Slide 1
Slide 1 text
Amazon Security Lake
サービス概要
2023/06/08
AWS事業本部 コンサルティング部
平木 佳介
1
Slide 2
Slide 2 text
2
アジェンダ
1. AWS Security Hub vs. Amazon Security Lake
2. Amazon Security Lake とは
3. Amazon Security Lake の各機能
4. 実装例
5. デモ
6. 参考
Slide 3
Slide 3 text
3
AWS Security Hub vs. Amazon Security Lake
Slide 4
Slide 4 text
4
AWS Security Hub vs. Amazon Security Lake
Security Hub のアーキテクチャ
Slide 5
Slide 5 text
5
AWS Security Hub vs. Amazon Security Lake
Security Lake のアーキテクチャ
Slide 6
Slide 6 text
6
Amazon Security Lake とは
Slide 7
Slide 7 text
7
Amazon Security Lake とは
- フルマネージド型のセキュリティ データ レイク サービス
- クラウド、オンプレミス、サードパーティ ソースからのセキュリティ データを、
AWS アカウント内にある専用のデータ レイクに自動的に保存管理する仕組み
を一元化できる
- 取り込まれたデータは、Apache Parquet 形式とOpen Cyber security Schema
Framework (OCSF) と呼ばれる標準のオープンソース スキーマに変換して保
存されます。
→ データの正規化を自動でセットアップ
- 他のAWSサービスやサードパーティサービスを使用し、Security Lakeに保存さ
れたデータをサブスクライブできます。
Slide 8
Slide 8 text
8
Amazon Security Lake とは
構成例
- サポートされているソースから
Security Lake へログとイベントを
データレイク(S3)へ収集が可能
- リージョン全体や指定の
リージョンから収集も可能
Slide 9
Slide 9 text
9
Amazon Security Lake とは
Organizations環境下の構成例
- Organizationsと統合すること
で複数アカウントから集約する
ことも可能
Slide 10
Slide 10 text
10
Amazon Security Lake の各機能
Slide 11
Slide 11 text
11
Amazon Security Lake の各機能
- ソース
- サブスクライバー
- リージョン
- カスタムソース
Slide 12
Slide 12 text
12
Amazon Security Lake の各機能 - ソース
- 収集するソースを選択可能
- 下記ソースからログを収集
- CloudTrail
- Management events
- Lambda data events
- S3 data events
- VPC Flow Logs
- Route 53 Resolver
- Security Hub
- 後からリージョンを指定して
有効化/無効化が可能。
Slide 13
Slide 13 text
13
Amazon Security Lake の各機能 - サブスクライバー
- データレイク(S3)に新しいオブジェクトが作成されたことをトリガーにデータアクセス
と クエリアクセス の2種類のサブスクライバーアクセス権をサポート
- データアクセス: SQSキュー、HTTPエンドポイント経由でデータレイクへのアクセ
スが可能
- クエリアクセス: S3 バケット内の AWS Lake Formation テーブルから Athena 等を
使用してクエリ経由でアクセスが可能。
Slide 14
Slide 14 text
14
Amazon Security Lake の各機能 - リージョン
- データを収集したいリージョンを後から追加可能。
収集したい各リージョン毎にS3バケットが作成・収集されますが、
ロールアップリージョンと呼ばれる機能で1つのリージョンへ集約可能です。
サポートされているリージョンはこちらから参照ください。
https://docs.aws.amazon.com/general/latest/gr/securitylake.html
2023年6月7日現在は、
東京リージョンは利用可、大阪リージョンは利用不可
Slide 15
Slide 15 text
15
Amazon Security Lake の各機能 - カスタムソース
- サードパーティのセキュリティ関連のログをデータレイクに収集するようにカスタム
データソースを構成可能。
- カスタムソースを設定すると次の処理が行われる
- データレイク(S3)内のソースに一意のプレフィックスを提供
- カスタム ソースがデータ レイクにデータを書き込むことを許可するIAMロー
ルを作成
- カスタムソースが書き込むオブジェクトを整理するための AWS Lake
Formation テーブルの作成
- AWS Glue クローラーをセットアップしてソースデータを分割し、テーブルを
データカタログに追加
Slide 16
Slide 16 text
16
実装例
Slide 17
Slide 17 text
17
実装例
Quicksightによる
ダッシュボードの実装
OpenSearch Serviceによる
ログの可視化
Slide 18
Slide 18 text
18
デモ
Slide 19
Slide 19 text
19
デモ
1. Security Lake の有効化
2. Athena を利用したログクエリ
Slide 20
Slide 20 text
20
参考
Slide 21
Slide 21 text
21
参考
https://dev.classmethod.jp/articles/amazon-security-lake-ga/ https://www.youtube.com/watch?v=-c4oU9VpQLs
https://pages.awscloud.com/rs/112-TZM-766/images/20230126_2
6th_ISV_DiveDeepSeminar_Amazon_Security_Lake.pdf
Slide 22
Slide 22 text
22
参考 - その他
ドキュメント
- What is Amazon Security Lake? | AWS公式ドキュメント
https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-securi
ty-lake.html
- Amazon Security Lake FAQs | AWS公式ドキュメント
https://aws.amazon.com/jp/security-lake/faqs/?nc1=h_ls
AWSサンプル
- Amazon Security Lake との統合 | GitHub
https://github.com/aws-samples/siem-on-amazon-opensearch-service/blob
/main/docs/securitylake_ja.md
Slide 23
Slide 23 text
23