Amazon Web Services ブログ

クラウドの可視性と調査を強化するための新機能を AWS CloudTrail Lake に導入しました

11 月 21日、AWS CloudTrail Lake の新しいアップデートを発表できたことを嬉しく思います。AWS CloudTrail Lake は、監査、セキュリティ調査、運用上のトラブルシューティングのために、AWS CloudTrail で記録されたイベントの集約、不変の保存、クエリに使用できるマネージド型データレイクです。

CloudTrail Lake の新しいアップデートは以下のとおりです。

  • CloudTrail イベントのフィルタリングオプションの強化
  • イベントデータストアのクロスアカウント共有
  • 生成 AI 自然言語クエリ生成の一般的利用可能性
  • AI を活用したクエリ結果の要約機能のプレビュー
  • AI を活用したインサイトを含む高レベルの概要ダッシュボード (AI を活用したインサイトはプレビュー中)、さまざまなユースケースに対応する 14 種類の事前作成済みダッシュボード、定期的な更新を伴うカスタムダッシュボードの作成機能など、包括的なダッシュボード機能

新機能を1つずつ見ていきましょう。

イベントデータストアに取り込まれた CloudTrail イベントのフィルタリングオプションが強化されました
イベントフィルタリング機能の強化により、どの CloudTrail イベントがイベントデータストアに取り込まれるかをより細かく制御できるようになりました。これらの強化されたフィルタリングオプションにより、AWS アクティビティデータをより厳密に制御できるようになり、セキュリティ、コンプライアンス、運用調査の効率と精度が向上します。さらに、新しいフィルタリングオプションを使用すると、最も関連性の高いイベントデータのみを CloudTrail Lake イベントデータストアに取り込むことができるため、分析ワークフローのコストを削減できます。

eventSourceeventTypeeventNameuserIdentity.arnsessionCredentialFromConsole などの属性に基づいて、管理イベントとデータイベントの両方をフィルタリングできます。

AWS CloudTrail コンソールに移動し、ナビゲーションペインの Lake の下の [イベントデータストア] を選択します。[イベントデータストアの作成] を選択します。最初のステップでは、[イベントデータストア名] フィールドに名前を入力します。このデモでは、他のフィールドはデフォルトのままにします。ニーズに合った価格設定とリテンションオプションを選択できます。次のステップでは、CloudTrail イベントの下の [管理イベント] と [データイベント] を選択します。必要なすべてのオプションを CloudTrail イベントに含めることができます。また、取り込みオプションを選択することもできます。Ingest イベントを選択すると、作成時にインジェストが開始されます。イベントデータストアがイベントを取り込むのを停止するために、Ingest イベントオプションの選択を解除したい場合があります。たとえば、トレイルイベントをイベントデータストアにコピーしていて、イベントデータストアに今後のイベントを収集させたくない場合があります。組織内のすべてのアカウントで統合を有効にするか、イベントデータストアに現在のリージョンのみを含めるかを選択することもできます。

次の例は、AWS サービスによって開始された管理イベントを除外する、すぐに使えるフィルタリング用のテンプレートを示しています。管理イベントの下で [高度なイベントコレクション] を選択します。[ログセレクターテンプレート] ドロップダウンから [AWS サービス開始イベントを除外] を選択します。JSON ビューを展開して、フィルターが実際にどのように適用されるかを確認することもできます。

次の例では、データイベントの下に、特定のユーザーによって開始された DynamoDB データイベントを含めるフィルターを作成しています。これにより、IAM プリンシパルに基づいてイベントをログに記録できます。リソースタイプとして DynamoDB を選択しました。ログセレクターテンプレートとして [カスタム] を選択します。アドバンストイベントセレクターで、フィールドとして userIdentity.arn を選択し、オペレーターとして [同等] を選択します。 ユーザーの ARN をとして入力します。最後のステップで [次へ] を選択し、[イベントデータストアの作成] を選択します。

これで、取り込まれた CloudTrail データをきめ細かく制御できるイベントデータストアができました。

このフィルタリングオプションの拡張セットにより、セキュリティ、コンプライアンス、および運用上のニーズに最も関連性の高いイベントのみをより選択的にキャプチャできるようになります。

