本日、2022 re:Invent のプレビューリリースで初めて発表された Amazon Security Lake の一般提供開始を発表できることを嬉しく思います。Security Lake は、Amazon Web Services (AWS) 環境、サービスとしてのソフトウェア (SaaS) プロバイダー、オンプレミス、クラウドソースからのセキュリティデータを、AWS アカウントに保存される専用のデータレイクに一元化します。Open Cybersecurity Schema Framework (OCSF) のサポートにより、このサービスは AWS と幅広いセキュリティデータソースからのセキュリティデータを正規化して組み合わせます。これにより、アナリストとセキュリティエンジニアのチームにセキュリティイベントの調査と対応のための広範な可視性が提供され、タイムリーな対応が容易になり、マルチクラウドとハイブリッド環境全体のセキュリティが向上します。
図 1 は、Security Lake がどのように機能するかを段階的に示しています。この記事では、これらの手順について説明し、Security Lake の最も一般的な使用例をいくつか取り上げ、プレビューの開始以降に行った最新の機能強化と更新について説明します。
図1: Security Lakeの仕組み
対象ユースケース
このセクションでは、サービスのプレビュー期間中にお客様が最も価値があると判断したユースケースをいくつか紹介します。
可視性を高めてセキュリティ調査を促進
Amazon Security Lakeは、単一のセキュリティデータレイクでデータストレージを集約、正規化、最適化することで、セキュリティ調査の効率化に役立ちます。Security Lakeは、AWSログとセキュリティの検出結果をOCSFスキーマに自動的に正規化します。これには以下が含まれます。 AWS クラウドトレイル 管理イベント、 Amazon Virtual Private Cloud (Amazon VPC) フローログ, Amazon Route 53 リゾルバのクエリログ, AWSセキュリティハブ アマゾンのセキュリティサービスからのセキュリティ調査結果、以下を含む アマゾンガードデューティ, アマゾンインスペクター, AWS IAMアクセスアナライザー、および 50 を超えるパートナー ソリューションからのセキュリティ検出結果も収集されます。セキュリティ関連のログと検出結果を一元化された場所に同じ形式で保存することで、セキュリティ運用チームはプロセスを効率化し、セキュリティ問題の調査に多くの時間を費やすことができます。この一元化により、ログを収集して特定の形式に正規化するために貴重な時間を費やす必要性が減ります。
図 2 は、ログソース、AWS リージョン、アカウントを有効にするオプションをユーザーに提示する Security Lake アクティベーション ページを示しています。
図 2: ログ ソース、リージョン、アカウントを有効にするオプションを備えた Security Lake アクティベーション ページ
図3は、Security Lakeアクティベーションページの別のセクションを示しており、ユーザーに設定オプションを提示しています。 ロールアップ地域 およびストレージ クラス。
図 3: ロールアップ リージョンを選択し、ストレージ クラスを設定するオプションを備えた Security Lake アクティベーション ページ
コンプライアンスの監視とレポート作成を簡素化
Security Lake を使用すると、お客様はセキュリティ データを 1 つ以上のロールアップ リージョンに一元化できるため、チームはリージョンのコンプライアンスとレポートの義務を簡素化できます。チームは、複数のログ ソース、リージョン、アカウントにわたってコンプライアンスを監視する際に課題に直面することがよくあります。Security Lake を使用してこの証拠を収集し、一元化することで、セキュリティ チームはログの検出に費やす時間を大幅に短縮し、コンプライアンスの監視とレポートに多くの時間を割り当てることができます。
複数年分のセキュリティデータを迅速に分析
Security Lakeは、セキュリティ情報やイベント管理などのサードパーティのセキュリティサービスとの統合を提供します(SIEM)および拡張検出および対応(XDR)ツールや、次のような人気のデータ分析サービスもあります。 アマゾンアテナ の三脚と AmazonOpenSearchサービス ペタバイト規模のデータを迅速に分析できます。これにより、セキュリティ チームはセキュリティ データに関する詳細な情報を取得し、組織を保護するための迅速な対策を講じることができます。Security Lake は、データを一元管理し、堅牢なアクセス制御を実装して、必要なサブスクライバーとソースにスコープ設定されたポリシーを自動的に適用することで、組織全体のチームに最小権限の制御を適用するのに役立ちます。データ管理者は、組み込み機能を使用して、セキュリティ レイクのデータへのアクセスを必要なユーザーのみに制限するなど、きめ細かいアクセス制御を作成して適用できます。
図 4 は、Security Lake 内でデータ アクセス サブスクライバーを作成するプロセスを示しています。
図4: Security Lakeでデータアクセスサブスクライバーを作成する
ハイブリッド環境全体でセキュリティデータ管理を統合
Security Lake の集中データ リポジトリは、ハイブリッド環境とマルチクラウド環境全体のセキュリティ データを包括的に表示し、セキュリティ チームが脅威をより適切に理解して対応できるようにします。Security Lake を使用すると、クラウドベースやオンプレミスのシステムなど、さまざまなソースからのセキュリティ関連のログとデータを保存できるため、セキュリティ データの収集と分析が簡単になります。さらに、自動化と機械学習のソリューションを使用することで、セキュリティ チームは異常や潜在的なセキュリティ リスクをより効率的に特定できます。これにより、最終的にはリスク管理が改善され、組織の全体的なセキュリティ体制が強化されます。図 5 は、Amazon Athena を使用して AWS CloudTrail と Microsoft Azure 監査ログを同時にクエリするプロセスを示しています。
