目次
Amazon Security Lake とは
Amazon Security Lake は、一言でいうと AWS上に「セキュリティログ専用のデータレイク」を自動で作ってくれるフルマネージドサービスです。AWS環境、SaaSプロバイダー、オンプレミス、クラウドソース、サードパーティソースからのセキュリティデータ(セキュリティログ)を集約し、AWS アカウント内に保存された専用データレイクへ自動的に一元化できます。
以下の AWS サービスが対応しています。
- CloudTrail
- VPC Flow Logs
- Security Hub findings
- Route 53 Resolver Query Logs
- EKS Audit Logs
- WAF Logs
Security Lake は取り込んだログ・データを Apache Parquet 形式と、Open Cybersecurity Schema Framework(OCSF) と呼ばれる標準オープンソーススキーマに変換して S3 バケットに保存します。OCSFのサポートにより、AWSとさまざまなエンタープライズセキュリティデータソースからのセキュリティデータを正規化・統合できます。
Amazon Security Lake 全体像
以下の流れで Secrity Lake にログ・データが集約され分析されます。
CloudTrail
VPC Flow Logs
Route 53 Resolver Query Logs
Security Hub Findings
EKS Audit Logs
AWS WAF Logs
外部セキュリティ製品ログ
オンプレログ
↓
Amazon Security Lake
↓
S3 に保存
OCSF 形式に正規化
Apache Parquet に変換
AWS Glue / Lake Formation テーブル作成
↓
Athena / Redshift / OpenSearch / SIEM / Splunk / Sumo Logic などで分析OCSF とは
OCFS は、Open Cybersecurity Schema Framework の略です。簡単に言うと、セキュリティログの項目名や構造をそろえるための共通フォーマットです。たとえば、サービスごとに以下のようにバラバラだったとします。
- CloudTrail userIdentity.accountId
- VPC Flow Logs account-id
- WAF Logs httpRequest.clientIp
様々なフォーマットのデータが混在していると横断的な分析が面倒です。
Security Lake はログを OCSF に正規化することで、
- 誰が
- どこから
- どのアカウントで
- どのリソースに
- 何をしたか
- 通信元・通信先は何か
- 検出結果は何か
を横断的に扱いやすくします。
サブスクライバーとは
Security Lake でのサブスクライバー(購読者)とは、Security Lake に保存されたセキュリティログを利用する側のことを言います。サブスクライバー機能を利用すると、蓄積されたセキュリティログ・セキュリティデータ(CloudTrail、VPCフローログなど)を、他の AWS アカウントやサードパーティツールへ共有できます。
例えば、以下がサブスクライバーになります。
- Athenaで調査するセキュリティチーム
- 外部SIEM
- Splunk
- Datadog
- Sumo Logic
- OpenSearch
- 自社のログ分析基盤
- 監査用アカウント
SIEM とは
SIEM は、Security Information and Event Management の略です。セキュリティ情報イベント管理 と訳されます。いろいろなシステムのログを集めて、攻撃や不審な動きを検知・調査するための仕組みです。
コメント