20231025_HibiyaTech#1_SecurityLake

Transcript

1. Amazon Security Lakeのサブスクライバーにつ いて熱く語りたい
 1

2. 2 自己紹介 • 名前
 ◦ 芦沢広昭 / あしざわひろあき
 • 業務歴


   ◦ < 2018/4 〜 2021/8>
 インフラエンジニアとして運用保守を担当
 AWSは業務未経験
 ◦ < 2021/9〜 >
 クラスメソッドに入社、SAになる
 AWSにめっちゃ触れる
 • 趣味
 ◦ 筋トレ
 • 近況
 ◦ re:Invent楽しみ


3. 3 本日の主役


4. 4 アジェンダ • 私とAmazon Security Lakeとの出逢い
 • Amazon Security Lakeの概要


   • サブスクライバー機能の紹介
 • まとめ


5. 5 伝えたいこと • 「AWSサービスを好きになる」とは、何なのか • 「Amazon Secuirty Lakeがいい感じだ」ということ

6. 6 アジェンダ • 私とAmazon Security Lakeとの出逢い
 • Amazon Security Lakeの概要


   • サブスクライバー機能の紹介
 • まとめ


7. 7 現地参戦したre:Invent2022にて 現地時間 2022年11月29日@米国ネバダ州ラスベガス
 Adam Selipsky Keynoteにて、プレビュー版が発表される


8. 8 当時の私の気持ち ❖ とりあえずセッション行ってみるか！
 ➢ 👨「凄そうだけど、使い所がよく分からん！」
 ❖ 当初はプライベートプレビューで発表された
 ➢ 👨「パブリックプレビューになったら使ってみるか...」


   → 特に強い想い、なし


9. 9 その後、時は経て 2023年5月31日、GA（一般利用開始）される
 
 引用: https://dev.classmethod.jp/articles/amazon-security-lake-ga/ GAの1ヶ月程前にパブリックプレビューになっていることに気が つき、少し触り始めていた私
 GAブログ書いたら
 なんか気になってきた

   


10. 10 その後、ブログで検証・登壇で紹介 そこはかとなく
 好きになってきた


11. 11 もっと、その先へ • 案件で検証をする機会が出てくる
 ◦ AWS Control Tower環境でのSecurity Lakeを利用し たログ可視化の検証


    ◦ まだ検証段階だが、より気になる存在に
 • 公開されている日本国内での活用事例が
 あまりない
 ◦ Gunosy様のSecurity Hub可視化での
 活用事例をみて感銘を受け続けている
 
 → 自分もこんな活用事例を出してみたい！という モチベーションに
 もっと
 触っていきたい！
 → 今ここです


12. 12 テーマに選んだ理由
 私自身がAmazon Security Lakeを
 もっと好きになりたい！！！


13. 13 （補足） 好きなAWSサービスランキング Amazon Security Lake AWS Control Tower その他の

    AWSサービス

14. 14 好きなAWSサービスランキング 最推しサービスであ る所以よね AWS Control Tower関連 アウトプットの合計: 12本

15. 15 アジェンダ • 私とAmazon Security Lakeとの出逢い
 • Amazon Security Lakeの概要


    • サブスクライバー機能の紹介
 • まとめ


16. Amazon Security Lakeは、フルマネージド型のセキュリティデータレイクサービスです。Security Lake を使用すると、AWS環境、SaaS プロバイダー、オン プレミス、クラウドソース、サードパーティソースからのセキュリティデータを、専用のデータレイクに自動的に一元化し、自分に保存できます。AWS アカウ ントSecurity Lake

    はセキュリティデータの分析に役立つため、組織全体のセキュリティ体制をより完全に理解できます。Security Lake を使用すると、ワー クロード、アプリケーション、およびデータの保護を強化することもできます。 
 データレイクは Amazon シンプルストレージサービス (Amazon S3) バケットによって支えられており、データの所有権はお客様が保持します。 
 Security Lake は、AWS のサービス統合サービスやサードパーティサービスからのセキュリティ関連のログとイベントデータの収集を自動化します。また、 カスタマイズ可能な保存設定とレプリケーション設定により、データのライフサイクルを管理するのにも役立ちます。Security Lake は、取り込まれたデータ を Apache Parquet 形式と、オープンサイバーセキュリティスキーマフレームワーク (OCSF) と呼ばれる標準のオープンソーススキーマに変換します。 OCSF のサポートにより、Security Lake AWS は幅広いエンタープライズセキュリティデータソースからのセキュリティデータを正規化し、組み合わせます。 
 AWS のサービス他のサービスやサードパーティのサービスは、Security Lake に保存されているデータをサブスクライブして、インシデント対応やセキュリ ティデータ分析を行うことができます。 
 
 16 Amazon Security Lakeとは？ 引用: https://docs.aws.amazon.com/ja_jp/security-lake/latest/userguide/what-is-security-lake.html

17. Amazon Security Lakeは、 フルマネージド型のセキュリティデータレイクサービスです。Security Lake を使用すると、AWS環境、SaaS プロバイ ダー、オンプレミス、クラウドソース、サードパーティソースからの セキュリティデータを、専用のデータレイクに自動的に一元化 し、自分に保存できます。