図 5: Amazon Athena で AWS CloudTrail と Microsoft Azure 監査ログを一緒にクエリする
プレビュー開始以降の更新
Security Lake は、ネイティブにサポートされている AWS サービスのログとイベントを OCSF スキーマに自動的に正規化します。一般提供リリースにより、Security Lake は最新バージョンの OCSF (バージョン 1 rc2) をサポートするようになりました。CloudTrail 管理イベントは、認証、アカウント変更、API アクティビティの XNUMX つの異なる OCSF イベント クラスに正規化されるようになりました。
ログの使いやすさを向上させるために、リソース名とスキーママッピングにさまざまな改善を加えました。自動化により、オンボーディングが簡単になりました。 AWS Identity and Access Management(IAM) コンソールからロールを作成することもできます。さらに、管理イベントを含むCloudTrailソースを個別に収集する柔軟性もあります。 Amazon Simple Storage Service(Amazon S3) データイベント、および AWSラムダ イベント。
クエリのパフォーマンスを向上させるために、Amazon S3で時間単位のパーティション分割から日単位のパーティション分割に移行し、より高速で効率的なデータ取得を実現しました。また、 アマゾンクラウドウォッチ ログ取り込みプロセスをプロアクティブに監視し、収集のギャップや急増を容易に特定できるようにするメトリック。
新規Security Lakeアカウント所有者は、 15日無料トライアル サポートされているリージョンで。Security Lakeは現在、以下の地域で一般利用可能です。 AWSリージョン: 米国東部 (オハイオ)、米国東部 (バージニア北部)、米国西部 (オレゴン)、アジア太平洋 (シンガポール)、アジア太平洋 (シドニー)、アジア太平洋 (東京)、欧州 (フランクフルト)、欧州 (アイルランド)、欧州 (ロンドン)、南米 (サンパウロ)。
エコシステムの統合
サードパーティ統合のサポートを拡大し、23の新しいパートナーを追加しました。これには10のソースパートナーが含まれます。 アクアセキュリティ, クラロティ, ジャンクション, ダークトレース, ExtraHop, ギガモン, セントラ, トルク, トレリックス, アップティクス — データを直接 Security Lake に送信できるようになりました。さらに、9 つの新しいサブスクリプション パートナーと統合しました。 カオスサーチ, 新しいレリック, リプジャー, SOC 素数, ステラサイバー, スイムレーン, タイン, トルク, わずまた、6つの新しいサービスパートナーも設立しました。 ブーズ·アレン·ハミルトン, CMD ソリューションズ、マンテル グループ傘下, インフォシス, 内蔵, Leidos, タタ・コンサルタンシー・サービシズ.
さらに、Security LakeはOCSFセキュリティデータを提供するサードパーティソースをサポートしています。注目すべきパートナーには以下が含まれます。 カマス, Cisco, クリブル, CrowdStrike, サイバーアート, レースワーク, ラミナ, ネットスカウト, Netskope, , Orca, パロアルトネットワークス, pingのアイデンティティ, タニウム, ファルコプロジェクト, トレンドマイクロ, ベクトラAI, ヴイエムウェア, ウィズ, ズスケラーさまざまなサードパーティのセキュリティ、自動化、分析ツールと統合しています。これには以下が含まれます。 データドッグ, IBM, Rapid7, センチネルワン, Splunk, 相撲ロジック, トレリックス最後に、当社は以下のようなサービスパートナーと提携しています。 アクセンチュア, デロイト, DXCテクノロジー, 証拠 , キンドリル, PwC、 の三脚と ウィプロは、お客様と Security Lake と連携して包括的なソリューションを提供します。
AWSプロフェッショナルサービスからのサポートを受ける
その AWSプロフェッショナルサービス 組織は、AWS の使用時にお客様が望むビジネス成果を実現できるよう支援できる、専門家のグローバルチームです。データアーキテクトとセキュリティエンジニアのチームは、お客様のセキュリティ、IT、ビジネスリーダーと協力してエンタープライズソリューションを開発しています。当社は、最新の推奨事項に従って、お客様がデータを Security Lake に統合する取り組みをサポートしています。当社は、セキュリティ運用チームが迅速に価値を実現できるよう支援する、既成のデータ変換、視覚化、AI/機械学習 (ML) ワークフローを統合しています。詳細を知りたい場合は、AWS プロフェッショナルサービスのアカウント担当者にお問い合わせください。
製品概要
Amazon Security Lakeを利用するメリットをぜひご検討ください。 15日無料トライアル 経験、ユースケース、ソリューションに関するフィードバックを提供してください。包括的なものを含む、最初のデータレイクの構築を開始して構築するのに役立つリソースがいくつかあります。 ドキュメント, デモビデオ, ウェビナー Verisk XNUMXE。 によって Security Lakeを試してみるでは、セキュリティ データを一元化、正規化、最適化し、最終的にはマルチクラウドおよびハイブリッド環境全体で組織のセキュリティ インシデントの検出と対応を効率化する方法を直接体験できます。
