Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥

20231025_HibiyaTech#1_SecurityLake

h-ashisan
October 29, 2023

 20231025_HibiyaTech#1_SecurityLake

h-ashisan

October 29, 2023
Tweet

More Decks by h-ashisan

Other Decks in Technology

Transcript

  1. 2 自己紹介 • 名前
 ◦ 芦沢広昭 / あしざわひろあき
 • 業務歴


    ◦ < 2018/4 〜 2021/8>
 インフラエンジニアとして運用保守を担当
 AWSは業務未経験
 ◦ < 2021/9〜 >
 クラスメソッドに入社、SAになる
 AWSにめっちゃ触れる
 • 趣味
 ◦ 筋トレ
 • 近況
 ◦ re:Invent楽しみ

  2. 11 もっと、その先へ • 案件で検証をする機会が出てくる
 ◦ AWS Control Tower環境でのSecurity Lakeを利用し たログ可視化の検証


    ◦ まだ検証段階だが、より気になる存在に
 • 公開されている日本国内での活用事例が
 あまりない
 ◦ Gunosy様のSecurity Hub可視化での
 活用事例をみて感銘を受け続けている
 
 → 自分もこんな活用事例を出してみたい!という モチベーションに
 もっと
 触っていきたい!
 → 今ここです

  3. Amazon Security Lakeは、フルマネージド型のセキュリティデータレイクサービスです。Security Lake を使用すると、AWS環境、SaaS プロバイダー、オン プレミス、クラウドソース、サードパーティソースからのセキュリティデータを、専用のデータレイクに自動的に一元化し、自分に保存できます。AWS アカウ ントSecurity Lake

    はセキュリティデータの分析に役立つため、組織全体のセキュリティ体制をより完全に理解できます。Security Lake を使用すると、ワー クロード、アプリケーション、およびデータの保護を強化することもできます。 
 データレイクは Amazon シンプルストレージサービス (Amazon S3) バケットによって支えられており、データの所有権はお客様が保持します。 
 Security Lake は、AWS のサービス統合サービスやサードパーティサービスからのセキュリティ関連のログとイベントデータの収集を自動化します。また、 カスタマイズ可能な保存設定とレプリケーション設定により、データのライフサイクルを管理するのにも役立ちます。Security Lake は、取り込まれたデータ を Apache Parquet 形式と、オープンサイバーセキュリティスキーマフレームワーク (OCSF) と呼ばれる標準のオープンソーススキーマに変換します。 OCSF のサポートにより、Security Lake AWS は幅広いエンタープライズセキュリティデータソースからのセキュリティデータを正規化し、組み合わせます。 
 AWS のサービス他のサービスやサードパーティのサービスは、Security Lake に保存されているデータをサブスクライブして、インシデント対応やセキュリ ティデータ分析を行うことができます。 
 
 16 Amazon Security Lakeとは? 引用: https://docs.aws.amazon.com/ja_jp/security-lake/latest/userguide/what-is-security-lake.html
  4. Amazon Security Lakeは、 フルマネージド型のセキュリティデータレイクサービスです。Security Lake を使用すると、AWS環境、SaaS プロバイ ダー、オンプレミス、クラウドソース、サードパーティソースからの セキュリティデータを、専用のデータレイクに自動的に一元化 し、自分に保存できます。

    AWS アカウントSecurity Lake はセキュリティデータの分析に役立つため、組織全体のセキュリティ体制をより完全に理解できます。Security Lake を使用 すると、ワークロード、アプリケーション、およびデータの保護を強化することもできます。 
 データレイクは Amazon シンプルストレージサービス (Amazon S3) バケットによって支えられており、データの所有権はお客様が保持します。 
 Security Lake は、AWS のサービス統合サービスやサードパーティサービスからのセキュリティ関連のログとイベントデータの収集 を自動化します。また、カスタマイズ可能な保存設定とレプリケーション設定により、データのライフサイクルを管理するのにも役立ちます。Security Lake は、取り込まれたデータを Apache Parquet 形式と、オープンサイバーセキュリティスキーマフレームワーク (OCSF) と呼ばれる標準の オープ ンソーススキーマに変換します。OCSF のサポートにより、Security Lake AWS は幅広いエンタープライズセキュリティデータソースからのセキュリティ データを正規化し、組み合わせます。 
 AWS のサービス他のサービスやサードパーティのサービスは、 Security Lake に保存されているデータをサブスクライブして、インシデント対 応やセキュリティデータ分析を行うことができます。 
 
 17 Amazon Security Lakeとは? 引用: https://docs.aws.amazon.com/ja_jp/security-lake/latest/userguide/what-is-security-lake.html
  5. 20 Amazon Security Lakeの主要な機能 1. セキュアなデータレイク環境の自動構築
 ➢ サービスの有効化
 2. セキュリティログの自動収集および正規化


    ➢ ソース管理
 3. 保存したログへのセキュアなアクセス経路の提供
 ➢ サブスクライバー管理

  6. 21 Amazon Security Lakeの主要な機能 1. セキュアなデータレイク環境の自動構築
 ➢ サービスの有効化
 2. セキュリティログの自動収集および正規化


    ➢ ソース管理
 3. 保存したログへのセキュアなアクセス経路の提供
 ➢ サブスクライバー管理 ← 本日重点的に話すこと

  7. 24 2.ソース管理 • データの収集
 ◦ AWSサービスから
 ▪ CloudTrail管理イベント、データ(S3、Lambda)イベント
 ▪ VPC

    Flow Logs、Route53 Resolver クエリログ
 ▪ Security Hub検出結果
 ◦ カスタムソースから
 ▪ 3rd Partyの任意のソース
 • スキーマ変換
 ◦ OCSF(Open Cybersecurity Schema Framework) & Apache Parquet にログ保存時に自動変換

  8. 29 サブスクライバーの設定方法 マネジメントコンソールだと1ページ!
 以下の情報を埋めていくだけ
 • サブスクライバー名と説明
 • 取得対象のログのイベントソース
 ◦ ※前述したもの

    (CloudTrailなど) 
 • データアクセス方法
 ◦ S3
 ◦ Lake Formation
 • サブスクライバーの認証情報
 ◦ AWSアカウントID
 ◦ 外部キー
 • 通知の詳細(S3のみ)
 ◦ SQS
 ◦ サブスクリプションエンドポイント

  9. 36