

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# オブザーバビリティメカニズムによる可視性の取得
<a name="architecture-gain-visibility"></a>

発生したセキュリティイベントを表示する機能は、適切なセキュリティコントロールを確立するのと同じくらい重要です。 AWS Well-Architected フレームワークのセキュリティの柱では、検出のベストプラクティスとして、[Configure service and application logging](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_detect_investigate_events_app_service_logging.html) and [Capture logs, findings, and metrics in standardized locations](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_detect_investigate_events_logs.html) があります。これらのベストプラクティスを実装するには、イベントを識別し、その情報を人間が消費可能な形式、理想的には一元的な場所に処理するのに役立つ情報を記録する必要があります。

このガイドでは、[Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) を使用してログデータを一元化することをお勧めします。Amazon S3 は、 AWS Network Firewall と DNS Firewall Amazon Route 53 Resolver の両方のログストレージをサポートしています。次に、 [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)と [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) を使用して、Amazon GuardDuty の検出結果やその他のセキュリティの検出結果を 1 つの場所に一元化します。

## ネットワークトラフィックのログ記録
<a name="architecture-gain-visibility-logging"></a>

このガイドの[「予防的および検出的なセキュリティコントロールの自動化](architecture-automate-controls.md)」セクションでは、 と Amazon Route 53 Resolver DNS Firewall を使用して AWS Network Firewall サイバー脅威インテリジェンス (CTI) への対応を自動化する方法について説明します。これらのサービスの両方のログ記録を設定することをお勧めします。ログデータをモニタリングし、制限されたドメインまたは IP アドレスがファイアウォール経由でトラフィックを送信しようとすると警告する検出コントロールを作成できます。

これらのリソースを設定するときは、個々のログ記録要件を考慮してください。例えば、Network Firewall のログ記録は、ステートフルルールエンジンに転送するトラフィックに対してのみ使用できます。ゼロトラストモデルに従い、すべてのトラフィックをステートフルルールエンジンに転送することをお勧めします。ただし、コストを削減する場合は、組織が信頼するトラフィックを除外できます。

Network Firewall と DNS Firewall はどちらも Amazon S3 へのログ記録をサポートしています。これらのサービスのログ記録の設定の詳細については、「 [からのネットワークトラフィックのログ記録 AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html)」および[「DNS Firewall のログ記録の設定](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/firewall-resolver-query-logs-configuring.html)」を参照してください。どちらのサービスでも、 を使用して Amazon S3 バケットへのログ記録を設定できます AWS マネジメントコンソール。

## でのセキュリティ検出結果の一元化 AWS
<a name="architecture-gain-visibility-security-hub"></a>

[AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) は、 のセキュリティ状態を包括的に把握 AWS し、セキュリティ業界標準とベストプラクティスに照らして AWS 環境を評価するのに役立ちます。Security Hub CSPM は、セキュリティコントロールに関連付けられた検出結果を生成できます。また、Amazon GuardDuty AWS のサービスなどの他の から結果を受け取ることもできます。Security Hub CSPM を使用して、 全体、およびサポートされているサードパーティー製品からの結果 AWS アカウント AWS のサービスとデータを一元化できます。統合の詳細については、[Security Hub CSPM ドキュメントの「Security Hub CSPM の統合について](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-providers.html)」を参照してください。

Security Hub CSPM には、セキュリティ問題の優先順位付けと修復に役立つ自動化機能も含まれています。たとえば、自動化ルールを使用して、セキュリティチェックが失敗した場合に重要な検出結果を自動的に更新できます。Amazon EventBridge との統合を使用して、特定の検出結果への自動応答を開始することもできます。詳細については、Security [Hub CSPM ドキュメントの「Security Hub CSPM の検出結果を自動的に変更して処理](https://docs.aws.amazon.com/securityhub/latest/userguide/automations.html)する」を参照してください。

Amazon GuardDuty を使用する場合は、検出結果を Security Hub CSPM に送信するように GuardDuty を設定することをお勧めします。Security Hub CSPM は、セキュリティ体制の分析にこれらの検出結果を含めることができます。詳細については、GuardDuty ドキュメントの[「 との統合 AWS Security Hub CSPM](https://docs.aws.amazon.com/guardduty/latest/ug/securityhub-integration.html)」を参照してください。

