翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Security Lake でのカスタムソースの追加
<a name="adding-custom-sources"></a>

クローラを呼び出す IAM AWS Glue ロールを作成したら、以下の手順に従って Security Lake にカスタムソースを追加します。

------
#### [ Console ]

1. Security Lake コンソール [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/) を開きます。

1. ページの右上隅にある AWS リージョン セレクターを使用して、カスタムソースを作成するリージョンを選択します。

1. ナビゲーションペインで [**カスタムソース**] を選択してから、[**カスタムソースの作成**] を選択します。

1. 「**カスタムソースの詳細**」セクションに、カスタムソースのグローバルに一意の名前を入力します。次に、カスタムソースが Security Lake に送信するデータの種類を説明する OCSF イベントクラスを選択します。

1. **データの書き込み権限を持つAWS アカウント の場合**、データ レイクにログとイベントを書き込むカスタム ソースの **AWS アカウント ID** と**外部 ID** を入力します。

1. **サービス アクセス**の場合は、新しいサービス ロールを作成して使用するか、Security Lake に AWS Glueを呼び出すアクセス許可を付与する既存のサービス ロールを使用します。

1. **[作成]** を選択します。

------
#### [ API ]

カスタムソースをプログラムで追加するには、セキュリティレイク API の [CreateCustomLogSource](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateCustomLogSource.html) オペレーションを使用してください。カスタムソースを作成する AWS リージョン で オペレーションを使用します。 AWS Command Line Interface (AWS CLI) を使用している場合は、[create-custom-log-source](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/create-custom-log-source.html) コマンドを実行します。

リクエストでは、サポートされているパラメータを使用してカスタムソースの構成設定を指定します。
+ `sourceName` – ソースの名前を指定します。名前は地域一意である必要があります。
+ `eventClasses` – ソースが Security Lake に送信するデータのタイプを記述する 1 つ以上の OCSF イベントクラスを指定します。Security Lake でソースとしてサポートされている OCSF イベントクラスのリストについては、[「Open Cybersecurity Schema Framework (OCSF)](https://schema.ocsf.io/classes?extensions)」を参照してください。
+ `sourceVersion` – オプションで、ログ収集を特定のバージョンのカスタムソースデータに制限する値を指定します。
+ `crawlerConfiguration` – クローラを呼び出す AWS Glue ために作成した IAM ロールの Amazon リソースネーム (ARN) を指定します。IAM ロールを作成する詳細な手順については、[「カスタムソースを追加するための前提条件](https://docs.aws.amazon.com//security-lake/latest/userguide/custom-sources.html#iam-roles-glue-crawler)」を参照してください。
+ `providerIdentity` – ソースがデータレイクへのログとイベントの書き込みに使用する AWS ID と外部 ID を指定します。

次の の例では、カスタムソースを、指定されたリージョンの指定されたログプロバイダーアカウントにログソースとして追加します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws securitylake create-custom-log-source \
--source-name EXAMPLE_CUSTOM_SOURCE \
--event-classes '["DNS_ACTIVITY", "NETWORK_ACTIVITY"]' \
--configuration crawlerConfiguration={"roleArn=arn:aws:iam::XXX:role/service-role/RoleName"},providerIdentity={"externalId=ExternalId,principal=principal"}  \
--region=[“ap-southeast-2”]
```

------

## でカスタムソースデータを更新する AWS Glue
<a name="maintain-glue-schema"></a>

Security Lake にカスタムソースを追加すると、Security Lake AWS Glue はクローラを作成します。クローラーはカスタムソースに接続し、データ構造を決定し、 AWS Glue データカタログにテーブルを入力します。

カスタムソーススキーマを最新の状態に保ち、Athena やその他のクエリサービスのクエリ機能を維持するために、クローラーを手動で実行することをお勧めします。特に、カスタムソースの入力データセットに以下のいずれかの変更が生じた場合は、クローラーを実行する必要があります。
+ このデータセットには、1 つ以上の新しい最上位列があります。
+ データセットには、`struct`データ型の列に 1 つ以上の新しいフィールドがあります。

クローラの実行手順については、 *AWS Glue デベロッパーガイド*[AWS Glue の「クローラのスケジュール](https://docs.aws.amazon.com/glue/latest/dg/schedule-crawler.html)」を参照してください。

Security Lake では、アカウント内の既存のクローラーを削除または更新することはできません。カスタムソースを削除した場合、future 同じ名前のカスタムソースを作成する予定がある場合は、関連するクローラーを削除することをお勧めします。

## サポートされている OCSF イベントクラス
<a name="ocsf-eventclass"></a>

Open Cybersecurity Schema Framework (OCSF) イベントクラスは、カスタムソースが Security Lake に送信するデータのタイプを記述します。サポートされているイベントクラスのリストは次のとおりです。

