SEC235-NEW:[NEWE LAUNCH]参加レポート
こんにちは、サイバーセキュリティクラウド(以下、CSC)でCloudFastenerのプロダクトデザイニング、開発責任をしております山田です。
この度OpenSearch Service zero-ETL integrationがAmazon Security Lakeに対応しました。
CloudFastenerはSecurity Lakeのパートナーでもあり、また多くのユーザー様にとっても非常に便利なソリューションであるため、今回の発表内容とSecurity Lakeやその関連用語、OpenSearchでのユースケースなどお伝えできればと思います。
Amazon Security Lake
従来、セキュリティに関係するデータはバラバラのフォーマットでユーザーの任意の保存先に格納されることが多かったのですが、Security Lakeはマルチカウントのマルチリージョンのセキュリティ関連ログを一箇所に集約します。
AWS Organizationを使用する場合、複数のAWSアカウントで個別の設定をせずとも、Security Lakeを有効にしたアカウントで一気にログ集約をできるのでとても楽で便利です。
設定自体も簡易であり、マネージメントコンソールでぽちぽち進めるだけで、有効化し使い始めることができるようになっています。
Open Cybersecurity Schema Framework (OCSF)
OCSFはオープンソースで、AWSとその主要パートナーにて作成されています。非常に活発に更新があり、バージョンが上がるごとに欲しいスキーマが入ってくるという印象です。触りはじめは1.0.0-rc.2でしたが、だいぶ更新されてきてますね。
Security Lakeでは、集約されるログをOCSFにしています。カテゴリごとにクラスという概念が存在しており、バラバラだったログフォーマットのスキーマを定義してくれています。
ログのフォーマットが統一されるというのは、分析をする際に非常に強力です。セキュリティイベントが発生し、調査の段階でデータフォーマットがバラバラだと効果的な分析ができない、という辛みを経験したセキュリティ運用者も多いかと思います。
OpenSearch Service zero-ETL integration with Amazon Security Lake
すごく簡単に発表内容をまとめると、OpenSearchにSecurity Lakeのデータを任意のクエリ発行でバコっと取り込むことができ、OpenSearchでその取り込んだデータの分析やアラートができると言ったものでした。
これまで、OpenSearchにSecurity Lakeのデータを取り込むには自前でLoaderの仕組みを構築したり、OpenSearch Ingestionを使用するなどありましたが、ETLせずにOpenSearchに直接入れるというのはこれまた楽で嬉しいですね。
ユースケース(想像)
CloudTrailやVPCフローログのような容量が大きくなりがちなデータは常にOpenSearchに取り込まず、必要な時にだけ分析したいというニーズもあるかと思います。その場合、zero-ETLを使うとアドホックにOpenSearchにデータ取り込みをし、分析をするということが可能になりますので、コストバランスよく使用できると思います。
Athenaで直接Security Lakeのデータを見るという手法もありますが、細かい分析をしていくのにAthenaですと少し遅いと感じる方もいるかと思いますので、OpenSearchを使ってより高速に調査ができるのはいいですね。