

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Security Lake AWS のサービス での からのデータ収集
<a name="internal-sources"></a>

Amazon Security Lake では、 AWS のサービスネイティブにサポートされているからログとイベントを収集できます。
+ AWS CloudTrail 管理イベントとデータイベント (S3、Lambda)
+ Amazon Elastic Kubernetes Service (Amazon EKS) 監査ログ
+ Amazon Route 53 Resolver クエリログ
+ AWS Security Hub CSPM 検出結果
+ Amazon Virtual Private Cloud (Amazon VPC) Flow Logs
+ AWS WAF v2 ログ

Security Lake は、このデータを [Security Lake でサイバーセキュリティスキーマフレームワーク (OCSF) を開く](open-cybersecurity-schema-framework.md) および Apache Parquet 形式に自動的に変換します。

**ヒント**  
 前述の 1 つ以上のサービスを Security Lake のログソースとして追加するには、CloudTrail 管理イベントを除いて、これらのサービスのロギングを個別に設定する必要は*ありません*。これらのサービスでロギングを設定している場合は、ログ設定を変更して Security Lake のログソースとして追加する必要は*ありません*。Security Lake は、独立イベントストリームと重複イベントストリームでデータを直接取得します。


## 前提：アクセス許可
<a name="add-internal-sources-permissions"></a>

Security Lake でソース AWS のサービス として を追加するには、必要なアクセス許可が必要です。ソースの追加に使用するロールにアタッチされた AWS Identity and Access Management (IAM) ポリシーに、次のアクションを実行するアクセス許可があることを確認します。
+ `glue:CreateDatabase`
+ `glue:CreateTable`
+ `glue:GetDatabase`
+ `glue:GetTable`
+ `glue:UpdateTable`
+ `iam:CreateServiceLinkedRole`
+ `s3:GetObject`
+ `s3:PutObject`

ロールには、 `S3:getObject`および アクセス`s3:PutObject`許可に次の条件とリソース範囲を設定することをお勧めします。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowUpdatingSecurityLakeS3Buckets",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::aws-security-data-lake*",
              "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
    }
    ]
}
```

------

これらのアクションにより、 からログとイベントを収集 AWS のサービス し、正しい AWS Glue データベースとテーブルに送信できます。

データレイクのサーバー側の暗号化に AWS KMS キーを使用する場合は、 のアクセス許可も必要です`kms:DescribeKey`。

## ソース AWS のサービス としての の追加
<a name="add-internal-sources"></a>

をソース AWS のサービス として追加すると、Security Lake は自動的にセキュリティログとイベントの収集を開始します。これらの手順では、ネイティブにサポートされている を Security Lake のソース AWS のサービス として追加する方法について説明します。カスタムソースを追加する手順については、[Security Lake のカスタムソースからデータを収集する](custom-sources.md)を参照してください。

------
#### [ Console ]

**AWS ログソースを追加するには (コンソール)**

1. Security Lake コンソール [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/)を開きます。

1. ナビゲーションペインで [**ソース**] を選択します。

1. データを収集 AWS のサービス する を選択し、**設定** を選択します。

1. **ソース設定**セクションで、ソースを有効にし、データ取り込みに使用するデータソース**のバージョン**を選択します。デフォルトでは、最新バージョンのデータソースは Security Lake によって取り込まれます。
**重要**  
指定されたリージョンで新しいバージョンの AWS ログソースを有効にするために必要なロールアクセス許可がない場合は、Security Lake 管理者にお問い合わせください。詳細については、[「ロールのアクセス許可の更新](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html#update-role-permissions)」を参照してください。

   サブスクライバーが選択したバージョンのデータソースを取り込むには、サブスクライバー設定も更新する必要があります。サブスクライバーを編集する方法の詳細については、[Amazon Security Lake の「サブスクライバー管理](https://docs.aws.amazon.com//security-lake/latest/userguide/subscriber-management.html)」を参照してください。

   必要に応じて、最新バージョンのみを取り込み、データインジェストに使用される以前のすべてのソースバージョンを無効にすることができます。

1. **リージョン**セクションで、ソースのデータを収集するリージョンを選択します。Security Lake は、選択したリージョンの*すべて*のアカウントからソースからデータを収集します。

1. **[有効化]** を選択します。

------
#### [ API ]

** AWS ログソースを追加するには (API)**

をソース AWS のサービス としてプログラムで追加するには、Security Lake API の [CreateAwsLogSource](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateAwsLogSource.html) オペレーションを使用します。 AWS Command Line Interface (AWS CLI) を使用している場合は、[create-aws-log-source](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/create-aws-log-source.html) コマンドを実行します。`sourceName` および `regions` パラメータが必要です。必要に応じて、ソースの範囲を特定の `accounts`または特定の に制限できます`sourceVersion`。

**重要**  
コマンドでパラメータを指定しない場合、Security Lake は欠落しているパラメータがセット全体を参照していると見なします。たとえば、 `accounts`パラメータを指定しない場合、 コマンドは組織内のアカウントのセット全体に適用されます。

次の の例では、指定されたアカウントとリージョンのソースとして VPC フローログを追加します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

**注記**  
Security Lake を有効にしていないリージョンにこのリクエストを適用すると、エラーが発生します。エラーを解決するには、そのリージョンで Security Lake を有効にするか、 `regions`パラメータを使用して Security Lake を有効にしたリージョンのみを指定します。

