Security Lake でのカスタムソースの追加 - Amazon Security Lake
でカスタムソースデータを更新する AWS Glueサポートされている OCSF イベントクラス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Lake でのカスタムソースの追加

クローラーを呼び出す IAM AWS Glue ロールを作成したら、以下の手順に従って Security Lake にカスタムソースを追加します。

Console

  1. Security Lake コンソール https://console.aws.amazon.com/securitylake/ を開きます。

  2. ページの右上隅にある AWS リージョン セレクターを使用して、カスタムソースを作成するリージョンを選択します。

  3. ナビゲーションペインで [カスタムソース] を選択してから、[カスタムソースの作成] を選択します。

  4. カスタムソースの詳細」セクションに、カスタムソースのグローバルに一意の名前を入力します。次に、カスタムソースが Security Lake に送信するデータの種類を説明する OCSF イベントクラスを選択します。

  5. データの書き込み権限を持つAWS アカウント の場合、データ レイクにログとイベントを書き込むカスタム ソースの AWS アカウント ID外部 ID を入力します。

  6. サービス アクセスの場合は、新しいサービス ロールを作成して使用するか、Security Lake に AWS Glueを呼び出すアクセス許可を付与する既存のサービス ロールを使用します。

  7. [Create] (作成) を選択します。

API

カスタムソースをプログラムで追加するには、セキュリティレイク API の CreateCustomLogSource オペレーションを使用してください。カスタムソースを作成する AWS リージョン で オペレーションを使用します。 AWS Command Line Interface (AWS CLI) を使用している場合は、create-custom-log-source コマンドを実行します。

リクエストでは、サポートされているパラメータを使用してカスタムソースの構成設定を指定します。

  • sourceName – ソースの名前を指定します。名前は地域一意である必要があります。

  • eventClasses – ソースが Security Lake に送信するデータのタイプを記述する 1 つ以上の OCSF イベントクラスを指定します。Security Lake でソースとしてサポートされている OCSF イベントクラスのリストについては、「Open Cybersecurity Schema Framework (OCSF)」を参照してください。

  • sourceVersion – オプションで、ログ収集を特定のバージョンのカスタムソースデータに制限する値を指定します。

  • crawlerConfiguration – クローラーを呼び出す AWS Glue ために作成した IAM ロールの Amazon リソースネーム (ARN) を指定します。IAM ロールを作成する詳細な手順については、「カスタムソースを追加するための前提条件」を参照してください。

  • providerIdentity – ソースがデータレイクへのログとイベントの書き込みに使用する AWS ID と外部 ID を指定します。

次の の例では、カスタムソースを、指定されたリージョンの指定されたログプロバイダーアカウントにログソースとして追加します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

$ aws securitylake create-custom-log-source \
--source-name EXAMPLE_CUSTOM_SOURCE \
--event-classes '["DNS_ACTIVITY", "NETWORK_ACTIVITY"]' \
--configuration crawlerConfiguration={"roleArn=arn:aws:iam::XXX:role/service-role/RoleName"},providerIdentity={"externalId=ExternalId,principal=principal"}  \
--region=[“ap-southeast-2”]

でカスタムソースデータを更新する AWS Glue

Security Lake にカスタムソースを追加すると、Security Lake AWS Glue は クローラを作成します。クローラーはカスタムソースに接続し、データ構造を決定し、 AWS Glue データカタログにテーブルを入力します。

カスタムソーススキーマを最新の状態に保ち、Athena やその他のクエリサービスのクエリ機能を維持するために、クローラーを手動で実行することをお勧めします。特に、カスタムソースの入力データセットに以下のいずれかの変更が生じた場合は、クローラーを実行する必要があります。

  • このデータセットには、1 つ以上の新しい最上位列があります。

  • データセットには、structデータ型の列に 1 つ以上の新しいフィールドがあります。

クローラーの実行手順については、「 AWS Glue デベロッパーガイド」の AWS Glue 「 クローラーのスケジュール」を参照してください。

Security Lake では、アカウント内の既存のクローラーを削除または更新することはできません。カスタムソースを削除した場合、future 同じ名前のカスタムソースを作成する予定がある場合は、関連するクローラーを削除することをお勧めします。

サポートされている OCSF イベントクラス

Open Cybersecurity Schema Framework (OCSF) イベントクラスは、カスタムソースが Security Lake に送信するデータのタイプについて説明します。サポートされているイベントクラスのリストは次のとおりです。

public enum OcsfEventClass {
    ACCOUNT_CHANGE,
    API_ACTIVITY,
    APPLICATION_LIFECYCLE,
    AUTHENTICATION,
    AUTHORIZE_SESSION,
    COMPLIANCE_FINDING,
    DATASTORE_ACTIVITY,
    DEVICE_CONFIG_STATE,
    DEVICE_CONFIG_STATE_CHANGE,
    DEVICE_INVENTORY_INFO,
    DHCP_ACTIVITY,
    DNS_ACTIVITY,
    DETECTION_FINDING,
    EMAIL_ACTIVITY,
    EMAIL_FILE_ACTIVITY,
    EMAIL_URL_ACTIVITY,
    ENTITY_MANAGEMENT,
    FILE_HOSTING_ACTIVITY,
    FILE_SYSTEM_ACTIVITY,
    FTP_ACTIVITY,
    GROUP_MANAGEMENT,
    HTTP_ACTIVITY,
    INCIDENT_FINDING,
    KERNEL_ACTIVITY,
    KERNEL_EXTENSION,
    MEMORY_ACTIVITY,
    MODULE_ACTIVITY,
    NETWORK_ACTIVITY,
    NETWORK_FILE_ACTIVITY,
    NTP_ACTIVITY,
    PATCH_STATE,
    PROCESS_ACTIVITY,
    RDP_ACTIVITY,
    REGISTRY_KEY_ACTIVITY,
    REGISTRY_VALUE_ACTIVITY,
    SCHEDULED_JOB_ACTIVITY,
    SCAN_ACTIVITY,
    SECURITY_FINDING,
    SMB_ACTIVITY,
    SSH_ACTIVITY,
    USER_ACCESS,
    USER_INVENTORY,
    VULNERABILITY_FINDING,
    WEB_RESOURCE_ACCESS_ACTIVITY,
    WEB_RESOURCES_ACTIVITY,
    WINDOWS_RESOURCE_ACTIVITY,
    // 1.3 OCSF event classes
    ADMIN_GROUP_QUERY,
    DATA_SECURITY_FINDING,
    EVENT_LOG_ACTIVITY,
    FILE_QUERY,
    FILE_REMEDIATION_ACTIVITY,
    FOLDER_QUERY,
    JOB_QUERY,
    KERNEL_OBJECT_QUERY,
    MODULE_QUERY,
    NETWORK_CONNECTION_QUERY,
    NETWORK_REMEDIATION_ACTIVITY,
    NETWORKS_QUERY,
    PERIPHERAL_DEVICE_QUERY,
    PROCESS_QUERY,
    PROCESS_REMEDIATION_ACTIVITY,
    REMEDIATION_ACTIVITY,
    SERVICE_QUERY,
    SOFTWARE_INVENTORY_INFO,
    TUNNEL_ACTIVITY,
    USER_QUERY,
    USER_SESSION_QUERY,
    // 1.3 OCSF event classes (Win extension)
    PREFETCH_QUERY,
    REGISTRY_KEY_QUERY,
    REGISTRY_VALUE_QUERY,
    WINDOWS_SERVICE_ACTIVITY
}