Accelerate security analytics across hybrid environments with AWS

セッション概要

• タイトル：Accelerate security analytics across hybrid environments with AWS
• 日付：2024年12月2日(月)
• Venue： Mandalay Bay | Lower Level North | Islander F
• スピーカー：
  • Ross Warren(Product SA, Security Lake, AWS)
  • Abhi Khanna(Product Manager, Amazon Inc)
  • Theodora Karali(Sr. Mgr Product Management, Amazon)
• 業界：Professional Services
• 概要：多くの組織は、クラウドとオンプレミスに分散しているセキュリティデータを一元化し、分析するという困難な課題に直面しています。Amazon Security LakeとAmazon OpenSearch Serviceをシームレスに統合することで、このような複雑さを解消し、高価なデータエンジニアリングを必要とせずに、セキュリティチームが直接データを検索して分析できるようになります。この統合により、一般的なセキュリティのユースケースのための事前構築されたクエリ、より迅速な分析のためのオンデマンドインデックス、およびAmazon OpenSearch Dashboardsへのフルアクセスを提供します。これらのAWSサービスを利用することで、組織は運用のオーバーヘッドとコストを削減しながら、セキュリティ調査を加速し、脅威ハンティングを強化し、セキュリティ態勢を最適化することができます。

はじめに

今回のブログでは、データセキュリティ分析に関する技術をテーマとしたセッションを聞いて、皆さんに新しい技術やアップデートされた情報を共有したいと思います。
今回のセッションで注目すべきは、Amazon OpenSearch Service zero-ETL、Amazon Security Lakeです、
「ハイブリッド環境でのセキュリティ分析の加速化」というテーマで、以下の3名の方が発表形式でセッションを行いました。

AGENDA

セッションのアジェンダは以下のとおりです。

上の画面は、セキュリティデータ分析の際に直面する6つの主要な課題を示し、さまざまなソースからのデータ収集、管理からセキュリティ問題の迅速な解決まで、セキュリティデータ分析の包括的な問題に触れました。 特に、データパイプライン管理の複雑さと費用対効果の高いデータアクセシビリティのバランスが重要な課題であることを強調しました。

Amazon OpenSearch ServiceとAmazon Security Lakeのzero-ETL統合

Amazon OpenSearch ServiceとAmazon Security Lakeのzero-ETL統合は、セキュリティログとイベントを効率的に処理する完全なパイプラインを提供します。

データはOpen Cybersecurity Schema Frameworkで標準化され、Amazon Security Lakeで管理され、zero-ETL統合によりAmazon OpenSearch Serviceに渡されます。

この統合の主なメリットは、複雑なデータパイプラインを排除しながら、強力なオンサイト検索、オンデマンドインデックス、事前構築された分析機能をすぐに利用できることです。

最終的には、高度な分析と可視化を通じてセキュリティの洞察を得るための完全なワークフローを提供します。

パイプラインは6つのステップで構成されており、セキュリティログの収集から高度な分析までシームレスにつながります。これにより、複雑なプロセスを経ることなく、迅速にセキュリティデータを分析し、インサイトを導き出すことができます。

6つのベネフィット

Security LakeとOpenSearch統合の6つの重要なベネフィットを説明しています。

1. データの集中化 – AWS ソース、アカウント、リージョン、サードパーティのデータを簡素化された方法で集中化
2. データの標準化 – OCSFスキーマによるデータの正規化により、効率的なストレージおよびクエリアクセスを保証
3. 直接データアクセス – OpenSearchで個別のパイプライン構成なしでSecurity Lakeデータに直接アクセス
4. 完全な可視性 – OpenSearchのオンサイトクエリとオンデマンドインデックス作成による費用対効果の高いデータ管理
5. 統合分析ツール – リアルタイムおよび履歴データ分析のための事前に構築されたクエリとダッシュボードを提供
6. 効率的な時間管理 – データ管理時間を短縮し、セキュリティ問題の解決に集中可能

