本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Security Lake 的安全最佳实践
<a name="best-practices-overview"></a>

请参阅以下有关使用 Amazon Security Lake 的最佳实践。

## 授予 Security Lake 用户可能的最低权限
<a name="minimum-permissions"></a>

遵循最低权限原则，为您的 AWS Identity and Access Management (IAM) 用户、用户组和角色授予最低访问策略权限。例如，您可以允许 IAM 用户查看 Security Lake 中的日志源列表，但不允许其创建日志源或订阅用户。有关更多信息，请参阅 [Security Lake 基于身份的策略示例](security_iam_id-based-policy-examples.md)。

您还可以使用 AWS CloudTrail 来跟踪 Security Lake 中的 API 使用情况。 CloudTrail 提供用户、群组或角色在 Security Lake 中执行的 API 操作的记录。有关更多信息，请参阅 [使用记录安全湖 API 调用 CloudTrail](securitylake-cloudtrail.md)。

## 查看摘要页面
<a name="summary-page"></a>

Security Lake 控制台的**摘要**页面概述了过去 14 天内影响 Security Lake 服务和用于存储数据的 Amazon S3 存储桶的问题。您可以进一步调查这些问题，以帮助您减轻可能与安全相关的影响。

## 与 Security Hub CSPM 集成
<a name="integrate-security-hub"></a>

集成 Security Lake 并在 AWS Security Hub CSPM 安全湖中接收 Security Hub CSPM 调查结果。Security Hub CSPM 从许多不同的 AWS 服务 第三方集成中生成调查结果。接收 Security Hub CSPM 调查结果有助于你大致了解自己的合规状况以及是否符合 AWS 安全最佳实践。

有关更多信息，请参阅 [与集成 AWS Security Hub CSPM](securityhub-integration.md)。

## 删除 AWS Lambda
<a name="Lambda"></a>

删除 AWS Lambda 函数时，我们建议不要先将其禁用。在删除之前禁用 Lambda 函数可能会干扰数据查询功能，并可能影响其他功能。最好直接删除 Lambda 函数而不将其禁用。有关删除 Lambda 函数的更多信息，请参阅[AWS Lambda 开发者](https://docs.aws.amazon.com//lambda/latest/dg/example_lambda_DeleteFunction_section.html)指南。

## 监控 Security Lake 事件
<a name="monitor-cloudwatch-metrics"></a>

您可以使用 Amazon CloudWatch 指标监控安全湖。 CloudWatch 每分钟从 Security Lake 收集原始数据并将其处理为指标。您可以设置警报，在指标达到指定阈值时触发通知。

有关更多信息，请参阅 [CloudWatch 亚马逊安全湖的指标](cloudwatch-metrics.md)。