セキュリティ

Amazon Security Lake で構築するセキュリティデータレイク - OCSF 形式での統合分析

Security Lake による CloudTrail、VPC フローログ、Route 53 ログの自動集約、OCSF 正規化、サブスクライバーとの統合を解説します。

約 1 分で読めます

Security Lake の概要

Security Lake は AWS とサードパーティのセキュリティデータを自動的に集約・正規化するサービスです。従来、セキュリティ分析のためには CloudTrail ログ、VPC フローログ、GuardDuty の検出結果をそれぞれ個別に収集・変換する必要がありましたが、Security Lake はこれらを OCSF 形式に自動変換して S3 ベースのデータレイクに集約します。データは Apache Iceberg テーブル形式で保存され、Athena から SQL で直接クエリできます。

データソースと OCSF 正規化

Security Lake は 8 種類の AWS ネイティブデータソース (CloudTrail 管理イベント、CloudTrail データイベント、VPC フローログ、Route 53 リゾルバーログ、Security HubLambda 実行ログ、EKS 監査ログ、WAF ログ) を自動収集します。サードパーティのデータソース (CrowdStrike、Palo Alto Networks など) もカスタムソースとして追加できます。OCSF は異なるソースのセキュリティイベントを統一スキーマに変換するオープンフレームワークで、ソースに関係なく同じカラム名・データ型でクエリできます。

サブスクライバーと分析

サブスクライバーはデータレイクのデータにアクセスする消費者です。データアクセスサブスクライバーは S3 上のデータに直接クエリでき、 AthenaRedshift Spectrum で分析します。クエリアクセスサブスクライバーは新しいデータが到着した際に SQS 通知を受け取り、リアルタイムの分析パイプラインを構築できます。 Splunk や Datadog などの SIEM ツールをサブスクライバーとして設定し、既存のセキュリティ運用ツールに Security Lake のデータを統合できます。 Security Lake の理解をさらに深めたい場合はAmazon の専門書も活用できます。

Security Lake の料金

Security Lake の料金はデータの取り込み量と保存量で構成されます。AWS ネイティブソースからのデータ取り込みは 1 GB あたり約 0.75 ドルで、S3 ストレージ料金が別途発生します。Apache Iceberg 形式で保存されるため、Athena でのクエリは S3 のスキャン量に基づく料金 (1 TB あたり約 5 ドル) です。データの保持期間をリージョンごとに設定し、古いデータを自動的に Glacier に階層化することでストレージコストを削減できます。Organizations 全体で有効化する場合、ログ量の多いアカウントから段階的に導入し、コストを確認しながら展開する方法が推奨されます。

まとめ

Security Lake は AWS のセキュリティデータを OCSF 形式で自動集約するデータレイクサービスです。Organizations 統合で組織全体のセキュリティデータを一元化し、Athena や SIEM ツールで横断的な分析を実現します。セキュリティ運用の基盤として、大規模組織に特に有効です。

関連するサービス

Amazon Security Lakeセキュリティデータを OCSF 形式で一元集約するデータレイクサービスAmazon AthenaS3 上のデータを SQL で直接分析できるサーバーレスクエリサービスAWS Security HubAWS 環境のセキュリティ状態を一元管理し、ベストプラクティスへの準拠を自動チェックするサービス

関連する記事

Amazon Detective でセキュリティインシデントを調査 - グラフ分析による根本原因の特定Detective による GuardDuty 検出結果の調査、エンティティプロファイル、行動グラフの活用を解説します。AWS AppFabric で SaaS 監査ログを集約 - OCSF 標準化と Security Lake 統合AppFabric による SaaS アプリケーションの監査ログ収集、OCSF 形式への標準化、分析パイプラインの構築を解説します。BI ダッシュボード可視化 - Amazon QuickSight で実現するデータドリブンな意思決定基盤Amazon QuickSight によるインタラクティブな BI ダッシュボードの構築と、Athena との連携によるサーバーレスデータ分析基盤を解説します。SPICE エンジンによる高速可視化と組織全体へのインサイト共有の実践手法を紹介します。

同じテーマの記事

IAM Access Analyzer で検出する過剰なアクセス権限 - 外部アクセスと未使用権限の分析IAM ロールの未使用権限を CloudTrail ベースで検出し、最小権限ポリシーを自動生成する。外部アクセスの検出と CI/CD へのカスタムポリシーチェック組み込みまでを解説します。AWS Certificate Manager で自動化する SSL/TLS 証明書管理 - 発行からローテーションまでACM によるパブリック証明書の無料発行、DNS 検証、自動更新、ALB ・ CloudFront へのデプロイを解説します。AWS Artifact でコンプライアンスレポートを取得 - 監査対応と契約管理SOC・PCI DSS・ISO の監査レポートをオンデマンドで取得し、BAA や GDPR DPA を Organizations 全体に一括適用する手順を紹介します。監査の自動化 - AWS Audit Manager でコンプライアンス証跡を継続的に収集するAWS Audit Manager を使った監査証跡の自動収集を解説。フレームワーク (SOC 2、PCI DSS、GDPR 等) に基づく自動評価、エビデンスの一元管理、監査レポートの生成を紹介します。AWS アカウント ID の 12 桁に隠された構造 - なぜ 12 桁なのか、何が読み取れるのかAWS アカウント ID が 12 桁の数字である理由、ARN の構造に埋め込まれた設計意図、アカウント ID から推測できる情報とセキュリティ上の注意点を雑学的に解説します。AWS アカウントのルートユーザーはなぜ危険なのか - 権限分離の設計思想と封印の実践AWS ルートユーザーが IAM では制限できない特権を持つ理由、ルートユーザーでしかできない操作の一覧、MFA の設定方法、Organizations のルートアクセス管理による封印戦略を解説します。証明書管理と HTTPS 化 - AWS Certificate Manager による TLS 証明書の自動運用AWS Certificate Manager (ACM) を使った TLS/SSL 証明書の発行・自動更新・デプロイを解説。CloudFront ・ ALB ・ API Gateway との統合、DNS 検証、プライベート CA の活用まで紹介します。AWS CloudHSM で実現する専用鍵管理 - FIPS 140-2 Level 3 準拠の暗号化専有の HSM インスタンスで FIPS 140-2 Level 3 準拠の鍵管理を実現する。KMS との使い分けと、KMS カスタムキーストアによる両者の統合を紹介します。

内容が近い記事・サービス

Amazon Security LakeCloudTrail、VPC Flow Logs、Route 53 Resolver ログなどのセキュリティデータを OCSF 形式で自動正規化し、S3 ベースのセキュリティデータレイクに一元集約するサービスAWS AppFabric で SaaS 監査ログを集約 - OCSF 標準化と Security Lake 統合AppFabric による SaaS アプリケーションの監査ログ収集、OCSF 形式への標準化、分析パイプラインの構築を解説します。AWS AppFabricSaaS アプリケーションのセキュリティログを OCSF 形式に正規化し、一元的な監査とセキュリティ分析を実現するサービスセキュリティポスチャー管理 - AWS Security Hub で実現する統合セキュリティ監視基盤AWS Security Hub による統合セキュリティ監視と、GuardDuty との連携による脅威検知の自動化を解説します。セキュリティベストプラクティスへの準拠状況の可視化とマルチアカウント環境のセキュリティガバナンスを紹介します。