```
$ aws securitylake create-aws-log-source \
--sources sourceName=VPC_FLOW,accounts='["123456789012", "111122223333"]',regions=["us-east-2"],sourceVersion="2.0"
```

------

## ソースコレクションのステータスの取得
<a name="get-status-internal-sources"></a>

アクセス方法を選択し、手順に従って、現在のリージョンでログ収集が有効になっているアカウントとソースのスナップショットを取得します。

------
#### [ Console ]

**現在のリージョンのログ収集のステータスを取得するには**

1. Security Lake コンソール [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/) を開きます。

1. ナビゲーションペインで、**アカウント**を選択します。

1. **ソース**列の数値にカーソルを合わせると、選択したアカウントで有効になっているログが表示されます。

------
#### [ API ]

現在のリージョンのログ収集のステータスを取得するには、Security Lake API の [GetDataLakeSources](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_GetDataLakeSources.html) オペレーションを使用します。を使用している場合は AWS CLI、[get-data-lake-sources](https://docs.aws.amazon.com/cli/latest/reference/securitylake/get-data-lake-sources.html) コマンドを実行します。`accounts` パラメータでは、1 つ以上の AWS アカウント IDsリストとして指定できます。リクエストが成功すると、Security Lake は、Security Lake がどの AWS ソースからデータを収集しているか、各ソースのステータスなど、現在のリージョンのアカウントのスナップショットを返します。`accounts` パラメータを含めない場合、レスポンスには、現在のリージョンで Security Lake が設定されているすべてのアカウントのログ収集のステータスが含まれます。

たとえば、次の AWS CLI コマンドは、現在のリージョンで指定されたアカウントのログ収集ステータスを取得します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws securitylake get-data-lake-sources \
--accounts "123456789012" "111122223333"
```

------

## ソース AWS のサービス としての の削除
<a name="remove-internal-sources"></a>

アクセス方法を選択し、以下の手順に従って、Security Lake ソース AWS のサービス としてネイティブにサポートされている を削除します。1 つ以上のリージョンのソースを削除できます。ソースを削除すると、Security Lake は指定されたリージョンとアカウントでそのソースからデータを収集しなくなり、利用者はソースから新しいデータを使用できなくなります。ただし、利用者は Security Lake が削除前にソースから収集したデータを引き続き利用できます。これらの手順は、ネイティブにサポートされている AWS のサービス をソースとして削除する場合にのみ使用できます。カスタムソースの削除については、[Security Lake のカスタムソースからデータを収集する](custom-sources.md)を参照してください。

------
#### [ Console ]

1. Security Lake コンソール [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/)を開きます。

1. ナビゲーションペインで [**ソース**] を選択します。

1. ソースを選択し、[**無効化**] を選択します。

1. このソースからのデータ収集を停止したい地域を 1 つまたは複数選択します。Security Lake は、選択したリージョンの*すべて*のアカウントからのソースからのデータ収集を停止します。

------
#### [ API ]

をソース AWS のサービス としてプログラムで削除するには、Security Lake API の [DeleteAwsLogSource](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_DeleteAwsLogSource.html) オペレーションを使用します。 AWS Command Line Interface (AWS CLI) を使用している場合は、[delete-aws-log-source](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/delete-aws-log-source.html) コマンドを実行します。`sourceName` および `regions` パラメータが必要です。必要に応じて、削除の範囲を特定の `accounts`または特定の に制限できます`sourceVersion`。

**重要**  
コマンドでパラメータを指定しない場合、Security Lake は欠落しているパラメータがセット全体を参照していると見なします。たとえば、`accounts`パラメータ を指定しない場合、 コマンドは組織内のアカウントのセット全体に適用されます。

次の の例では、指定されたアカウントとリージョンのソースとして VPC フローログを削除します。

```
$ aws securitylake delete-aws-log-source \
--sources sourceName=VPC_FLOW,accounts='["123456789012", "111122223333"]',regions='["us-east-1", "us-east-2"]',sourceVersion="2.0"
```

次の の例では、指定されたアカウントとリージョンのソースとして Route 53 を削除します。

```
$ aws securitylake delete-aws-log-source \
--sources sourceName=ROUTE53,accounts='["123456789012"]',regions='["us-east-1", "us-east-2"]',sourceVersion="2.0"
```

前述の例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) 行連続文字を使用しています。

------