Network Firewall と Route 53 Resolver DNS Firewall の両方で、ログ記録するネットワークトラフィックからカスタム検出結果を作成できます。[Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/what-is.html) は、標準 SQL を使用して Amazon S3 でデータを直接分析するのに役立つ対話型のクエリサービスです。Amazon S3 のログをスキャンし、関連するデータを抽出するクエリを Athena で作成できます。手順については、Athena ドキュメントの[「開始](https://docs.aws.amazon.com/athena/latest/ug/getting-started.html)方法」を参照してください。次に、 AWS Lambda 関数を使用して関連するログデータを [AWS Security Finding 形式 (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html) に変換し、結果を Security Hub CSPM に送信できます。Network Firewall から Security Hub CSPM の検出結果にログデータを変換する Lambda 関数の例を次に示します。

```
Import { SecurityHubClient, BatchImportFindingsCommand, GetFindingsCommand } from "@aws-sdk/client-securityhub";

Export const handler = async(event) => {
   const date = new Date().toISOString();
   
   const config = {
      Region: REGION
   };

   const input = {
      Findings: [
         {
            SchemaVersion: '2018-10-08',
            Id: ALERTLOGS3BUCKETID,
            ProductArn: FIREWALLMANAGERARN,
            GeneratorId: 'alertlogs-to-findings',
            AwsAccountId: ACCOUNTID,
            Types: 'Unusual Behaviours/Network Flow/Alert',
            CreatedAt: date,
            UpdatedAt: date,
            Severity: {
               Normalized: 80,
               Product: 8
            },
            Confidence: 100,
            Title: 'Alert Log to Findings',
            Description: 'Network Firewall Alert Log into Finding – add
               top level dynamic detail',
            Resources: [
               {
                  /*these are custom resources. Contain deeper details of your event here*/
                  firewallName: 'Example Name',
                  event: 'Example details here'
               }
            ]
         }
      ]
   };

   const client = new SecurityHubClient(config);
   const command = new BatchImportFindingsCommand(input);
   const response = await client.send(command);
   return { statusCode: 200, response };
};
```

Security Hub CSPM に情報を抽出して送信するためのパターンは、個々のビジネスニーズによって異なります。定期的なスケジュールでデータを送信する必要がある場合は、EventBridge を使用してプロセスを開始できます。情報の追加時にアラートを受信する場合は、[Amazon Simple Notification Service (Amazon SNS) ](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)を使用できます。このアーキテクチャには多くの方法があるため、ビジネスニーズを満たすように適切に計画することが重要です。

## AWS セキュリティデータと他のエンタープライズデータの統合
<a name="architecture-gain-visibility-enterprise-data"></a>

[Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) は、統合された およびサードパーティーのサービスからのセキュリティ関連のログ AWS のサービス とイベントデータの収集を自動化できます。また、保存とレプリケーションの設定をカスタマイズできるため、データのライフサイクル管理にも役立ちます。Security Lake は、取り込んだデータを Apache Parquet 形式とOCSF (OCSF) と呼ばれる標準のオープンソーススキーマに変換します。OCSF サポートにより、Security Lake は のセキュリティデータと幅広いエンタープライズセキュリティデータソースを正規化 AWS し、組み合わせます。他の AWS のサービス やサードパーティのサービスが Security Lake に保存されているデータをサブスクライブして、インシデント対応やセキュリティデータ分析を行うことができます。

Security Hub CSPM から結果を受信するように Security Lake を設定できます。この統合をアクティブ化するには、両方のサービスを有効にし、Security Lake のソースとして Security Hub CSPM を追加する必要があります。これらの手順を完了すると、Security Hub CSPM はすべての検出結果を Security Lake に送信し始めます。Security Lake は、Security Hub CSPM の検出結果を自動的に正規化し、OCSF に変換します。Security Lake では、Security Hub CSPM の検出結果を使用するサブスクライバーを 1 人以上追加できます。詳細については、Security Lake ドキュメントの「 [との統合 AWS Security Hub CSPM](https://docs.aws.amazon.com/security-lake/latest/userguide/aws-integrations.html#securityhub-integration)」を参照してください。

次の動画 [AWS re:Inforce 2024 - Cyber Threat Intelligence Sharing on AWS](https://www.youtube.com/watch?v=ufNNHBPPjQU) では、Security Hub CSPM と Security Lake の統合を使用して CTI を共有する方法について説明します。


