プレビュー:Amazon セキュリティレイク — 顧客所有の専用データレイクサービス

潜在的なセキュリティ上の脅威や脆弱性を特定するには、お客様はさまざまなリソースにわたるロギングを有効にし、分析ツール内で簡単にアクセスして使用できるようにこれらのログを一元管理する必要があります。これらのデータソースには、オンプレミスのインフラストラクチャ、ファイアウォール、エンドポイントセキュリティソリューションからのログや、クラウドを利用する場合、 Amazon Route 53、 AWS CloudTrail、 Amazon Virtual Private Cloud（Amazon VPC）などのサービスからのログが含まれます。

Amazon Simple Storage Service (Amazon S3) と AWS Lake Formation により、 AWS でのデータレイクの作成と管理が簡単になります。しかし、一部のお客様のセキュリティチームは、各ログソースの構造とフィールドを分析し、スキーマとマッピングを定義し、脅威インテリジェンスなどのデータ強化を取り込む必要があるデータの正規化など、セキュリティドメイン固有の側面の定義と実装に依然として苦労しています。

2022/11/29、 Amazon Security Lake のプレビューリリースを発表します。Amazon Security Lake は、クラウドとオンプレミスのソースからの組織のセキュリティデータを、アカウントに保存されている専用のデータレイクに自動的に一元化する専用サービスです。Amazon Security Lake は、セキュリティデータの一元管理を自動化し、統合された AWS サービスとサードパーティサービスから標準化し、カスタマイズ可能な保持機能を使用してデータのライフサイクルを管理します。また、ストレージの階層化も自動化します。

Amazon セキュリティレイクの主な機能は次のとおりです。

• サポートされているさまざまなログとイベントソース — プレビュー中に、Amazon Security Lake は AWS CloudTrail、Amazon VPC、Amazon Route 53、Amazon S3、および AWS Lambda のログと、AWS Config 用の AWS Security Hub、AWS フFirewall Manager、 Amazon GuardDuty、 AWS Health Dashboard、 AWS IAM Access Analyzer、Amazon Inspector、Amazon Macie、およびAWS Systems Manager パッチマネージャー。さらに、50 を超えるサードパーティのセキュリティ検出結果のソースを Amazon Security Lake に送信できます。セキュリティパートナーは、オープンサイバーセキュリティスキーマフレームワーク (OCSF) 形式と呼ばれる標準スキーマのデータを、シスコセキュリティ、クラウドストライク、パロアルトネットワークスなどの Amazon Security Lake に直接送信しています。
• データ変換と標準化 — Security Lakeは、受信したログデータをストレージとクエリ効率の高いApache ParquetおよびOCSF形式に自動的に分割して変換し、データを後処理なしでセキュリティ分析に幅広く即座に使用できるようにします。Security Lakeは、IBM、Splunk、Sumo Logicなどの分析パートナーとの統合をサポートして、脅威の検出、調査、インシデント対応などのさまざまなセキュリティユースケースに対応します。
• カスタマイズ可能なデータアクセスレベル — セキュリティレイクに保存されているデータを消費するサブスクライバーのレベルを設定できます。たとえば、すべての新しいオブジェクトにデータアクセスするための特定のデータソースや、保存されているデータに直接クエリを実行する場合などです。セキュリティレイクを利用できるロールアップリージョンを指定したり、AWS Organizations 全体で複数の AWS アカウントを指定したりすることもできます。これにより、データレジデンシーのコンプライアンス要件に準拠できるようになります。

セキュリティデータ管理の運用上のオーバーヘッドを減らすことで、組織全体からより多くのセキュリティシグナルを収集し、そのデータを分析して、データ、アプリケーション、およびワークロードの保護を強化することが容易になります。

収集データ用のセキュリティレイクの設定
Amazon セキュリティレイクを使い始めるには、AWS コンソールで [始める] を選択します。すべてのリージョンとすべてのアカウントのログソースとイベントソースを有効にできます。

CloudTrail ログ、VPC フローログ、Route53 リゾルバーログなどのログおよびイベントソースをデータレイクに選択できます。一部のリージョンでは、Amazon S3 が管理する暗号化を使用してデータレイクにデータを提供します。Amazon S3 では、すべての暗号化キーと組織内の特定の AWS アカウントが作成して管理します。

次に、ロールアップリージョンと貢献リージョンを選択できます。寄与地域からの集計データはすべてロールアップ地域にあります。複数のロールアップリージョンを作成できるため、データレジデンシーのコンプライアンス要件への準拠に役立ちます。オプションで、セキュリティレイクで使用される標準の Amazon S3 ストレージクラスからデータを移行したい Amazon S3 ストレージクラスと保持期間を定義できます。

初期設定後、リージョンまたはアカウントのログソースを追加または削除できる場合は、コンソールの左側のペインで [ソース] を選択します。

Bind DNS ログ、エンドポイントテレメトリログ、オンプレミスの Netflow ログなどのカスタムソースからデータを収集することもできます。カスタムソースを追加する前に、AWS Glue にアクセス権限を付与する AWS IAM ロールを作成する必要があります。

カスタムデータソースを作成するには、カスタムソースの左側のメニューで [カスタムソースの作成] を選択します。

セキュリティレイクにデータを書き込み、ユーザーに代わって AWS Glue を呼び出すには、IAM ロールの Amazon リソースネーム (ARN) を入力する必要があります。次に、カスタムソースに関する詳細を提供できます。

