Security Lake AWS のサービス での からのデータの収集 - Amazon Security Lake

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Lake AWS のサービス での からのデータの収集

Amazon Security Lake では、 AWS のサービスネイティブにサポートされているからログとイベントを収集できます。

  • AWS CloudTrail 管理イベントとデータイベント (S3、Lambda)

  • Amazon Elastic Kubernetes Service (Amazon EKS) 監査ログ

  • Amazon Route 53 Resolver クエリログ

  • AWS Security Hub 検出結果

  • Amazon Virtual Private Cloud (Amazon VPC) フローログ

  • AWS WAF v2 ログ

Security Lake は、このデータを Security Lake でサイバーセキュリティスキーマフレームワーク (OCSF) を開く および Apache Parquet 形式に自動的に変換します。

ヒント

Security Lake でログソースとして前述の 1 つ以上のサービスを追加するには、 CloudTrail 管理イベントを除き、これらのサービスのログ記録を個別に設定する必要はありません。これらのサービスでロギングを設定している場合は、ログ設定を変更して Security Lake のログソースとして追加する必要はありません。Security Lake は、独立イベントストリームと重複イベントストリームでデータを直接取得します。

前提:アクセス許可

Security Lake のソース AWS のサービス として を追加するには、必要なアクセス許可が必要です。ソースの追加に使用するロールにアタッチされた AWS Identity and Access Management (IAM) ポリシーに、次のアクションを実行するアクセス許可があることを確認します。

  • glue:CreateDatabase

  • glue:CreateTable

  • glue:GetDatabase

  • glue:GetTable

  • glue:UpdateTable

  • iam:CreateServiceLinkedRole

  • s3:GetObject

  • s3:PutObject

ロールには、 S3:getObjectおよび アクセスs3:PutObject許可に対して以下の条件とリソース範囲を設定することをお勧めします。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowUpdatingSecurityLakeS3Buckets", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": "arn:aws:s3:::aws-security-data-lake*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }

これらのアクションにより、 からログとイベントを収集 AWS のサービス し、正しい AWS Glue データベースとテーブルに送信できます。

データレイクのサーバー側の暗号化に AWS KMS キーを使用する場合は、 に対するアクセス許可も必要ですkms:DescribeKey

ソース AWS のサービス としての の追加

をソース AWS のサービス として追加すると、Security Lake は自動的にセキュリティログとイベントの収集を開始します。これらの手順では、Security Lake でソース AWS のサービス としてネイティブにサポートされる を追加する方法について説明します。カスタムソースを追加する手順については、Security Lake のカスタムソースからデータを収集するを参照してください。

Console
AWS ログソースを追加するには (コンソール)
  1. で Security Lake コンソールを開きますhttps://console.aws.amazon.com/securitylake/

  2. ナビゲーションペインで [ソース] を選択します。

  3. データを収集 AWS のサービス する を選択し、 の設定 を選択します。

  4. ソース設定セクションで、ソースを有効にし、データ取り込みに使用するデータソースのバージョンを選択します。デフォルトでは、データソースの最新バージョンは Security Lake によって取り込まれます。

    重要

    指定されたリージョンで新しいバージョンの AWS ログソースを有効にするために必要なロールアクセス許可がない場合は、Security Lake 管理者にお問い合わせください。詳細については、「ロールのアクセス許可の更新」を参照してください。

    サブスクライバーが選択したバージョンのデータソースを取り込むには、サブスクライバー設定も更新する必要があります。サブスクライバーを編集する方法の詳細については、「Amazon Security Lake のサブスクライバー管理」を参照してください。

    オプションで、最新バージョンのみを取り込み、データの取り込みに使用される以前のソースバージョンをすべて無効にすることもできます。

  5. リージョン セクションで、ソースのデータを収集するリージョンを選択します。Security Lake は、選択したリージョンのすべてのアカウントからソースからデータを収集します。

  6. [Enable(有効化)] を選択します。

API

AWS ログソースを追加するには (API)

プログラムで をソース AWS のサービス として追加するには、Security Lake の CreateAwsLogSourceオペレーションを使用しますAPI。 AWS Command Line Interface (AWS CLI) を使用している場合は、 create-aws-log-source コマンドを実行します。sourceName および regions パラメータが必要です。必要に応じて、ソースの範囲を特定の accountsまたは特定の に制限できますsourceVersion

重要

コマンドにパラメータを指定しない場合、Security Lake は欠落しているパラメータがセット全体を参照していると仮定します。例えば、 accountsパラメータを指定しない場合、 コマンドは組織内のアカウントのセット全体に適用されます。

次の例では、フローVPCログを指定されたアカウントとリージョンのソースとして追加します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

注記

Security Lake を有効にしていないリージョンにこのリクエストを適用すると、エラーが表示されます。エラーは、そのリージョンで Security Lake を有効にするか、 regionsパラメータを使用して Security Lake を有効にしたリージョンのみを指定することで解決できます。

$ aws securitylake create-aws-log-source \ --sources sourceName=VPC_FLOW,accounts='["123456789012", "111122223333"]',regions=["us-east-2"],sourceVersion="2.0"

ソースコレクションのステータスの取得

アクセス方法を選択し、ステップに従って、現在のリージョンでログ収集が有効になっているアカウントとソースのスナップショットを取得します。

Console
現在のリージョンでログ収集のステータスを取得するには
  1. で Security Lake コンソールを開きますhttps://console.aws.amazon.com/securitylake/

  2. ナビゲーションペインで、アカウント を選択します。

  3. ソース列の数値にカーソルを合わせると、選択したアカウントでどのログが有効になっているかを確認できます。

API

現在のリージョンでログ収集のステータスを取得するには、Security Lake の GetDataLakeSourcesオペレーションを使用しますAPI。を使用している場合は AWS CLI、 get-data-lake-sources コマンドを実行します。accounts パラメータには、1 つ以上の AWS アカウント IDs をリストとして指定できます。リクエストが成功すると、Security Lake は、Security Lake がどの AWS ソースからデータを収集しているか、各ソースのステータスなど、現在のリージョン内のアカウントのスナップショットを返します。accounts パラメータを含めない場合、レスポンスには、現在のリージョンで Security Lake が設定されているすべてのアカウントのログ収集のステータスが含まれます。

例えば、次の AWS CLI コマンドは、現在のリージョンで指定されたアカウントのログ収集ステータスを取得します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

$ aws securitylake get-data-lake-sources \ --accounts "123456789012" "111122223333"