Amazon Security Lake を Amazon EKS で使用する

Amazon Security Lake は、Amazon EKS を含むさまざまなソースからのセキュリティデータを一元化するフルマネージドのセキュリティデータレイクサービスです。Amazon EKS を Security Lake と統合することで、Kubernetes リソースで実行されるアクティビティに関するより深いインサイトを入手し、Amazon EKS クラスターのセキュリティ体制を強化することができます。

注記

Amazon EKS で Security Lake を使用する方法、およびデータソースを設定する方法の詳細については、Amazon Security Lake のドキュメントを参照してください。

Security Lake を Amazon EKS で使用する利点

セキュリティデータを一元化 - Security Lake は、Amazon EKS クラスターのセキュリティデータを、他の AWS のサービス、SaaS プロバイダー、オンプレミスソース、サードパーティーソースのデータとともに、自動的に収集して一元化します。これにより、組織全体のセキュリティ体制を包括的に把握することができます。

標準化されたデータ形式 — Security Lake は、収集したデータを標準的なオープンソースのスキーマである Open Cybersecurity Schema Framework (OCSF) 形式に変換します。この標準化により、分析が容易になり、他のセキュリティツールやサービスとの統合が可能になります。

脅威検出の向上 — Amazon EKS コントロールプレーンのログを含む一元化されたセキュリティデータを分析することで、Amazon EKS クラスター内の疑わしいアクティビティをより効果的に検出することができます。これにより、セキュリティインシデントをすみやかに特定し、対応することができます。

データ管理の簡素化 — Security Lake は、カスタマイズ可能な保持とレプリケーションの設定によって、セキュリティデータのライフサイクルを管理します。これにより、データ管理のタスクが簡素化され、コンプライアンスや監査に必要なデータを確実に保持することができます。

Amazon EKS の Security Lake の有効化

Amazon EKS で Security Lake の使用を開始するには、以下のステップに従います。

1. EKS クラスターの Amazon EKS コントロールプレーンログ記録を有効にします。詳細な手順については、「コントロールプレーンログの有効化と無効化」を参照してください。

2. Amazon EKS 監査ログを Security Lake のソースとして追加します。次に、Security Lake が、EKS クラスターで実行中の Kubernetes リソースで行われたアクティビティの詳細情報の収集を開始します。

3. 要件に基づいて、Security Lake のセキュリティデータの保持とレプリケーションを設定します。

4. Security Lake に保存されている標準化された OCSF データは、インシデント対応、セキュリティ分析、その他の AWS のサービスやサードパーティーツールとの統合に使用できます。例えば、Amazon OpenSearch Ingestion を使用して Amazon Security Lake のデータからセキュリティインサイトを生成することができます。

Security Lake の EKS ログの分析

Security Lake は EKS ログイベントを OCSF 形式に標準化し、データの分析や、他のセキュリティイベントとの関連付けを簡単に行えるようにします。標準化されたデータは、Amazon Athena、Amazon QuickSight、サードパーティーのセキュリティ分析ツールなどさまざまなツールやサービスを使ってクエリしたり、可視化したりできます。

EKS ログイベントの OCSF マッピングに関する詳細は、OCSF GitHub リポジトリの「mapping reference」を参照してください。