Amazon Security Lake の勉強会資料を公開します。

Amazon Security Lake の勉強会資料を公開します。

Amazon Security Lake の勉強会を実施しました!
Clock Icon2023.06.20

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、AWS事業本部の平木です!

2023年5月30日にGA(generally available: 一般提供)された、
Amazon Security Lake の勉強会を実施する機会があったため資料を公開します。

Amazon Security Lake 勉強会資料

以下が勉強会で共有したスライドです。

お話した内容は以下の通りです。

  • SecurityHub と SecurityLake の対比
  • SecurityLake とは
  • SecurityLake の機能
  • SecurityLake を使った実装例
  • 参考リンク

デモ

せっかくなのでデモの内容をご紹介します。

Amazon Security Lake の有効化

Organizations配下の場合、管理アカウントから委任管理アカウントの設定が必要なため、
管理アカウントのAWSコンソールへ移動し、「Security Lake」を開きます。

「開始方法」を押下すると、委任管理アカウントの設定ができるため、
委任先のAWSアカウントID12桁を入力し、委任管理アカウントを設定します。

委任管理アカウントの設定ができたら、Security Lake の有効化は委任管理アカウントから行う必要があるため、委任管理アカウントへ切り替えます。

「開始方法」を押下すると、Security Lake の設定が開始できます。
まず、「ログとイベントソースを選択」ではどのログを収集するか設定できます。
今回は、 CloudTrail の管理イベントと Security Hub の findings を収集したいと思います。

続いて、「リージョンを選択」で収集するリージョンを設定できます。
今回は、東京リージョンとバージニア北部リージョンを選択していきます。

続いて、「アカウントを選択」で収集するアカウント設定できます。
今回は、このアカウント(委任管理アカウント)を設定していきます。
複数選ぶ場合は、カンマ区切りでAWSアカウントID12桁を入力することで複数選択可能です。

最後、初めて有効化する場合は、AmazonSecurityLakeMetaStoreManagerというIAMロールが作成されます。
こちらは、Security Lake を有効化すると作成される AWS Glue にパーティションを作成する Lambda への権限付与に使用されます。

「次へ」を押下で次に進みます。

続いて「ロールアップリージョンを選択」でロールアップリージョンを設定できます。
ロールアップリージョンにより、セキュリティログを1つのリージョンへ集めるレプリケーションルールを設定できます。
今回は東京リージョンをロールアップリージョンに設定していきます。

「ストレージクラスを選択」で S3 バケットのライフサイクルルールを設定できます。
今回は、3日間で期限切れとなるように設定します。

最後レプリケーションルール用の IAM ロールができることを確認したら、 「次へ」を押下します。

確認画面に移るため問題なければ「作成」を押下します。

作成中の画面となるため、2,3分ほど待つと完了します。

完了後はこのようにダッシュボードが見れます。

S3 バケットを確認すると、aws-security-data-lake-(リージョン名)で始まる S3 バケットが各リージョンに作成されています。

また、 ロールアップリージョンの提供元リージョン(今回は、バージニア北部)の S3 バケットを確認すると、 東京リージョンの S3 バケットへのレプリケーションルールが作成されています。

Athena でクエリをかけてみる

続いて、S3 バケットに収集したセキュリティログを Athena でクエリをかけてみます。
Athenaの画面へ移動すると、既にデータベース、テーブルがセットアップされていることが確認できます。

下記、SELECT文を実行してみると、

SELECT * 
    FROM "amazon_security_lake_glue_db_ap_northeast_1"."amazon_security_lake_table_ap_northeast_1_cloud_trail_mgmt_1_0" 
    LIMIT 5;

下記結果のようにクエリがかけられるのが分かります。

クエリのサンプルは下記リンクで確認できます。
※ 現在時点では英語版のAWS公式ドキュメントを参照ください。

参考リンク

勉強会資料で掲示しているリンクは下記です。

終わりに

今回は、Security Lake の勉強会資料をご紹介しました。
これから Security Lake でいい感じに整形し貯めこんだセキュリティログをどう有効活用していくか、どんな使い方をしていくかアップデートに期待大なサービスです。
この記事がどなたかの役に立てれば嬉しいです。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.