翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Security Lake AWS のサービス での からのデータの収集
Amazon Security Lake では、 AWS のサービスネイティブにサポートされているからログとイベントを収集できます。
-
AWS CloudTrail 管理イベントとデータイベント (S3、Lambda)
-
Amazon Elastic Kubernetes Service (Amazon EKS) 監査ログ
-
Amazon Route 53 Resolver クエリログ
-
AWS Security Hub 検出結果
-
Amazon Virtual Private Cloud (Amazon VPC) フローログ
-
AWS WAF v2 ログ
Security Lake は、このデータを Security Lake でサイバーセキュリティスキーマフレームワーク (OCSF) を開く および Apache Parquet 形式に自動的に変換します。
ヒント
Security Lake でログソースとして前述の 1 つ以上のサービスを追加するには、 CloudTrail 管理イベントを除き、これらのサービスのログ記録を個別に設定する必要はありません。これらのサービスでロギングを設定している場合は、ログ設定を変更して Security Lake のログソースとして追加する必要はありません。Security Lake は、独立イベントストリームと重複イベントストリームでデータを直接取得します。
前提:アクセス許可
Security Lake のソース AWS のサービス として を追加するには、必要なアクセス許可が必要です。ソースの追加に使用するロールにアタッチされた AWS Identity and Access Management (IAM) ポリシーに、次のアクションを実行するアクセス許可があることを確認します。
-
glue:CreateDatabase
-
glue:CreateTable
-
glue:GetDatabase
-
glue:GetTable
-
glue:UpdateTable
iam:CreateServiceLinkedRole
s3:GetObject
s3:PutObject
ロールには、 S3:getObject
および アクセスs3:PutObject
許可に対して以下の条件とリソース範囲を設定することをお勧めします。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowUpdatingSecurityLakeS3Buckets", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": "arn:aws:s3:::aws-security-data-lake*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
これらのアクションにより、 からログとイベントを収集 AWS のサービス し、正しい AWS Glue データベースとテーブルに送信できます。
データレイクのサーバー側の暗号化に AWS KMS キーを使用する場合は、 に対するアクセス許可も必要ですkms:DescribeKey
。
ソース AWS のサービス としての の追加
をソース AWS のサービス として追加すると、Security Lake は自動的にセキュリティログとイベントの収集を開始します。これらの手順では、Security Lake でソース AWS のサービス としてネイティブにサポートされる を追加する方法について説明します。カスタムソースを追加する手順については、Security Lake のカスタムソースからデータを収集するを参照してください。
ソースコレクションのステータスの取得
アクセス方法を選択し、ステップに従って、現在のリージョンでログ収集が有効になっているアカウントとソースのスナップショットを取得します。