データ処理とクエリを効率的に行うには、カスタムソースのオブジェクトを Parquet 形式のオブジェクトを使用して AWS リージョン、AWS アカウント、年、月、日、時間ごとに分割する必要があります。

セキュリティレイクからデータを利用
これで、Security Lake のログとイベントを使用するサービスであるサブスクライバーを作成できます。サブスクライバーを追加または表示するには、コンソールの左側のペインで [サブスクライバー] を選択します。

Security Lake は、次の 2 種類の加入者データアクセス方法をサポートしています：

• データアクセス (Amazon S3) — データが Security Lake S3 バケットに書き込まれると、購読者にはソースの新しいオブジェクトが通知されます。Amazon Simple Queue Service (Amazon SQS) キューを使用して新しいオブジェクトをサブスクライバーに通知するか、サブスクライバーが提供する HTTPS エンドポイントへのメッセージ送信を通じてサブスクライバーに通知するかを選択できます。このタイプは、選択したデータを分析アプリケーションに取り込むのに便利で、データに頻繁にアクセスする必要があるユースケースに適しています。
• クエリアクセス (レイクフォーメーション) — サブスクライバーは、 Amazon Athena などのサービスを通じて S3 バケット内の AWS Lake Formation テーブルに直接クエリを実行することでデータを使用できます。このタイプは、事前に何も取り込むことなくデータへのオンデマンドクエリアクセスを提供する場合や、アクセス頻度が低い場合や、事前に取り込んだり分析ツールに保持したりするにはコストがかかりすぎる大量のソースを使用する場合に役立ちます。

サブスクライバーを追加すると、Amazon S3 を選択してサブスクライバーのデータアクセスを作成できます。デフォルトの通知方法を選択すると、HTTPS エンドポイントまたは Amazon SQS のいずれかで次のオブジェクト通知メッセージを受信できます。

{
  "source": "aws.s3",
  "time": "2021-11-12T00:00:00Z",
  "region": "ca-central-1",
  "resources": [
    "arn:aws:s3:::example-bucket"
  ],
  "detail": {
    "bucket": {
      "name": "example-bucket"
    },
    "object": {
      "key": "example-key",
      "size": 5,
      "etag": "b57f9512698f4b09e608f4f2a65852e5"
    },
    "request-id": "N4N7GDK58NMKJ12R",
    "requester": "123456789012"
  }
}

クエリアクセス権を持つサブスクライバーは、Amazon Athena などのサービスや AWS Lake Formation から読み取ることができるその他のサービスを使用して、セキュリティレイクに保存されているデータに直接クエリを実行できます。以下は CloudTrail データのサンプルクエリです。

SELECT 
      time,
      api.service.name,
      api.operation,
      api.response.error,
      api.response.message,
      src_endpoint.ip 
    FROM ${athena_db}.${athena_table}
    WHERE eventHour BETWEEN '${query_start_time}' and '${query_end_time}' 
      AND api.response.error in (
        'Client.UnauthorizedOperation',
        'Client.InvalidPermission.NotFound',
        'Client.OperationNotPermitted',
        'AccessDenied')
    ORDER BY time desc
    LIMIT 25

サブスクライバーは、サブスクライバーを作成したときに選択した AWS リージョンのソースデータにのみアクセスできます。サブスクライバーが複数のリージョンのデータにアクセスできるようにするには、サブスクライバーを作成するリージョンをロールアップリージョンとして設定できます。

サードパーティインテグレーション
サポートされているサードパーティインテグレーションには、Amazon Security Lake と統合されたサブスクリプションサービスだけでなく、さまざまなソースがあります。

Amazon Security Lake は、バラクーダネットワークス、シスコ、Cribl、CrowdStrike、CyberArk、Lacework、Laminar、Netscout、Netskope、Okta、Orca、パロアルトネットワークス、Ping Identity、SecurityScorecard、Tanium、ファルコプロジェクト、トレンドマイクロ、ベクトラ AI、VMware、Wiz、Zscale など、OCSF セキュリティデータを提供するサードパーティソースをサポートしています。ER。

Datadog、IBM、Rapid7、Securonix、SentinelOne、Splunk、Sumo Logic、Trellixなど、セキュリティレイクをサポートするサードパーティのセキュリティ、オートメーション、分析ツールを使用することもできます。アクセンチュア、アトス、デロイト、DXC、キンドリル、PWC、ラックスペース、ウィプロなどのサービスパートナーもあり、お客様やAmazon Security Lakeと協力することができます。

プレビューに参加しましょう
Amazon Security Lake のプレビューリリースは、米国東部 (オハイオ)、米国東部 (バージニア北部)、米国西部 (オレゴン)、アジアパシフィック (シドニー)、アジアパシフィック (東京)、欧州 (フランクフルト)、欧州 (アイルランド) の各リージョンでご利用いただけるようになりました。

詳細については、Amazon セキュリティレイクページと Amazon セキュリティレイクユーザーガイドを参照してください。プレビュー中に、さらに多くのフィードバックをお聞かせください。フィードバックは、 AWS re: Post または通常の AWS サポート連絡先を通じて送信してください。

– Channy

原文はこちらです。