Amazon Security Lake

以下では、各リソース固有の機能について説明し、まずAmazon Security Lakeサービスの機能説明を行いました。

Amazon Security Lakeの4つの主な特徴

1. 自動データ集中化：クラウド、オンプレミス、カスタムセキュリティソースのデータを地域間で自動集中化
2. データ最適化：効率的なストレージとクエリパフォーマンスのための安全なデータ管理と最適化
3. 柔軟な分析：データの所有権と管理を維持しながら、好みの分析ツールが利用可能
4. 標準化：さまざまな分析ツールとの簡単な共有/使用のためのオープン標準データの正規化

OCSF（Open Cyber​​security Schema Framework）

OCSF（Open Cyber​​security Schema Framework）の説明もありました。

1. Linux Foundationに所属
2. ベンダー中立的なセキュリティデータ分類システムを提供するオープンソースプロジェクト
3. 時間のかかる事前正規化作業なしで迅速なデータ収集/分析が可能
4. OCSF準拠ソースのデータを組み合わせてセキュリティチームのデータサイロを解消
5. 現在、200を超えるセキュリティISV、政府、教育、企業組織が参加しており、使用組織が増加し続けています。

Amazon OpenSearch Servic

Amazon OpenSearch Serviceの4つの重要な機能の説明も続きました

1. 検索：秒単位で関連するセキュリティイベントを迅速に検索します。大規模クエリのサポート
2. 分析：セキュリティデータの可視化と分析。安全で効率的な処理
3. インシデント対応：すべてのデータクイック接続。迅速なクエリと洞察の導出
4. 通知：自動化されたワークフローにセキュリティ通知を送信します。事前設定された宛先に転送

Zero-ETL

上記のリソースの技術を合わせてZero-ETLと命名します。

Zero-ETLは、ETL（Extract、Transform、Load）操作なしでデータを直接統合して分析できるようにする技術です。 Security LakeとOpenSearch Serviceの統合は、4つの主な機能を提供します。

1. クイック設定
2. 直接クエリ可能
3. オンデマンド索引付け
4. 事前に構築されたクエリ/ダッシュボード
   

つまり、別途のデータ変換を行うことなく、Security LakeのデータをOpenSearchですぐに活用できる統合技術です。

まとめ

Zero-ETL with Security Lakeの4つの主な機能をまとめてセッションレポートを終えるかと思います。

簡単な設定

Security Lakeで購読者を作成する

OpenSearch Serviceでデータソースを作成する

サーバーレス自動収集とダッシュボードアプリケーションの自動生成

2. 事前に構築されたクエリ/ダッシュボード

OCSFスキーマベースの200+事前構築クエリを提供

VPC Flow Logs、WAF logs、AWS CloudTrail 管理イベント用ダッシュボード

3. フィールドクエリ

OpenSearchデータ収集なしでSecurity Lake直接クエリ

Apache Icebergのおかげで、高速クエリ速度

SQL/PPLによるOCSFスキーマ・ベースの表の照会

4. オンデマンド索引付け

OpenSearch Dashboardsでワンクリックインデックスを作成

セキュリティ調査のサポートクイッククエリ

セキュリティインサイトのための視覚化

最後に、上記のセッションを開催し、Amazon Security LakeとOpenSearch ServiceのZero-ETL統合により、企業は複雑なデータパイプラインを構築することなく効率的なセキュリティデータ管理が可能になると期待されています。

さらに、OCSFスキーマの標準化と事前に構築されたクエリ/ダッシュボードにより、セキュリティチームのデータ分析時間が大幅に短縮され、リアルタイムのセキュリティ脅威対応能力が向上するようです。

その結果、これらの技術革新は、組織のセキュリティ態度を高め、コストを削減しながら、セキュリティ専門家が実質的なセキュリティ問題の解決に集中できる環境を作成します。

記事 │MEGAZONECLOUD　MSC　Finance Team　アン・ヨンゴン