[速報]AWSのセキュリティログをオープンフォーマットで集約して分析のアクセスを提供するAmazon Security Lakeが発表されました #reinvent

こんにちは、臼田です。

みなさん、セキュリティログ管理してますか？(挨拶

今回はre:Invent 2022で発表されたセキュリティログ管理のサービスであるAmazon Security Lakeを紹介します。

Amazon Security Lakeとは

Amazon Security Lakeは一言でいうと、AWSを含めたあらゆるセキュリティログを集約・管理し、分析や利用のアクセスを提供するデータレイクサービスです。現在previewです。

収集するログは以下の通り

• AWS CloudTrail
• Amazon VPC
• Amazon Route 53
• Amazon S3
• AWS Lambda
• AWSのAWS Security Hubを介したログ
  • Firewall Manager
  • Amazon GuardDuty
  • AWS Health Dashboard
  • AWS IAM Access Analyzer
  • Amazon Inspector
  • Amazon Macie
  • AWS Systems Manager Patch Manager
  • サードパーティのセキュリティ調査結果の 50 を超えるソース

これらのログはOpen Cybersecurity Schema Framework(OCSF)というオープンなスキーマとストレージとクエリ効率の高いApache Parquetで保存され、クエリできます。

このOCSFに対応したサードパーティのセキュリティソリューションは直接連携もできます。

保存先はS3となり、Amazon Security Lakeが2つのアクセス方法を提供します。

1つは直接的なデータアクセス。Amazon Security LakeはログがS3に保存されるとSQSかサブスクライバーが提供する HTTPS エンドポイントへのメッセージを通じてデータ保存を通知し、これに直接アクセスします。

もう1つはクエリアクセス。 Amazon Athenaなどのサービスを介して S3 バケット内の AWS Lake Formation テーブルに直接クエリを実行することで分析結果を利用したり、絞り込んだデータを更に分析に活用できます。

サブスクライブするデータソースなどをそれぞれのアクセス方法で絞り込むことが可能です。

Preview: Amazon Security Lake – A Purpose-Built Customer-Owned Data Lake Service | AWS News Blog より引用

料金や対応リージョンなど

現在このサービスはpreviewであり、利用自体は無料です。ただしCloudTrailなど各種ログの仕組みはそれぞれ利用料がかかります。

実際の料金は取り込んだログの量と、変換したログの量がかかり、保存先のS3の料金もかかります。

料金体系の詳細はこちら。

対応リージョンは下記の通り

• 米国東部 (オハイオ)
• 米国東部 (バージニア北部)
• 米国西部 (オレゴン)
• アジアパシフィック (シドニー)
• アジアパシフィック (東京)
• 欧州 (フランクフルト)
• ヨーロッパ (アイルランド)

参考ドキュメント

• AWS Blogs:Preview: Amazon Security Lake – A Purpose-Built Customer-Owned Data Lake Service | AWS News Blog
• What's New: Introducing Amazon Security Lake (Preview)
• 概要: Security Data Management – Amazon Security Lake (Preview) – Amazon Web Services

まとめ

新しいセキュリティログの集約・管理・分析サービスであるAmazon Security Lakeについて紹介しました。

AWS Security HubではASFFというAWS独自のフォーマットで集約し、AWS Security Hubのクエリでデータアクセスしていましたが、OCSFというよりオープンなフォーマットで、S3というより柔軟で大規模なアクセスやクエリを適用できるようになっているので、これまで以上にデータレイクとして色んな用途に活用できそうです。

利用されたい場合はPreviewのリクエストをしましょう！