2024年11月、AWSはAmazon OpenSearch IngestionがAmazon Security Lakeへのリアルタイムデータ書き込みをサポートすることを発表しました。この新機能により、AWSやサードパーティソースからのセキュリティデータを即座に取り込み、標準化してSecurity Lakeに書き込むことが可能となります。これにより、セキュリティ分析が効率化され、迅速なインシデント対応が期待されます。
新機能の概要
1. データ取り込みと書き込みの統合
Amazon OpenSearch Ingestionは、AWSサービスやサードパーティソースからセキュリティデータをリアルタイムで取り込み、Security Lakeに書き込みます。
2. データの正規化
取り込んだデータは、**Open Cybersecurity Schema Framework(OCSF)**形式に変換され、Security Lakeに統合されます。これにより、異なるデータソース間のフォーマットの違いを吸収し、統一的なデータ管理が可能になります。
3. 広範なソース対応
Palo Alto、CrowdStrike、SentinelOneなどの一般的なセキュリティツールのデータをOCSF形式に変換して取り込み、AWS Glue Data CatalogおよびAWS Lake Formationテーブルで活用できます。
想定される利用用途
1. セキュリティの統合管理
AWSおよびサードパーティのセキュリティデータをSecurity Lakeに集約し、全体を可視化。複数のツールやサービスを使ったセキュリティ運用の効率化に役立ちます。
2. リアルタイムのインシデント対応
リアルタイムでセキュリティデータを取り込み、インシデント発生時に迅速な分析と対応を実現します。
3. データレイクの活用
Security Lakeに集約したデータを分析に活用し、深い洞察を得ることで、脅威検出や予測分析に役立てます。
4. サードパーティデータの統一
Palo AltoやCrowdStrikeなどのサードパーティデータをOCSF形式に変換することで、異なるソースのデータを標準化して一元的に管理します。
メリット
1. データ統合の効率化
複数のソースからのデータをSecurity Lakeに直接取り込むことで、データ統合にかかる手間を削減します。
2. 高精度なセキュリティ分析
OCSF形式への標準化により、データの一貫性が向上し、より正確な分析が可能になります。
3. コスト削減
自動化されたデータ取り込みと正規化プロセスにより、手作業の負担を軽減し、運用コストを削減できます。
4. 拡張性とスケーラビリティ
AWSの広範なエコシステムと統合することで、大量データの処理や拡張に対応可能です。
デメリット
1. 初期設定の複雑さ
Security LakeやOpenSearch Ingestionの設定には、技術的な知識が必要で、導入時に時間がかかる可能性があります。
2. 対応リージョンの制限
この機能は、特定のリージョンでのみ利用可能です。グローバルでの展開を検討している場合は、対応リージョンを確認する必要があります。
3. サードパーティソースの制約
一部のサードパーティデータソースは、OCSF形式への完全な対応がまだ進んでいない可能性があります。
利用可能なリージョン
この新機能は、以下のリージョンで利用可能です:
- 米国東部(オハイオ、バージニア北部)
- 米国西部(オレゴン、北カリフォルニア)
- ヨーロッパ(アイルランド、ロンドン、フランクフルト、ストックホルム)
- アジアパシフィック(東京、シドニー、シンガポール、ムンバイ、ソウル)
- カナダ(中部)
- 南米(サンパウロ)
まとめ
Amazon OpenSearch Ingestionの新機能は、セキュリティデータの収集、正規化、分析を効率化する強力なツールです。これにより、組織は迅速なインシデント対応を実現し、セキュリティの全体的な体制を強化できます。一方で、初期設定やリージョン制限などの注意点を踏まえて導入を検討する必要があります。
詳細は、公式発表ページをご覧ください。
