Amazon Web Services ブログ

セキュリティ分析を簡素化するための Amazon OpenSearch Service と Amazon Security Lake の統合のご紹介

12 月 1 日、Amazon OpenSearch ServiceAmazon Security Lake のゼロ ETL 統合の一般提供の開始を発表しました。この統合により、組織はセキュリティデータを効率的に検索および分析し、実用的なインサイトを得ることができるため、複雑なデータエンジニアリング要件が合理化され、セキュリティデータの潜在能力が最大限に引き出されます。これは、Security Lake でログをインプレースでクエリおよび分析する新しい方法であり、データの重複を最小限に抑え、カスタムデータパイプラインの管理にかかる運用オーバーヘッドを削減します。Security Lake データを直接クエリできるため、データの移動コストを節約できます。

OpenSearch Service と Security Lake のゼロ ETL 統合により、OpenSearch Dashboards の豊富な分析機能を使用して、Security Lake のデータをクエリおよび視覚化できます。また、単一のツールと単一のスキーマ (Open Cybersecurity Schema Framework (OCSF) スキーマ) 内で複数のデータソースを分析して、脅威ハンティングと調査のシナリオに役立てることもできます。

時間が重要な要素となる調査とモニタリングでは、データのサブセットに迅速かつ頻繁にアクセスする必要がある場合に、Amazon OpenSearch Service でインデックス付きビューやダッシュボードなどの追加のアクセラレーションを有効にすることで、オプションでクエリパフォーマンスを改善できます。これらの機能により、ログの量にかかわらず、Security Lake に保存されているすべてのデータを完全に可視化できるため、セキュリティ調査をサポートし、セキュリティ体制をより良く理解するとともに、セキュリティ関連のインサイトを得ることができます。

Amazon Security Lake でのダイレクトクエリの開始方法
数ステップで使用を開始できます。まず、Security Lake サブスクライバーを作成して Security Lake を有効にする必要があります。その後、Amazon OpenSearch Service でデータ接続を有効にします。これにより、ダイレクトクエリの結果とインデックスを保存するための OpenSearch Serverless コレクションが自動的に作成されます。

1.Security Lake を有効にし、データレイクの許可を設定する

AWS マネジメントコンソールで Security Lake を有効にするには、収集するデータソース (Amazon Route 53 DNS クエリ、AWS CloudTrail ログ、Amazon VPC フローログ、AWS Security Hub の検出結果など) と AWS リージョンを指定します。私は複数のリージョンを選択し、Amazon Simple Storage Service (Amazon S3) ストレージクラスとロールアップリージョンを設定してデータを統合しました。

必要なデータソースを使用して組織全体にデプロイし、組織に固有のコストを見積もることができるよう、Security Lake は 15 日間の無料トライアルを提供しています。

有効化が完了すると、収集されたすべてのデータがアカウントの Amazon Simple Storage Service (Amazon S3) バケットに取り込まれます。

Security Lake の委任された管理者アカウント以外のアカウントから Security Lake データにアクセスするには、Security Lake に関連付けられた AWS Glue テーブルのデータにアクセスしてクエリするために AWS Lake Formation サブスクライバーを作成する必要があります。Security Lake へのアクセスが認可されている AWS アカウントと外部 ID を入力し、アクセスするデータソースを選択します。Lake Formation は、セキュリティアナリストがレイク内のデータにアクセスするためのクロスアカウント許可を提供します。

クエリサブスクライバーを作成したら、OpenSearch リソースをデプロイする予定のアカウントに移動し、Security Lake の委任された管理者アカウントによって共有されている AWS Resource Access Manager (AWS RAM) 共有を受け入れることができます。サブスクライバーアカウントは、手動で受け入れられるまで、共有ステータスを保留中として表示します。

詳細については、「Amazon Security Lake ユーザーガイド」の「Enabling Security Lake using the console」および「Create query subscriber procedures」にアクセスしてください。