イベントデータストアのクロスアカウント共有
イベントデータストアのクロスアカウント共有機能を使用して、組織内の共同分析を強化できます。リソースベースポリシー (RBP) を通じて、選択した AWS プリンシパルとイベントデータストアを安全に共有できます。この機能により、権限のあるエンティティは、作成されたのと同じ AWS リージョン内の共有イベントデータストアにクエリを実行できます。

この機能を使用するには、AWS CloudTrail コンソールに移動し、ナビゲーションペインの Lake の下の [イベントデータストア] を選択します。リストからイベントデータストアを選択し、その詳細ページに移動します。[リソースポリシー] セクションで [編集] を選択します。次のポリシー例には、アカウント 111111111111、222222222222、333333333333 のルートユーザーが、アカウント ID 999999999999 が所有するイベントデータストアでクエリを実行し、クエリ結果を取得することを許可するステートメントが含まれています。[変更を保存] を選択してポリシーを保存します。

CloudTrail Lake での生成 AI を活用した自然言語クエリ生成が一般利用できるようになりました
6 月に、CloudTrail Lake 向けのこの機能をプレビュー版として発表しました。今回の発表により、自然言語の質問を使用して SQL クエリを生成し、SQL の技術的な専門知識がなくても、AWS アクティビティログ (管理、データ、ネットワークアクティビティイベントのみ) を簡単に調べて分析できます。この機能では、生成 AI を使用して自然言語の質問を、CloudTrail Lake コンソールで直接実行できる、すぐに使用できる SQL クエリに変換します。これにより、イベントデータストアを探索し、エラー数、使用頻度の高いサービス、エラーの原因などの情報を取得するプロセスが簡素化されます。この機能には、AWS コマンドラインインターフェイス (AWS CLI) からもアクセスできるため、コマンドライン操作を好むユーザーにさらに柔軟に対応できます。プレビューブログ投稿では、CloudTrail Lake の自然言語クエリ生成機能の使用を開始する方法を段階的に説明しています。

CloudTrail Lake 生成 AI を活用したクエリ結果の要約機能のプレビュー
自然言語クエリ生成機能を基盤として、AWS アカウントアクティビティの分析プロセスをさらに簡略化するために、AI を活用した新しいクエリ結果要約機能をプレビューで導入します。この機能を使用すると、クエリ結果のキーポイントを自然言語で自動的に要約することで、AWS アクティビティログ (管理、データ、ネットワークアクティビティイベントのみ) から貴重な洞察を簡単に抽出でき、情報を理解するのに必要な時間と労力を削減できます。

この機能を試すには、AWS CloudTrail コンソールに移動し、ナビゲーションペインの Lake で [クエリ] を選択します。CloudTrail Lake クエリのイベントデータストアを、[Event data store] (イベントデータストア) のドロップダウンリストから選択します。集計は、クエリが手動で作成されたものか、生成 AI によって生成されたものかに関係なく使用できます。この例では、自然言語クエリ生成機能を使用します。クエリジェネレーターでは、自然言語を使用して [プロンプト] フィールドに次のプロンプトを入力します。

過去 1 か月間に各サービスで記録されたエラーの数と、各エラーの原因は何でしたか?

次に、[Generate query] (クエリを生成) を選択します。次の SQL クエリが自動的に生成されます。

SELECT eventsource,
    errorcode,
    errormessage,
    count(*) as errorcount
a0****** から
WHERE eventtime >= '2024-10-14 00:00:00'
    AND eventtime <= '2024-11-14 23:59:59'
    AND (
        errorcode IS NOT NULL
        OR errormessage IS NOT NULL
    )
GROUP BY 1,
    2,
    3
ORDER BY 4 DESC;

[Run] (実行) を選択して結果を得ます。集計機能を使用するには、[クエリ結果] タブの [結果の要約] を選択します。CloudTrail はクエリ結果を自動的に分析し、重要な洞察を自然言語で要約します。要約できるクエリ結果には、1 か月あたり 3 MB の割り当てがあることに注意してください。

この新しい要約機能により、主要な調査結果の有意義な要約が自動的に生成されるため、AWS アクティビティデータを理解する時間と労力を節約できます。

包括的なダッシュボード機能
最後に、AWS 環境全体の可視性と分析を強化する CloudTrail Lake の新しいダッシュボード機能について説明します。

1 つ目はハイライトダッシュボードで、CloudTrail Lake 管理でキャプチャされたデータと、イベントデータストアに保存されたデータイベントの概要を簡単に確認できます。このダッシュボードでは、API コールの失敗回数が多い回数、ログイン試行の失敗回数の傾向、リソース作成の急増など、重要なインサイトを簡単に特定して把握できます。データ内の異常や異常な傾向を明らかにします。

