Amazon Security Lake の特徴

Security Lake は、アカウントに専用のセキュリティデータレイクを作成します。Security Lake は、アカウントとリージョン全体で、クラウド、オンプレミス、およびカスタムデータソースからログとイベントデータを収集します。このサービスは、収集したログを Amazon Simple Storage Service (S3) バケットに保存するため、データのコントロールと所有権を保持できます。

Security Lake は、以下のサービスのログを自動的に収集します。

• AWS CloudTrail
• Amazon Virtual Private Cloud (VPC)
• Amazon Route 53
• Amazon Simple Storage Service (S3)
• AWS Lambda
• Amazon Elastic Kubernetes Service (EKS)
• AWS ウェブアプリケーションファイアウォール (WAF)

また、AWS Security Hub を通じて、次のサービスのセキュリティに関する検出結果を収集します:

• AWS Config
• AWS Firewall Manager
• Amazon GuardDuty
• AWS Health
• AWS Identity and Access Management (IAM) Access Analyzer
• Amazon Inspector
• Amazon Macie
• AWS Systems Manager Patch Manager

Security Lake は、AWS ログとセキュリティの検出結果を OCSF に自動的に正規化します。サードパーティーのセキュリティソリューションからのデータと、OCSF 形式に変換した内部アプリケーションまたはネットワークインフラストラクチャからのログなどのカスタムデータを追加できます。OCSF のサポートにより、Security Lake はセキュリティデータを一元化、変換し、任意の分析ツールで利用できるようにします。

サービスが利用可能な複数のリージョン、および複数の AWS アカウントで Amazon Security Lake を有効にできます。リージョンごとにアカウント全体のセキュリティデータを集約したり、複数のリージョンからのセキュリティデータをロールアップリージョンに統合したりできます。Security Lake のロールアップリージョンは、リージョンレベルのコンプライアンス要件を遵守するのに役立ちます。

Security Lake を使用すると、セキュリティツールや分析ツールのデータレイクへのアクセスを簡単に設定できます。例えば、CloudTrail などの特定のソースからのデータセットへのアクセス権のみを付与することを選択できます。アクセスには、新しいオブジェクトがデータレイクに書き込まれたときに通知を発行するデータアクセスと、セキュリティデータレイクに保存されているデータをツールでクエリできるクエリアクセスの 2 つのモードがあります。

Security Lake はカスタマイズ可能な保持設定によりデータのライフサイクルを、自動ストレージ階層化によりストレージコストを管理します。Security Lake は、受信したセキュリティデータを自動的にパーティショニングして、ストレージ効率の高い (そしてクエリ効率も高い) Apache Parquet 形式に変換します。 Security Lake では AWS Glue カタログの Apache Iceberg テーブルがサポートされているため、分析ツールを簡単に移行してクエリ実行のパフォーマンスを向上できます。

AWS AppFabric は SaaS アプリケーションの監査ログを OCSF 形式に自動的に正規化し、正規化された OCSF データをセキュリティレイクに配信します。Security Lake と AppFabric を組み合わせることで、主要なデータソースにわたるセキュリティデータを簡単に集約、正規化、可視化できます。AppFabric と Security Lake の統合では、データの正規化やデータインジェストに関連する料金は発生しません。AppFabric の基本料金が適用されます。