    AWS アカウントSecurity Lake はセキュリティデータの分析に役立つため、組織全体のセキュリティ体制をより完全に理解できます。Security Lake を使用 すると、ワークロード、アプリケーション、およびデータの保護を強化することもできます。 
 データレイクは Amazon シンプルストレージサービス (Amazon S3) バケットによって支えられており、データの所有権はお客様が保持します。 
 Security Lake は、AWS のサービス統合サービスやサードパーティサービスからのセキュリティ関連のログとイベントデータの収集 を自動化します。また、カスタマイズ可能な保存設定とレプリケーション設定により、データのライフサイクルを管理するのにも役立ちます。Security Lake は、取り込まれたデータを Apache Parquet 形式と、オープンサイバーセキュリティスキーマフレームワーク (OCSF) と呼ばれる標準の オープ ンソーススキーマに変換します。OCSF のサポートにより、Security Lake AWS は幅広いエンタープライズセキュリティデータソースからのセキュリティ データを正規化し、組み合わせます。 
 AWS のサービス他のサービスやサードパーティのサービスは、 Security Lake に保存されているデータをサブスクライブして、インシデント対 応やセキュリティデータ分析を行うことができます。 
 
 17 Amazon Security Lakeとは？ 引用: https://docs.aws.amazon.com/ja_jp/security-lake/latest/userguide/what-is-security-lake.html

18. 18 要するに... セキュリティログを分析するための データレイク環境が簡単に手に入る マネージドサービス

19. 19 Amazon Security Lakeのサービス全体像 引用: 第二十六回 ちょっぴりDD Security Lakeではじめる簡易なSIEM |

    PDF資料

20. 20 Amazon Security Lakeの主要な機能 1. セキュアなデータレイク環境の自動構築
 ➢ サービスの有効化
 2. セキュリティログの自動収集および正規化


    ➢ ソース管理
 3. 保存したログへのセキュアなアクセス経路の提供
 ➢ サブスクライバー管理


21. 21 Amazon Security Lakeの主要な機能 1. セキュアなデータレイク環境の自動構築
 ➢ サービスの有効化
 2. セキュリティログの自動収集および正規化


    ➢ ソース管理
 3. 保存したログへのセキュアなアクセス経路の提供
 ➢ サブスクライバー管理 ← 本日重点的に話すこと


22. 22 1.サービスの有効化 以下の手順で、簡単にデータレイクが構築できる
 
 1. 委任管理者の設定
 2. 収集目標 (ログのソース、リージョン、アカウント)の定義
 3.

    ターゲット目標(S3ストレージの設定)の定義
 4. 設定確認とサービスの有効化


23. 23 Amazon Security Lakeのサービス全体像(再掲) 引用: 第二十六回 ちょっぴりDD Security Lakeではじめる簡易なSIEM |

    PDF資料

24. 24 2.ソース管理 • データの収集
 ◦ AWSサービスから
 ▪ CloudTrail管理イベント、データ(S3、Lambda)イベント
 ▪ VPC

    Flow Logs、Route53 Resolver クエリログ
 ▪ Security Hub検出結果
 ◦ カスタムソースから
 ▪ 3rd Partyの任意のソース
 • スキーマ変換
 ◦ OCSF(Open Cybersecurity Schema Framework) & Apache Parquet にログ保存時に自動変換


25. 25 3. サブスクライバー管理


26. 26 サブスクライバーとは？ ここでいう「サブスクライバー（Subscriber）」 は、
 ※直訳で「購読者
 
 異なるアカウントにあるAWSサービスや3rd Party製品に
 以下の権限を許可すること
 •

    S3に保存されるログデータの同期
 • S3に既に保存されているログデータへのクエリ
 
 のことを指します


27. 27 利用できるサブスクライバー • データアクセス（ログデータの同期）
 ◦ HTTPSエンドポイント経由のログ配信
 ◦ SQSキュー経由のログ配信
 • クエリアクセス（ログデータへのクエリ）


    ◦ RAMを利用したAthenaテーブル(Glue Data Catalog)の共有


28. 28 サブスクライバーの全体概要図

29. 29 サブスクライバーの設定方法 マネジメントコンソールだと1ページ！
 以下の情報を埋めていくだけ
 • サブスクライバー名と説明
 • 取得対象のログのイベントソース
 ◦ ※前述したもの

    (CloudTrailなど) 
 • データアクセス方法
 ◦ S3
 ◦ Lake Formation
 • サブスクライバーの認証情報
 ◦ AWSアカウントID
 ◦ 外部キー
 • 通知の詳細(S3のみ)
 ◦ SQS
 ◦ サブスクリプションエンドポイント


30. 30 パターン1: データアクセス / HTTPSエンドポイント

31. 31 パターン2: データアクセス / SQSキュー

32. 32 パターン3: クエリアクセス / Athenaテーブル

33. 33 つまり何が言いたいのか サブスクライバー設定のおかげで、
 データの共有やアクセス管理を
 AWSマネージドかつセキュアに運用できる！


34. 34 まとめ • アウトプットを続けるといつの間にか推しサービスが出来 上がる
 • Amazon Security Lakeはマネージドなセキュリティデータ レイクが構築・管理できるサービス


    • サブスクライバー設定によって、データへのアクセスをセ キュアに運用できる


35. 35 次回予告 AWS Control Towerを利用した
 マルチアカウント環境でのAmazon Security Lakeの
 活用方法を考えてみた


36. 36