Amazon Security Lake とは何ですか? - Amazon Security Lake
Security Lakeの概要Security Lake の特徴Security Lakeへのアクセス関連サービス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Security Lake とは何ですか?

Amazon Security Lake は、完全マネージド型のセキュリティデータレイクサービスです。Security Lake を使用すると、AWS 環境、SaaS プロバイダー、オンプレミス、クラウド ソース、サードパーティ ソースからのセキュリティ データを、AWS アカウント に保存される専用のデータ レイクに自動的に一元化できます。Security Lake はセキュリティデータの分析に役立つため、組織全体のセキュリティ体制をより完全に把握できます。Security Lake を使用すると、ワークロード、アプリケーション、データの保護を強化することもできます。

データレイクは、Amazon Simple Storage Service (Amazon S3) バケットに支えられており、データの所有権はお客様が保持します。

Security Lake は、統合AWS のサービスや第三者サービスからのセキュリティ関連のログやイベントデータの収集を自動化します。また、保存とレプリケーションの設定をカスタマイズできるため、データのライフサイクル管理にも役立ちます。Security Lake は、取り込んだデータを Apache Parquet 形式とOCSF (OCSF) と呼ばれる標準のオープンソーススキーマに変換します。OCSF サポートにより、Security Lake は AWS からのセキュリティ データと幅広いエンタープライズ セキュリティ データ ソースを正規化して結合します。

他のAWS のサービスやサードパーティのサービスが Security Lake に保存されているデータをサブスクライブして、インシデント対応やセキュリティデータ分析を行うことができます。

Security Lakeの概要

Amazon Security Lake データレイクの概要図は、Security Lake がアカウントに自動的にセキュリティデータレイクを構築する方法を示しています。

Security Lake の特徴

Security Lake がセキュリティ関連のログとイベントデータを一元化、管理、登録するのに役立つ主な方法をいくつか紹介します。

アカウントへのデータ集約

Security Lake は、アカウントに専用のセキュリティデータレイクを作成します。Security Lake は、アカウントやリージョンのクラウド、オンプレミス、カスタムデータソースからログやイベントデータを収集します。データレイクは、Amazon Simple Storage Service (Amazon S3) バケットに支えられており、データの所有権はお客様が保持します。

サポートされているさまざまなログソースとイベントソース

Security Lake は、オンプレミスAWS のサービス、第三者のサービスを含む複数のソースからセキュリティログとイベントを収集します。ログを取り込んだ後は、ソースに関係なく、ログに一元的にアクセスしてライフサイクルを管理できます。Security Lake がログとイベントを収集するソースの詳細については、Amazon Security Lake でのソース管理を参照してください。

データ変換と正規化

また、ネイティブにサポートされている AWS のサービス から Open Cybersecurity Schema Framework (OCSF) オープンソース スキーマにデータを変換します。また、ネイティブにサポートされている AWS のサービス から Open Cybersecurity Schema Framework (OCSF) オープンソース スキーマにデータを変換します。これにより、後処理を必要とせずに他のAWS のサービスや第三者プロバイダーとデータとの互換性が保たれます。Security Lake はデータを正規化するため、多くのセキュリティソリューションがこのデータをparallel 使用できます。

サブスクライバーには複数のアクセスレベルがあります。

サブスクライバーは、Security Lake に保存されているデータを使用します。サブスクライバーのデータへのアクセスレベルを選択できます。サブスクライバーは、指定したソースおよび AWS リージョン 内のデータのみを使用できます。新しいオブジェクトがデータレイクに書き込まれると、サブスクライバーに自動的に通知される場合があります。または、サブスクライバーはデータレイクからデータをクエリできます。Security Lake は必要な認証情報を自動的に作成し、Security Lake とサブスクライバーの間で交換します。

マルチアカウントおよびマルチリージョンデータ管理

Security Lake は、利用可能なすべてのリージョンや複数のAWS アカウント全体で一元的に有効にできます。Security Lake では、ロールアップリージョンを指定して、複数のリージョンのセキュリティログとイベントデータを統合することもできます。これにより、データレジデンシーのコンプライアンス要件に準拠しやすくなります。

