[新機能] Amazon OpenSearch Service と Amazon Security Lake の Zero-ETL 統合が一般提供開始になりました
AWS事業本部コンサルティング部の石川です。新たに Amazon OpenSearch ServiceとAmazon Security LakeのZero-ETL統合が一般提供開始となりました。
Amazon OpenSearch Service と Amazon Security Lake の Zero-ETL 統合とは
Zero-ETL統合とは、従来のETL(抽出、変換、ロード)プロセスを不要にし、データの移動や変換を簡素化するアプローチです。現在、Amazon OpenSearch ServiceやAmazon Redshiftなどのサービス統合が進められています。
Amazon OpenSearch Service と Amazon Security Lake の Zero-ETL 統合は、セキュリティデータの直接クエリと分析を可能にする新しい機能です。この統合により、複雑なデータパイプラインの管理が不要となり、OpenSearch ServiceがSecurity Lakeのリアルタイムデータを用いてセキュリティ分析に集中できるようになりました。
新機能の特長
セキュリティデータの効率的な分析
OpenSearchを通じてSecurity Lakeのデータを直接クエリおよび分析できるようになりました。
包括的な可視性
以前は分析コストが高すぎて分析できなかった膨大なデータソースを効率的に探索できるようになり、セキュリティ調査を効率化し、セキュリティ環境の包括的な可視性を得ることができます。
効率的なデータ管理
データを選択的に取り込む柔軟性を提供し、複雑なデータパイプラインを管理する必要性を排除することで、分析コストを削減しながら効果的なセキュリティ運用に集中できるようになりました。
高度な分析と視覚化
OpenSearch Service の分析や視覚化機能を用いることで、深い調査を実行や脅威ハンティングを強化してセキュリティ体制を積極的に監視できます。更に、Open Cybersecurity Schema Framework (OCSF) を使用した事前構築されたクエリとダッシュボードにより、分析をさらに高速化できます。
Amazon OpenSearch Ingestionとの違い
「Amazon OpenSearch Service と Amazon Security Lake の Zero-ETL 統合」と「Amazon OpenSearch Ingestion for Amazon Security Lake」は、どちらもAmazon Security Lakeのデータを分析するためのソリューションですが、それぞれ異なるアプローチを取っています。
Zero-ETL統合はデータを移動せずに直接クエリを実行できる柔軟性を提供し、一方でOpenSearch Ingestionはデータを事前に取り込むことで高速なクエリ実行を可能です。どちらを選択するかはユースケースや分析の頻度、必要なパフォーマンスによって異なります。
以下の表で主な違いをまとめます。
特徴 | Amazon OpenSearch Service zero-ETL integration | Amazon OpenSearch Ingestion |
---|---|---|
データ移動 | データを移動せずに直接クエリ | Security Lakeからデータを取り込む |
ETLプロセス | 不要(zero-ETL) | 必要(データの変換と取り込み) |
クエリ実行場所 | Security Lake上のデータに直接クエリ | OpenSearch Service内のインデックスにクエリ |
データの鮮度 | リアルタイムのデータにアクセス可能 | 取り込みの頻度に依存 |
コスト | クエリ実行時のみコストが発生 | データ取り込みとストレージにコストが発生 |
使用シナリオ | 頻繁に使用されないデータの分析に適している | リアルタイムの分析と頻繁なクエリに適している |
セットアップ | OpenSearch ServiceでData Connectionsを作成 | OpenSearch Ingestionパイプラインを設定 |
データ形式 | Glueテーブルのデータを直接クエリ | ParquetをJSONに変換してインデックス化 |
最後に
Amazon OpenSearch Service と Amazon Security Lake の Zero-ETL 統合により、複雑なデータパイプラインの管理が不要となり、セキュリティ専門家はより効果的な分析と脅威検出に集中できるようになりました。この統合は、リアルタイムデータへのアクセス、コスト効率の向上、そして包括的なセキュリティ可視性の実現を可能にします。また、Open Cybersecurity Schema Framework (OCSF) を活用した事前構築されたクエリとダッシュボードにより、分析プロセスがさらに迅速化されます。
Amazon OpenSearch Ingestion とは、ユースケースや要件に応じて適切なアプローチを選択するのが良いでしょう。この新機能は、組織のセキュリティ態勢を強化し、より効果的なセキュリティ運用を実現する上で重要な役割を果たすことが期待されます。
追伸: 後に「Amazon Security Lake は、組織のAWS Organizaqtions管理者が Amazon Security Lake を有効にする必要がある」という厳しい現実に直面するのであった。
合わせて読みたい