Amazon Security Lake : pour compléter ou remplacer les SIEM ?

Disponibilité générale actée pour le « data lake cyber » d’AWS. Sera-t-il un complément ou un substitut aux SIEM ?

Collecter séparément les événements S3 et Lambda depuis CloudTrail ?Amazon Security Lake ne le permettait pas à son lancement en version préliminaire fin 2022. C’est désormais possible. AWS le souligne à l’heure d’annoncer la disponibilité générale du service.

Ce data lake est destiné à la collecte de journaux et d’événements de sécurité. Il les normalise au format Parquet, selon le schéma OCSF.

Outre CloudTrail, trois sources AWS sont nativement prises en charge : les logs VPC, ceux de Route 53 et les résultats de Security Hub. Une trentaine de partenaires, d’Aqua Security à Zscaler, ont développé des connecteurs*.

Par défaut, Amazon Security Lake s’active sur les dix régions où il est disponible (dont trois en Europe : Francfort, Irlande et Londres). On peut choisir les classes de stockage S3 à utiliser. Et éventuellement définir des « régions de synthèse » qui regrouperont les données des régions contributrices.

La tarification se fonde sur deux aspects : le volume de données ingéré (sur la région Londres, 0,75 $/Go pour les journaux CloudTrail et à partir de 0,299 $/Go pour les autres journaux) et le volume normalisé (0,035 $/Go). Il faut y ajouter les frais S3… et ceux des services AWS complémentaires auxquels on ferait éventuellement appel.

* Il faut y ajouter une vingtaine de connecteurs sortants (Datadog, IBM QRadar, SentinelOne, Splunk, Trellix…).

Lire aussi : OCSF : vers un langage commun pour l’analyse d’événements de sécurité ?