```
public enum OcsfEventClass {
    ACCOUNT_CHANGE,
    API_ACTIVITY,
    APPLICATION_LIFECYCLE,
    AUTHENTICATION,
    AUTHORIZE_SESSION,
    COMPLIANCE_FINDING,
    DATASTORE_ACTIVITY,
    DEVICE_CONFIG_STATE,
    DEVICE_CONFIG_STATE_CHANGE,
    DEVICE_INVENTORY_INFO,
    DHCP_ACTIVITY,
    DNS_ACTIVITY,
    DETECTION_FINDING,
    EMAIL_ACTIVITY,
    EMAIL_FILE_ACTIVITY,
    EMAIL_URL_ACTIVITY,
    ENTITY_MANAGEMENT,
    FILE_HOSTING_ACTIVITY,
    FILE_SYSTEM_ACTIVITY,
    FTP_ACTIVITY,
    GROUP_MANAGEMENT,
    HTTP_ACTIVITY,
    INCIDENT_FINDING,
    KERNEL_ACTIVITY,
    KERNEL_EXTENSION,
    MEMORY_ACTIVITY,
    MODULE_ACTIVITY,
    NETWORK_ACTIVITY,
    NETWORK_FILE_ACTIVITY,
    NTP_ACTIVITY,
    PATCH_STATE,
    PROCESS_ACTIVITY,
    RDP_ACTIVITY,
    REGISTRY_KEY_ACTIVITY,
    REGISTRY_VALUE_ACTIVITY,
    SCHEDULED_JOB_ACTIVITY,
    SCAN_ACTIVITY,
    SECURITY_FINDING,
    SMB_ACTIVITY,
    SSH_ACTIVITY,
    USER_ACCESS,
    USER_INVENTORY,
    VULNERABILITY_FINDING,
    WEB_RESOURCE_ACCESS_ACTIVITY,
    WEB_RESOURCES_ACTIVITY,
    WINDOWS_RESOURCE_ACTIVITY,
    // 1.3 OCSF event classes
    ADMIN_GROUP_QUERY,
    DATA_SECURITY_FINDING,
    EVENT_LOG_ACTIVITY,
    FILE_QUERY,
    FILE_REMEDIATION_ACTIVITY,
    FOLDER_QUERY,
    JOB_QUERY,
    KERNEL_OBJECT_QUERY,
    MODULE_QUERY,
    NETWORK_CONNECTION_QUERY,
    NETWORK_REMEDIATION_ACTIVITY,
    NETWORKS_QUERY,
    PERIPHERAL_DEVICE_QUERY,
    PROCESS_QUERY,
    PROCESS_REMEDIATION_ACTIVITY,
    REMEDIATION_ACTIVITY,
    SERVICE_QUERY,
    SOFTWARE_INVENTORY_INFO,
    TUNNEL_ACTIVITY,
    USER_QUERY,
    USER_SESSION_QUERY,
    // 1.3 OCSF event classes (Win extension)
    PREFETCH_QUERY,
    REGISTRY_KEY_QUERY,
    REGISTRY_VALUE_QUERY,
    WINDOWS_SERVICE_ACTIVITY
}
```