2.OpenSearch Service とのデータ接続を作成する

ゼロ ETL 統合は、数ステップで作成できます。サブスクライバーのアカウントの OpenSearch Service コンソールで、左側のナビゲーションペインの [データ接続] セクションで [接続されたデータソース] を選択します。その後、データソースのタイプとして [Security Lake] を選択できます。

次のステップでは、ゼロ ETL 統合を使用して Security Lake データソースにアクセスするための IAM 許可を設定できます。また、OpenSearch Serverless コレクションと OpenSearch アプリケーションが自動的に作成されます。

接続が作成されたら、Security Lake のデータを定期的にクエリしてビジュアライゼーションを作成する、事前構築済みの OpenSearch ダッシュボードのいずれかを選択できます。Security Lake で VPC フローログ、WAF ログ、CloudTrail データソース用のテンプレートを使用してダッシュボードを作成できます。

VPC フローログ用の事前構築済みのダッシュボードの例を次に示します。

データ接続の詳細については、「Amazon OpenSearch Service デベロッパーガイド」の「Data connections and permissions」にアクセスしてください。

3.OpenSearch ダッシュボードで Security Lake データをクエリする

OpenSearch ダッシュボードで Security Lake データを直接クエリするには、[検出] ページに移動します。

[検出] ページで、データピッカーワークフローを使用して、クエリする特定の Security Lake テーブルを見つけることができます。Security Lake ログソースごとに 1 つのテーブルがあります。

選択後、使用するクエリ言語 (PPL (Piped Processing Language) または SQL (Structured Query Language) のいずれか) を選択し、クエリを記述して実行できます。PPL のサンプル結果を次に示します:

クエリを開始するために、事前構築済みのクエリテンプレートを検索して実行することを選択することもできます。Security Lake で使用可能なすべての AWS ログソースをカバーする 200 を超える SQL および PPL クエリがあります。検索ボックスを使用して、興味のあるクエリを見つけることができます。例えば、「VPC Flow」と検索すると、VPC フローログに関連するすべてのクエリが表示されます。各クエリと、その使用が推奨される場合についての説明があります。

セキュリティ調査をサポートするためなど、同じデータセットに対して複数のクエリを実行する場合は、ダイレクトクエリの結果についてオンデマンドのインデックス付きビューを作成できます。結果が OpenSearch インデックスに取り込まれた後、OpenSearch の分析機能を使用して、低レイテンシーの後続のクエリと分析を実行できます。

インデックス付きビューを作成するには、[インデックス付きビューを作成] を選択し、指定したクエリ、インデックス名、および時間範囲を選択します。ビューが作成されると、クエリ結果が取り込まれ、使用可能なインデックス付きビューの下に新しく作成されたインデックスの一部としてクエリできるようになります。

詳細については、「Amazon OpenSearch Service デベロッパーガイド」の「Searching data」にアクセスしてください。

今すぐご利用いただけます
Amazon OpenSearch Service と Amazon Security Lake のゼロ ETL 統合は、米国東部 (オハイオ)、米国東部 (バージニア北部)、米国西部 (オレゴン)、アジアパシフィック (ムンバイ)、アジアパシフィック (シンガポール)、アジアパシフィック (シドニー)、アジアパシフィック (東京)、欧州 (フランクフルト)、欧州 (アイルランド)、欧州 (ロンドン)、欧州 (パリ)、南米 (サンパウロ)、およびカナダ (中部) の AWS リージョンでご利用いただけるようになりました。

OpenSearch Service では、OpenSearch Service でのインデックスの維持に加えて、外部データのクエリに必要なコンピューティング (OpenSearch Compute Units として) についてのみ別途料金が発生します。詳細については、「Amazon OpenSearch Service の料金」をご覧ください。

お試しいただき、AWS re:Post for Amazon OpenSearch Service、または通常の AWS サポート窓口までフィードバックをお送りください。

Channy

原文はこちらです。