AWS CloudTrail コンソールに移動し、ナビゲーションペインの Lake の下の [ダッシュボード] を選択して、ハイライトダッシュボードを確認します。まず、[同意してハイライトを有効にする]を選んでハイライトダッシュボードを有効にします。

データが入力されたら、ハイライトダッシュボードをチェックします。

新しいダッシュボード機能に 2 つ目に追加されたのは、14 種類の組み込みダッシュボードのスイートです。これらのダッシュボードは、さまざまなペルソナやユースケース向けに設計されています。たとえば、セキュリティに重点を置いたダッシュボードは、上位のアクセス拒否イベント、コンソールログイン試行の失敗、多要素認証 (MFA) を無効にしたユーザーなど、主要なセキュリティ指標を追跡および分析するのに役立ちます。また、運用監視用の既定のダッシュボードもあり、スロットリングエラーのある上位APIやエラーのある上位ユーザーなど、エラーや可用性の問題の傾向が強調表示されます。Amazon EC2 や Amazon DynamoDB などの特定の AWS サービスに焦点を当てたダッシュボードを使用することもできます。これらのダッシュボードは、特定のサービス環境におけるセキュリティリスクや運用上の問題を特定するのに役立ちます。

独自のダッシュボードを作成し、必要に応じて更新スケジュールを設定できます。このレベルのカスタマイズにより、CloudTrail Lake 分析機能を AWS 環境全体の正確なモニタリングや調査のニーズに合わせて調整できます。

マネージドとカスタムダッシュボードに切り替えて、カスタムダッシュボードとビルド済みダッシュボードを確認します。

私は、IAM アクティビティ全体を観察するために、IAM アクティビティダッシュボード構築済みダッシュボードを選択します。[新しいダッシュボードとして保存] を選択して、このダッシュボードをカスタマイズできます。

カスタムダッシュボードを最初から作成するには、ナビゲーションペインの [Lake] の [ダッシュボード] に移動し、[独自のダッシュボードを作成] を選択します。[ダッシュボードの名前を入力] フィールドに名前を入力し、[権限] でイベントデータストアを選択して、イベントを視覚化します。 次に、[ダッシュボードを作成] を選択します。

これで、ダッシュボードにウィジェットを追加できます。ダッシュボードは複数の方法で柔軟にカスタマイズできます。[サンプルウィジェットの追加] を使用して事前に作成されたサンプルウィジェットのリストから選択するか、[新しいウィジェットの作成] を使用して独自のカスタムウィジェットを作成できます。ウィジェットごとに、折れ線グラフ、棒グラフ、またはデータを最もよく表すその他のオプションなど、好みの視覚化のタイプを選択できます。

今すぐご利用いただけます
AWS CloudTrail Lake の新機能は、包括的な監査ロギングおよび分析ソリューションの提供における大きな進歩を表しています。これらの機能強化により、より深い理解を得てより迅速に調査を実施できるようになり、AWS 環境全体にわたる予防的な監視とより迅速なインシデント処理が可能になります。

米国東部 (バージニア北部)、米国西部 (オレゴン)、アジアパシフィック (ムンバイ)、アジアパシフィック (シドニー)、アジアパシフィック (東京)、カナダ (中部)、欧州 (ロンドン) の AWS リージョンの CloudTrail Lake で、生成 AI を活用した自然言語クエリ生成の使用を開始できるようになりました。

CloudTrail Lake の生成 AI を利用したクエリ結果の要約機能は、米国東部 (バージニア北部)、米国西部 (オレゴン)、およびアジアパシフィック (東京) リージョンでプレビュー版として利用できます。

強化されたフィルタリングオプションイベントデータストアとダッシュボードのクロスアカウント共有は、CloudTrail Lake が利用可能なすべてのリージョンで利用できます。ただし、Highlights ダッシュボードの生成 AI による要約機能は、米国東部 (バージニア北部)、米国西部 (オレゴン)、およびアジアパシフィック (東京) リージョンでのみ利用できます。

クエリを実行すると、CloudTrail Lake のクエリ料金が発生します。料金の詳細については、AWS CloudTrail の料金表をご覧ください。

– Esra

原文はこちらです。