設定とカスタマイズが可能

Security Lake は設定可能でカスタマイズ可能なサービスです。ログ収集を設定するソース、アカウント、リージョンを指定できます。データレイクへのサブスクライバーのアクセスレベルも指定できます。

データライフサイクルの管理と最適化

Security Lake は、カスタマイズ可能な保持設定でデータのライフサイクルを管理し、自動ストレージ階層化によりストレージコストを管理します。Security Lake は、受信するセキュリティデータを自動的に分割し、ストレージとクエリ効率の高い Apache Parquet 形式に変換します。

Security Lakeへのアクセス

Security Lake を使用できるリージョンのリストについては、Amazon Security Lake リージョンおよびエンドポイント を参照してください。リージョンの詳細については、AWS 全般のリファレンスの「AWSサービスエンドポイント」を参照してください。

各リージョンでは、次のいずれかの方法で Security Lake にアクセスして使用できます。

AWS Management Console

AWS Management Console は、AWS リソースの作成と管理に使用できるブラウザベースのインターフェイスです。Security Lake コンソールでは、Security Lake アカウントとリソースにアクセスできます。Security Lake のほとんどのタスクは、Security Lake コンソールを使用して実行できます。

Security Lake API

Security Lake にプログラムでアクセスするには、Security Lake API を使用し、HTTPS リクエストをサービスに直接発行します。詳細については、「 Security Lake API リファレンス」を参照してください。

AWS Command Line Interface (AWS CLI)

AWS CLIを使用すると、システムのコマンドラインでコマンドを発行して Security Lake のタスクを実行できます。コマンドラインを使用すると、コンソールを使用するよりも高速で便利になります。コマンドラインツールは、タスクを実行するスクリプトを作成する場合にも便利です。AWS CLI のインストールおよび使用の詳細については、AWS Command Line Interface を参照してください。

AWS SDK

AWS は、Java、Go、Python、C++、.NET など、さまざまなプログラミング言語およびプラットフォーム用のライブラリとサンプル コードで構成される SDK を提供します。SDK は、Security Lake および他の AWS のサービス への便利なプログラムによるアクセスを提供します。SDK は、暗号署名によるリクエスト、エラーの管理、リクエストの自動再試行などのタスクも処理します。AWS SDK のインストールと使用の詳細については、「AWS での構築ツール」を参照してください。

Security Lake が使用するその他のAWS のサービスは次のとおりです。

  • Amazon EventBridge — Security Lakeは、オブジェクトがデータレイクに書き込まれると、EventBridge を使用してサブスクライバーに通知します。

  • AWS Glue— Security Lake はAWS Glueクローラーを使用してAWS Glue Data Catalogテーブルを作成し、新しく書き込まれたデータをデータカタログに送信します。Security Lake は、Data Catalog 内のAWS Lake Formationテーブルのパーティションメタデータも保存します。

  • AWS Lake Formation— Security Lakeは、Security Lakeにデータを提供するソースごとに個別のレイクフォーメーションテーブルを作成します。Lake Formation テーブルには、スキーマ、パーティション、データの場所の情報など、各ソースからのデータに関する情報が含まれています。サブスクライバーは、Lake Formation テーブルにクエリを実行してデータを利用することができます。

  • AWS Lambda— Security Lake は Lambda 関数を使用して、生データの抽出、変換、ロード (ETL) ジョブをサポートし、AWS Glue にソース データのパーティションを登録します。

  • Amazon S3 — Security Lakeはデータを Amazon S3 オブジェクトとして保存します。ストレージクラスと保存設定は Amazon S3 サービスに基づいています。Security Lake は、Amazon S3 Select をサポートしていません。

Security Lake は、以下のAWS のサービスに加えてカスタムソースからデータを収集します。

  • AWS CloudTrail管理とデータイベント (S3、Lambda)

  • Amazon Route 53 Resolver クエリログ

  • AWS Security Hub の検出結果

  • Amazon Virtual Private Cloud (Amazon VPC) フローログ

これらのソースの詳細については、「AWS サービスからのデータ収集」を参照してください。OCSF スキーマのデータを読み取ることができるサブスクライバーを作成することで、セキュリティデータレイクの Amazon S3 オブジェクトを使用できます。Amazon Athena、Amazon Redshift、AWS Glueと統合されたサードパーティのサブスクリプションサービスを使用してデータをクエリすることもできます。