AWSのセキュリティログをオープンフォーマットで集約して分析できるAmazon Security Lakeを試してみた（# re:Invent 2022）

みなさん、こんにちは。サニービュー事業部の小寺です。
プレビューであるAmazon Security Lakeについて、試してみました。

Amazon Security Lakeとは、発表時に本コラムでも投稿させていただいているのでご参考にぜひ→こちら。

セキュリティレイクを構築してみる

(1)Amaazon Security Lakeにアクセスしてみると「Amazon Security Lakeを有効にできるのは組織の管理者だけです。組織の管理者に問い合わせしてください」メッセージが表示されます。

(2)検証用にOrganizationsで機能が有効にできるアカウントへ移動してみました。「開始方法」をクリックします。

(3)次ページに表示される「Amazon Security Lakeを有効にする」ページでは「管理を他のアカウントに移管」が表示されます。チェックを外すことはできないので、取り急ぎ検証用に作った（1）のAWSアカウントID12桁を入力し、「委任」をクリックします。

(4)「委任クリック後」にAWSから以下のメールを受領しました。プレビュー版だから何か気づいたところあれば、教えてねっていう理解かなと。

Dear AWS Customer,
Thank you for signing up with Amazon Web Services!
As a new customer, you may notice small charges in the first month of usage. These charges will be for a portion of the service that you have already used, it is NOT an additional charge. This amount will be subtracted from your monthly invoice.
If you have any questions or concerns regarding this notification, please contact us at aws-verification@amazon.com.

(5)(1)のOrganizationsの子アカウントに移動してみます。Organizationsの管理アカウントと同様に「開始方法」画面が表示されるようになりました。
開始してみます。

(6)次ページでは「収集目標を定義」ということで、どんなログをどのリージョンにOrganizationsのどのアカウントを対象に収集するか？設定が行えます。
ここでは、「すべてのログとイベントのソース」、「全てのサポート対象リージョン」、「このアカウント」を選びました。
検証後には「すべてのアカウント（Organizationsに所属するアカウント）」にしてみたいと思います。すべての新規アカウントを有効にするはデフォルトでチェックが入っていますが、ここでは外してみました。

(7)なお、ロールARNも必須なので作成してみます。「実行ロールは必須です」の詳細をクリックします。ロールARNを入力します。

(8)次ページのターゲット目標を定義では、「ロールアップリージョンを選択（オプション）」、「ストレージクラスを設定（オプション）」ができます。

(9)次に確認画面が表示されるので確認して「有効にする」をクリックします。
「エラーが発生しました。もう一度お試しください」メッセージが表示されてしまいました。
「すべての新規アカウントを有効にする」が赤文字だったので、戻ってチェックボックスをONにしましたが、そもそもロール設定で信頼サービスがLambdaにしていなかったので、Lambdaに変更して無事に有効化が完了しました。