la detección y análisis de amenazas, Elastic Cloud Security lo tiene cubierto. Es esencial comprender las necesidades específicas de su organización y las capacidades que necesita para tomar una decisión informada con respecto a la seguridad de su organización.
Comience una prueba gratuita hoy
Inicie su propia prueba gratuita de 7 días registrándose a través de AWS Marketplace y ponga en marcha rápidamente una implementación en minutos en cualquiera de las regiones de Elastic Cloud en AWS en todo el mundo. Su compra de Elastic en AWS Marketplace se incluirá en su estado de cuenta mensual consolidado y se descontará de su gasto comprometido con AWS.
Linware Argentina ⯈