ログのクエリメカニズムを選択して実装する

AWS でログのクエリに使用できる主なサービスとして、CloudWatch ロググループに保存されているデータ用の CloudWatch Logs Insights と、Amazon S3 に保存されているデータ用の Amazon Athena と Amazon OpenSearch Service があります。また、セキュリティ情報とイベント管理 (SIEM) など、サードパーティーのクエリツールを使用することもできます。

ログクエリツールを選択するためのプロセスは、セキュリティオペレーションの人材、プロセス、およびテクノロジー側面を考慮する必要があります。オペレーション、ビジネス、セキュリティの要件を満たし、長期的にアクセスとメンテナンスが可能なツールを選択します。ログクエリツールは、スキャンするログの数がツールの制限内に収まっている場合、動作が最適であることに注意してください。コストや技術的な制約から、お客様が複数のクエリツールを所有することも珍しくありません。例えば、過去 90 日間のデータにはサードパーティーの SIEM ツールを使用し、SIEM のログインジェストコストが原因で 90 日以前のデータをクエリする際は Athena を使用するとった場合です。どのような実装であっても、必要なツールの数を最小限に抑えることで、特にセキュリティイベントの調査時に、運用効率が最大となるアプローチであることを確認してください。