みなさん。こんにちは。サニービュー事業部の小寺です。
本日のキーノートで発表された新サービス「Amazon Security Lake」が発表されました。

https://aws.amazon.com/jp/about-aws/whats-new/2022/11/amazon-security-lake-preview/

Amazon Security Lakeとは

Amazon Security LakeはAWS、クラウドおよびオンプレミスのインフラストラクチャ、ファイアウォール、およびエンドポイント セキュリティ ソリューションからのデータを含めたあらゆるセキュリティログを集約・管理し、分析や利用のアクセスを提供するデータレイクのマネージドサービスです

Security Lakeは当然、CloudTrail や Lambdaや、AWS Security Hub、GuardDuty、AWS Firewall Managerセキュリティサービスからデータを集約します。
この新サービスの特徴としては、AWS社が最近サポートを発表した新しい Open Cyber​​security Schema Framework (OCSF) もサポートしていることです。
このフレームワークは、セキュリティ テレメトリ データのオープンな仕様を提供します。よって、Cisco、CrowdStrike、Palo Alto ネットワークなどからデータを取り込むこともできます。

AWS の CEO である Adam Selipsky氏によると、「セキュリティに関連するデータは通常、アプリケーション、ファイアウォール、および ID プロバイダーから環境全体に分散しています。ビジネスに対する組織的な悪意のある活動などの洞察を明らかにするためには、このすべてのデータを収集して集約し、脅威の検出、調査、インシデント対応をサポートするために使用するすべての分析ツールにアクセスできるようにし、データを保持する必要があります。パイプラインが更新され、イベントの進化に合わせて継続的に実行されます。つまり、データの保存、分析、セキュリティに関連する傾向の理解、セキュリティ データからの洞察の生成を容易にするツールが本当に求められているということです。」と述べています。

Security Lake を有効にすると、グローバル データのロールアップ用に選択したリージョンにセキュリティ データ レイクが自動的に作成されます。AWS のログとセキュリティ データ ソースは、既存および新規のアカウント用に選択した Amazon Simple Storage Service (Amazon S3) バケットに自動的に収集されます。

https://aws.amazon.com/jp/security-lake/より引用

対象となるのは、AWS CloudTrail 管理イベント、Amazon Virtual Private Cloud (Amazon VPC) フロー ログ、Amazon Route 53 Resolver クエリ ログ、および AWS Security Hub を通じて統合された 50 を超えるソリューションからのセキュリティ結果を含むもので、OCSF 形式に正規化されます。

また、サードパーティのセキュリティ ソリューションからセキュリティ データ レイクにデータを取り込み、OCSF( Open Cybersecurity Schema Framework) に変換したカスタム データを取り込むこともできます。このデータには、内部アプリケーションまたはネットワーク インフラストラクチャからのログが含まれる場合があります。
Security Lake は、カスタマイズ可能な保持設定とストレージのアーカイブ設定等によるストレージのコストを抑えることもでき、データのライフサイクルを管理します。

対象リージョン

発表時点のプレビュー版として利用できるのは以下のリージョンです。
・US East (Ohio)
・US East (N. Virginia)
・US West (Oregon)
・Asia Pacific (Sydney)
・Asia Pacific (Tokyo)
・Europe (Frankfurt
・Europe(Ireland)