Amazon Security Lake は、アカウントで保存されているセキュリティデータレイクを使用して、組織全体のセキュリティデータのソーシング、集約、正規化、およびデータ管理を自動化するサービスです。セキュリティデータレイクは、脅威の検出、調査、インシデント対応などのユースケースにより良く対応するために、組織のセキュリティデータが、優先するセキュリティ分析ソリューションに幅広くアクセスできるようにするのに役立ちます。
Security Lake は、AWS 環境、SaaS プロバイダー、オンプレミス、クラウドソースからのセキュリティデータを、アカウントに保存されている専用データレイクに自動的に一元化します。Security Lake を使用してセキュリティデータを分析し、組織全体のセキュリティをより包括的に理解し、ワークロード、アプリケーション、およびデータの保護を改善します。セキュリティ関連のデータには、サービスとアプリケーションのログ、セキュリティアラート、脅威インテリジェンス (既知の悪意のある IP アドレスなど) が含まれます。これらは、セキュリティインシデントの検出、調査、修復には不可欠です。セキュリティのベストプラクティスには、効果的なログおよびセキュリティイベントデータの管理プロセスが必要です。Security Lake はこのプロセスを自動化し、ストリーミング分析の検出、時系列分析、ユーザーとエンティティの行動分析 (UEBA)、セキュリティオーケストレーションと修復 (SOAR)、およびインシデント対応を実行するソリューションを円滑にします。
Open Cybersecurity Schema Framework (OCSF) とは、セキュリティログおよびイベント用の共同オープンソーススキーマです。これにはベンダーに依存しないデータ分類法が含まれているため、さまざまな製品、サービス、およびオープンソースツールにわたってセキュリティログとイベントデータを正規化する必要性を減らすことができます。
Security Lake は、以下のサービスのログを自動的に収集します。
また、AWS Security Hub を通じて、次のサービスのセキュリティに関する検出結果を収集します:
さらに、サードパーティのセキュリティソリューション、他のクラウドソースからのデータ、OCSF をサポートする独自のカスタムデータを追加できます。このデータには、OCSF 形式に変換した内部アプリケーションまたはネットワークインフラストラクチャからのログが含まれます。
はい。Security Lake の新規アカウントがあれば、AWS 無料利用枠を利用して、15 日間無料でサービスをお試しできます。 無料トライアル中はすべての機能セットをご使用いただけます。
Amazon OpenSearch Service と Amazon Security Lake の統合により、直接検索、分析情報の取得、Security Lake に保存されているデータの分析のエクスペリエンスが効率化されます。これらはすべて Amazon OpenSearch Service 内で実行できます。Security Lake と OpenSearch Service を統合するには、オンデマンドのデータアクセスと継続的な取り込みの 2 つの方法があります。オンデマンドのオプションは、アクセス頻度が低い大量のログソースに最適であり、ユーザーは事前の取り込みコストなしでデータを分析できます。また、継続的な取り込み方式はリアルタイム分析に適しており、AWS Security Hub の調査結果や AWS CloudTrail 管理イベントなどの高価値のセキュリティソースにすばやくアクセスできます。
Security Lake は、クラウド、オンプレミス、およびカスタムソースからのセキュリティ関連データのソーシング、集約、正規化、管理を AWS アカウントに保存されているセキュリティデータレイクに自動化します。Security Lake はオープンスタンダードである OCSF を採用しています。OCSF のサポートにより、このサービスは、AWS からのセキュリティデータと、幅広いエンタープライズセキュリティデータソースを正規化し、組み合わせることができます。AWS CloudTrail Lake はマネージド型の監査およびセキュリティレイクです。これにより、AWS (CloudTrail イベント、AWS Config の設定項目、AWS Audit Manager の監査証拠) および外部ソース (オンプレミスまたはクラウドでホストされている社内または SaaS アプリケーション、仮想マシン、コンテナ) の監査およびセキュリティログを集約、不変的に保存、クエリすることができます。そしてこのデータは、追加費用なしで CloudTrail Lake イベントデータストアに最大 7 年間保存し、CloudTrail Lake 内蔵の SQL クエリエンジンで調査できます。
開始するには、まず AWS 環境に既存の Security Lake をセットアップする必要があります。これにより、企業のセキュリティデータの一元的なストレージとアクセスが可能になります。
Security Lake を設定したら、Amazon OpenSearch Service との統合を有効にできます。これを行うには、AWS マネジメントコンソールの Security Lake コンソールに移動し、Amazon OpenSearch に使用する予定のアカウントのサブスクライバーを作成します。次に、Amazon OpenSearch Service コンソールに移動して、Security Lake 用のデータソースを設定します。このプロセスには、OpenSearch Service が Security Lake 内のデータに安全にアクセスしてクエリを実行できるように、必要な権限とアクセス制御を設定することが含まれます。
その後、OCSF で利用できる事前構築済みのクエリとインテグレーションを確認して、OpenSearch Service Dashboards で一般的なセキュリティ分析のユースケースをすぐに使い始めることができます。また、高度な分析や視覚化のニーズに合わせて、Security LakeからOpenSearch Service への特定のデータセットのオンデマンドでのインデックス作成を設定することもできます。
統合を設定すると、ダッシュボードが提供する強力な検索、分析、視覚化機能を活用して、セキュリティデータのクエリと分析をダッシュボードから直接開始できます。また、OpenSearch Service のダッシュボードやその他の監視機能を、特定のセキュリティ要件やワークフローに合わせてカスタマイズすることもできます。
どの AWS サービスにおいても、CloudTrail 管理イベントログを収集してお客様の S3 バケットに配信するためには、CloudTrail を有効にすることが前提条件です。たとえば、CloudTrail 管理イベントログを Amazon CloudWatch Logs に配信するには、最初に証跡を作成する必要があります。Security Lake は CloudTrail 管理イベントを組織レベルでお客様所有の S3 バケットに配信するため、管理イベントを有効にした CloudTrail の組織証跡が必要です。
AWS Security Hub の統合により、Security Lake は 50 のソリューションからセキュリティ検出結果を受け取ることができます。詳細については、「AWS Security Hub のパートナー」を参照してください。 また、OCSF 形式でデータを提供し、Security Lake と統合できるテクノロジーソリューションも増え続けています。詳細については、「Amazon Security Lake のパートナー」を参照してください。
初めて Security Lake コンソールを開いたときに、[開始] を選択し、次に [有効にする] をクリックします。Security Lake は、Security Lake がソースからデータを収集し、サブスクライバーにアクセス権を付与できるようにする権限と信頼ポリシーを含む、サービスにリンクされたロールを使用します。サポートされているすべての AWS リージョンで Security Lake を有効にするのがベストプラクティスです。これにより、積極的に使用していないリージョンであっても、Security Lake は不正または異常なアクティビティに関連するデータを収集して保持できます。サポートされているすべてのリージョンで Security Lake が有効になっていない場合、グローバルサービスに関連するデータを収集する機能は低下します。
ロールアップリージョンは、指定された他のリージョンからセキュリティログおよびイベントを集約するリージョンです。Security Lake を有効にすると、1 つ以上のロールアップリージョンを指定できるため、リージョンレベルのコンプライアンス要件を遵守するのに役立ちます。
Security Lake の対象リージョンは、Amazon Security Lake エンドポイントのページに記載されています。