Amazon Security Lake のよくある質問

Amazon Security Lake は、アカウントで保存されているセキュリティデータレイクを使用して、組織全体のセキュリティデータのソーシング、集約、正規化、およびデータ管理を自動化するサービスです。セキュリティデータレイクは、脅威の検出、調査、インシデント対応などのユースケースにより良く対応するために、組織のセキュリティデータが、優先するセキュリティ分析ソリューションに幅広くアクセスできるようにするのに役立ちます。

Security Lake は、AWS 環境、SaaS プロバイダー、オンプレミス、クラウドソースからのセキュリティデータを、アカウントに保存されている専用データレイクに自動的に一元化します。Security Lake を使用してセキュリティデータを分析し、組織全体のセキュリティをより包括的に理解し、ワークロード、アプリケーション、およびデータの保護を改善します。セキュリティ関連のデータには、サービスとアプリケーションのログ、セキュリティアラート、脅威インテリジェンス (既知の悪意のある IP アドレスなど) が含まれます。これらは、セキュリティインシデントの検出、調査、修復には不可欠です。セキュリティのベストプラクティスには、効果的なログおよびセキュリティイベントデータの管理プロセスが必要です。Security Lake はこのプロセスを自動化し、ストリーミング分析の検出、時系列分析、ユーザーとエンティティの行動分析 (UEBA)、セキュリティオーケストレーションと修復 (SOAR)、およびインシデント対応を実行するソリューションを円滑にします。

Open Cybersecurity Schema Framework (OCSF) とは、セキュリティログおよびイベント用の共同オープンソーススキーマです。これにはベンダーに依存しないデータ分類法が含まれているため、さまざまな製品、サービス、およびオープンソースツールにわたってセキュリティログとイベントデータを正規化する必要性を減らすことができます。

Security Lake は、以下のサービスのログを自動的に収集します。

• AWS CloudTrail
  
• Amazon Virtual Private Cloud (VPC)
  
• Amazon Route 53
  
• Amazon Simple Storage Service (S3)
  
• AWS Lambda
• Amazon Elastic Kubernetes Service (EKS) 

また、以下のサービスの AWS Security Hub を通じてセキュリティ検出結果を収集します。

• AWS Config
  
• AWS Firewall Manager
  
• Amazon GuardDuty
  
• AWS Health
  
• AWS Identity and Access Management (IAM) Access Analyzer
  
• Amazon Inspector
  
• Amazon Macie
  
• AWS Systems Manager Patch Manager
  

さらに、サードパーティのセキュリティソリューション、他のクラウドソースからのデータ、OCSF をサポートする独自のカスタムデータを追加できます。このデータには、OCSF 形式に変換した内部アプリケーションまたはネットワークインフラストラクチャからのログが含まれます。

はい。Security Lake の新規アカウントがあれば、AWS 無料利用枠を利用して、15 日間無料でサービスをお試しできます。 無料トライアル中はすべての機能セットをご使用いただけます。

Security Lake は、クラウド、オンプレミス、およびカスタムソースからのセキュリティ関連データのソーシング、集約、正規化、管理を AWS アカウントに保存されているセキュリティデータレイクに自動化します。Security Lake はオープンスタンダードである OCSF を採用しています。OCSF のサポートにより、このサービスは、AWS からのセキュリティデータと、幅広いエンタープライズセキュリティデータソースを正規化し、組み合わせることができます。AWS CloudTrail Lake はマネージド型の監査およびセキュリティレイクです。これにより、AWS (CloudTrail イベント、AWS Config の設定項目、AWS Audit Manager の監査証拠) および外部ソース (オンプレミスまたはクラウドでホストされている社内または SaaS アプリケーション、仮想マシン、コンテナ) の監査およびセキュリティログを集約、不変的に保存、クエリすることができます。そしてこのデータは、追加費用なしで CloudTrail Lake イベントデータストアに最大 7 年間保存し、CloudTrail Lake 内蔵の SQL クエリエンジンで調査できます。

どの AWS サービスにおいても、CloudTrail 管理イベントログを収集してお客様の S3 バケットに配信するためには、CloudTrail を有効にすることが前提条件です。たとえば、CloudTrail 管理イベントログを Amazon CloudWatch Logs に配信するには、最初に証跡を作成する必要があります。Security Lake は CloudTrail 管理イベントを組織レベルでお客様所有の S3 バケットに配信するため、管理イベントを有効にした CloudTrail の組織証跡が必要です。

AWS Security Hub の統合により、Security Lake は 50 のソリューションからセキュリティ検出結果を受け取ることができます。詳細については、「AWS Security Hub のパートナー」を参照してください。 また、OCSF 形式でデータを提供し、Security Lake と統合できるテクノロジーソリューションも増え続けています。詳細については、「Amazon Security Lake のパートナー」を参照してください。

初めて Security Lake コンソールを開いたときに、[開始] を選択し、次に [有効にする] をクリックします。Security Lake は、Security Lake がソースからデータを収集し、サブスクライバーにアクセス権を付与できるようにする権限と信頼ポリシーを含む、サービスにリンクされたロールを使用します。サポートされているすべての AWS リージョンで Security Lake を有効にするのがベストプラクティスです。これにより、積極的に使用していないリージョンであっても、Security Lake は不正または異常なアクティビティに関連するデータを収集して保持できます。サポートされているすべてのリージョンで Security Lake が有効になっていない場合、グローバルサービスに関連するデータを収集する機能は低下します。

ロールアップリージョンは、指定された他のリージョンからセキュリティログおよびイベントを集約するリージョンです。Security Lake を有効にすると、1 つ以上のロールアップリージョンを指定できるため、リージョンレベルのコンプライアンス要件を遵守するのに役立ちます。

Security Lake の対象リージョンは、Amazon Security Lake エンドポイントのページに記載されています。