AWS re:Invent 2022 北原参加記録その③～新サービス：Amazon Security Lakeについて～

この記事は AWS Community Builders Advent Calendar 2022
15 日目の記事です。

※AWS Community Buildersについてはこちらをご覧ください。 aws.amazon.com

はじめに

こんにちは！クラウドインテグレーション事業部
北原雅人(Kitahara Masato)です！

ラスベガスで11月28日(月)～12月2日(金)まで開催されておりました
AWS re:Invent 2022の参加記録をブログでまとめていきます。

今回はAWS re:Invent 2022で新しく発表のあった
「Amazon Security Lake」について記事にしていきたいと思います。

新サービス：Amazon Security Lakeの発表

「Amazon Security Lake」はAWS CEOのAdam Selipsky氏の
キーノートにて発表のあったAWSの新サービスの1つです。

「Amazon Security Lake」は
　AWSやその他クラウド、オンプレミスのインフラストラクチャ、
　ファイアウォール、およびエンドポイントセキュリティの
　ソリューションからデータを含めたあらゆるセキュリティログを
　集約・管理し、分析や利用のアクセスを提供する
　データレイクのマネージドサービスです

「Amazon Security Lake」は、CloudTrail や Lambdaや、
　AWS Security Hub、GuardDuty、AWS Firewall Manager等の
　AWSのセキュリティサービスからデータを集約します。

Adam氏の発表では
「セキュリティに関連するデータは通常はアプリケーション、
　ファイアウォール、および ID プロバイダーから環境全体に分散しています。
　ビジネスに対する組織的な悪意のある活動などの挙動を
　明らかにするためには、これらすべてのデータを収集して集約し、
　脅威検出、調査、インシデント対応をサポートするために、
　使用するすべての分析ツールにアクセスできるようにし、
　データを保持する必要があります。パイプラインが更新され、
　イベントの進化に合わせて継続的に実行されます。
　つまり、データの保存、分析、セキュリティに関連する傾向の理解、
　セキュリティデータからの洞察の生成を容易にするツールが
　本当に求められているということです」と話がありました。

「Amazon Security Lake」の詳細については以下のセッションをご参照下さい。

www.youtube.com

SEC216:Introducing Amazon Security Lake

セッションが発表された後に実際に「Amazon Security Lake」の
説明を実施していたセッションに行ってきました。

動画と併せて、記事を見て頂けると幸いです。

アジェンダ：

セキュリティチームの課題
最新のセキュリティ分析について
Amazon Security Lakeについて
結論について

増大するセキュリティデータがある

データの所有権が欠如している事がある

より多くのデータをランディングし、より少ない分析を行う

そんなサービスがあったらと想像してみてください。

アカウントにセキュリティレイクを自動的に構築します
企業全体でログ収集を一元化し、正規化します
長期保存を提供し、ストレージコストを管理します
分析の完全な選択の自由を提供

Open Cybersecurity Schem Framework (OCSF)

セキュリティデータの正規化を簡素化するために誰でも採用できるオープンなセキュリティ
データの簡素化された、ベンダーに依存しない分類法を提供するオープンソースプロジェクト
時間のかかる事前の正規化タスクなしで、データの取り込みと分析を高速化
OCSF 準拠のソースからのデータを組み合わせて、セキュリティチームを遅らせるデータサイクルを打破します。
あらゆる環境、アプリケーション、またはソリューションプロバイダーで採用できるオープンスタンダード
セキュリティ ISV、政府、教育、企業の 60 を超える組織が参加し、さらに多くの組織がOCSF を使用しています

Amazon Security Lakeについて

数回のクリックでセキュリティデータを専用のデータレイクに自動的に一元化
リージョン全体で、クラウド、オンプレミス、およびカスタムセキュリティソースからのデータを自動的に一元化します
セキュリティデータを最適化および管理して、より効率的なストレージとクエリパフォーマンスを実現します。
データを業界標準に正規化して、複数の分析ツールで簡単に共有および使用できるようにする
セキュリティデータの制御と所有権を保持しながら、好みの分析ツールを使用して分析します

Amazon Security Lakeの使い方について説明がありました。

Amazon Security Lakeはこれらのセキュリティパートナーとの親和性がある。

Amaren Security Lake の使用を開始するために
数回クリックするだけですべてのセキュリティ
データを自動的に一元化する事が可能。

これらの手順を実施した後にすぐにデータをクエリする事が出来る。

ボンネットの下で何が起こっているのですか？

リージョン全体で暗号化された Amazon S3 バケットを作成し、Amazon S3 の保持とレプリケーションの設定を構成する
すべてのリージョン、アカウント、リソースでログを有効にする
すべての受信データを変換して OCSF と ApacheParquet に分割する
AWS Glueテーブルとパーティションを作成および更新する

すべてのセキュリティデータを持ち込む

パートナーからの外部 OCSF データを使用してデータレイクを強化できます
ソリューションまたは独自のネイティブデータと同じデータライフサイクルとアクセス制御機能を使用する
20 以上のパートナーが、この形式のデータを Amazon S3 に直接提供しています
Security Lake がインフラストラクチャと権限を管理します

選択する分析ツールは多岐にわたります。

Amazon Security Lake の料金
・1 か月あたりに取り込まれる CloudTrail ログ
　1 GB あたり $0.75

サポートされているその他の AWS ログソース
・最初の 10 TB：1 GB あたり：$0.25
・次の 20 TB 1GB あたり：$0.15
・次の 20 TB 1GB あたり：$0.075
・50TBを超える場合 1GB あたり：$0.05/GB
・データの正規化と最適化：0.035 USD/GB