コンソールを使用した Security Lake の有効化 - Amazon Security Lake
ステップ 1: ソースを設定するステップ 2: ストレージ設定とロールアップリージョンを定義する (オプション)ステップ 3: データレイクを確認して作成するステップ 4: 独自のデータを表示してクエリするステップ 5: サブスクライバーを作成する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

コンソールを使用した Security Lake の有効化

このチュートリアルでは、 を使用して Security Lake を有効にして設定する方法について説明します AWS Management Console。の一部として AWS Management Console、Security Lake コンソールは開始するための合理化されたプロセスを提供し、データレイクの作成に必要なすべての AWS Identity and Access Management (IAM) ロールを作成します。

ステップ 1: ソースを設定する

Security Lake は、さまざまなソースから、 AWS アカウント および AWS リージョン全体からログとイベントデータを収集します。以下の手順に従って、Security Lake に収集させたいデータを特定してください。これらの手順は、ネイティブにサポートされている AWS のサービス をソースとして追加する場合にのみ使用できます。カスタムソースの追加については、Security Lake のカスタムソースからデータを収集する を参照してください。

ログソースコレクションを設定するには

  1. Security Lake コンソール https://console.aws.amazon.com/securitylake/ を開きます。

  2. ページの右上隅にある AWS リージョン セレクターを使用して、リージョンを選択します。Security Lake は、オンボーディング中に現在のリージョンと他のリージョンで有効にできます。

  3. [開始する] を選択します。

  4. ログソースとイベントソースの選択 では、ソース選択に次のいずれかのオプションを選択します。

    1. デフォルトの AWS ソースの取り込み – 推奨オプションを選択すると、CloudTrail - S3 データイベント および AWS WAF はデフォルトでは取り込みに含まれません。これは、両方のソースタイプを大量に取り込むと、使用コストに大きな影響を与える可能性があるためです。これらのソースを取り込むには、まず特定の AWS ソースの取り込みオプションを選択し、次にログおよびイベントソースリストからこれらのソースを選択します。

    2. 特定の AWS ソースを取り込む – このオプションでは、取り込む 1 つ以上のログソースとイベントソースを選択できます。

    注記

    アカウントで Security Lake を初めて有効にすると、選択したすべてのログソースとイベントソースが 15 日間の無料試用期間に含まれます。使用情報の詳細については、「使用状況と推定コストの確認」を参照してください。

  5. バージョン で、ログソースとイベントソースを取り込むデータソースのバージョンを選択します。バージョンの詳細については、「OCSFソースの識別」を参照してください。

    重要

    指定されたリージョンで新しいバージョンの AWS ログソースを有効にするために必要なロールアクセス許可がない場合は、Security Lake 管理者にお問い合わせください。詳細については、「ロールのアクセス許可の更新」を参照してください。

  6. [リージョンの選択] では、サポートされているすべてのリージョンからログとイベント ソースを取り込むか、特定のリージョンから取り込むかを選択します。[特定のリージョン] を選択した場合は、データを取り込む地域を選択します。

  7. Select アカウントの場合は、次の手順を実行します。

    1. Security Lake が組織内のすべてのアカウントまたは特定のアカウントからデータを取り込むかどうかを選択します。これらのアカウントでは、この設定中に選択した設定で Security Lake が有効になります。

    2. 新しい組織アカウントの Security Lake を自動的に有効にするチェックボックスがデフォルトで選択されています。これらの自動有効化設定は、組織に参加する AWS アカウント ときに に適用されます。自動有効化設定はいつでも編集できます。

      注記

      自動有効化設定は、既存のアカウントではなく、組織に参加するアカウントにのみ適用されます。詳細については、「コンソールでの新しいアカウント設定の編集」を参照してください。

  8. サービスアクセスには、新しい IAM ロールを作成するか、ソースからデータを収集してデータレイクに追加する権限を Security Lake に付与する既存の IAM ロールを使用します。Security Lake を有効にしたすべてのリージョンで 1 つのロールが使用されます。

  9. [次へ] を選択します。

ステップ 2: ストレージ設定とロールアップリージョンを定義する (オプション)

Security Lake にデータを保存する Amazon S3 ストレージクラスとその期間を指定できます。ロールアップリージョンを指定して、複数のリージョンのデータを統合することもできます。これらはオプションのステップです。詳細については、「Security Lakeのライフサイクル管理」を参照してください。

ストレージとロールアップの設定を行うには

  1. 複数の対象リージョンのデータを 1 つのロールアップリージョンに統合する場合は、[ロールアップリージョンの選択] で [ロールアップリージョンの追加] を選択します。ロールアップリージョンとそれに寄与するリージョンを指定します。1 つ以上のロールアップリージョンを設定できます。

  2. [ストレージクラスを選択] では、Amazon S3 ストレージクラスを選択します。デフォルトのストレージクラスは、S3 Standardです。それ以降にデータを別のストレージクラスに移行する場合は保持期間 (日単位) を指定し、[Add transition] を選択します。保持期間が終了すると、オブジェクトは期限切れになり、Amazon S3 はそれらを削除します。Amazon S3 ストレージ クラスと保持の詳細については、「保持管理」を参照してください。

  3. 最初のステップでサービスアクセス用にロールアップリージョンを選択した場合は、新しい IAM ロールを作成するか、Security Lake に複数のリージョンにデータを複製する権限を付与する既存の IAM ロールを使用してください。

  4. [次へ] を選択します。

ステップ 3: データレイクを確認して作成する

Security Lake がデータを収集するソース、ロールアップ地域、および保持設定を確認してください。次に、データレイクを作成します。

データレイクを確認して作成するには

  1. Security Lake を有効にする際には、ログとイベントのソースリージョンロールアップリージョンストレージクラスを確認してください

  2. [作成] を選択します。

データレイクを作成すると、Security Lake コンソールに Summary ページが表示されます。このページでは、リージョンロールアップリージョンの数、サブスクライバーに関する情報、および問題の概要を示します。

問題メニューには、Security Lake サービスまたは Amazon S3 バケットに影響を与えている過去 14 日間の問題の概要が表示されます。各問題の詳細については、Security Lake コンソールの問題ページを参照してください。

ステップ 4: 独自のデータを表示してクエリする

データレイクを作成したら、Amazon Athena または同様のサービスを使用して、 AWS Lake Formation データベースやテーブルからデータを表示およびクエリできます。コンソールを使用すると、Security Lake を有効にするために使用するロールに、Security Lake によってデータベース表示アクセス許可が自動的に付与されます。ロールには少なくとも Data Analyst 権限が必要です。権限レベルの詳細については、「Lake Formation ペルソナ」と「IAM 権限リファレンス」を参照してください。SELECT権限を付与する手順については、『AWS Lake Formation 開発者ガイド』の「名前付きリソースメソッドを使用した Data Catalog 権限の付与」を参照してください。

ステップ 5: サブスクライバーを作成する

データレイクを作成したら、データを使用するサブスクライバーを追加できます。サブスクライバーは、Amazon S3 バケット内のオブジェクトに直接アクセスするか、データレイクにクエリを実行することでデータを使用できます。サブスクライバーの詳細については、「Security Lake でのサブスクライバー管理」を参照してください。