OpenSearch Service에서 Amazon Security Lake 데이터 직접 쿼리

이 섹션에서는 Security Lake에 저장된 데이터를 효율적으로 쿼리하고 분석할 수 있도록 Amazon OpenSearch Service에서 데이터 소스 통합을 생성하고 구성하는 프로세스를 안내합니다.

다음 페이지에서는 Security Lake 직접 쿼리 데이터 소스를 설정하고, 필요한 사전 조건을 탐색하고, AWS Management Console을 사용하여 단계별 절차를 수행하는 방법을 알아봅니다.

주제

가격 책정

Amazon OpenSearch Service는 Security Lake 직접 쿼리에 대한 OpenSearch 컴퓨팅 유닛(OCU) 요금을 제공합니다. 직접 쿼리를 실행하면 청구서에 DirectQuery OCUs 사용 유형으로 나열된 시간당 OCU 요금이 발생합니다. 또한 Amazon Security Lake와 별도의 요금이 발생합니다.

직접 쿼리는 대화형 보기 쿼리와 인덱싱된 뷰 쿼리의 두 가지 유형이 있습니다.

대화형 쿼리는 데이터 선택기를 채우고 Security Lake의 데이터에 대한 분석을 수행하는 데 사용됩니다. OpenSearch Service는 확장 세션을 유지하지 않고 별도의 사전 워밍된 작업으로 각 쿼리를 처리합니다.
인덱싱된 뷰 쿼리는 컴퓨팅을 사용하여 OpenSearch Service에서 인덱스를 유지 관리합니다. 이 쿼리는 다양한 양의 데이터를 명명된 인덱스로 수집하기 때문에 일반적으로 시간이 더 오래 걸립니다. Security Lake 연결 데이터 소스의 경우 인덱싱된 데이터는 OpenSearch Serverless 컬렉션에 저장되며, 여기서 인덱싱된 데이터(IndexingOCU), 검색된 데이터(SearchOCU) 및 GB로 저장된 데이터에 대한 요금이 부과됩니다.

자세한 내용은 Amazon OpenSearch Service 요금에서 직접 쿼리 및 서버리스 섹션을 참조하세요.

제한 사항

Security Lake의 직접 쿼리에는 다음 제한 사항이 적용됩니다.

Security Lake와의 직접 쿼리 통합은 OpenSearch Service 컬렉션 및 OpenSearch 사용자 인터페이스에서만 사용할 수 있습니다.
OpenSearch Serverless 컬렉션에는 100MiB의 네트워크 페이로드 제한이 있습니다.
Security Lake의 테이블 관리 작업은 Lake Formation에서 수행됩니다.
Security Lake는 구체화된 뷰만 인덱싱된 뷰로 지원합니다. 커버링 인덱스는 지원되지 않습니다.
AWS CloudFormation 템플릿은 아직 지원되지 않습니다.
OpenSearch SQL 및 OpenSearch PPL 문은 직접 쿼리를 사용하는 것과 비교하여 OpenSearch 인덱스 관련 작업을 할 때 제한 사항이 서로 다릅니다. 직접 쿼리는 JOIN, 하위 쿼리 및 조회와 같은 고급 명령을 지원하지만, OpenSearch 인덱스에서 이러한 명령에 대한 지원은 제한되거나 존재하지 않습니다. 자세한 내용은 지원되는 SQL 및 PPL 명령 단원을 참조하십시오.

권장 사항

Security Lake에서 직접 쿼리를 사용할 때는 다음을 권장합니다.

Security Lake 상태를 확인하고 문제 없이 원활하게 실행되고 있는지 확인합니다. 자세한 문제 해결 단계는 Amazon Security Lake 사용 설명서의 데이터 레이크 상태 문제 해결을 참조하세요.
쿼리 액세스 권한을 확인합니다.
- Security Lake 위임된 관리자 계정과 다른 계정에서 Security Lake를 쿼리하는 경우 Security Lake에서 쿼리 액세스 권한이 있는 구독자를 설정합니다.
- 동일한 계정에서 Security Lake를 쿼리하는 경우 관리형 S3 버킷을 LakeFormation에 등록하는 방법에 대한 Security Lake의 메시지를 확인합니다.
쿼리 템플릿과 사전 구축된 대시보드를 탐색하여 분석을 바로 시작할 수 있습니다.
Open Cybersecurity Schema Framework(OCSF)와 Security Lake에 대해 알아봅니다.
- OCSF GitHub 리포지토리의 AWS 소스에 대한 스키마 매핑 예제 검토
- AWS 소스 버전 2(OCSF 1.1.0)에 대한 Security Lake 쿼리를 방문하여 Security Lake를 효과적으로 쿼리하는 방법을 알아봅니다.
- 파티션을 사용한 쿼리 성능 개선: accountid, region 및 time_dt
Security Lake가 쿼리를 지원하는 SQL 구문 숙지 자세한 내용은 지원되는 OpenSearch SQL 명령 및 함수 단원을 참조하십시오.
쿼리에 제한을 사용하여 너무 많은 데이터를 다시 가져오지 않도록 합니다.

할당량

설명	값	소프트 한도란?	참고
직접 쿼리 API 전반의 계정 수준 TPS 한도	3TPS	예
최대 데이터 소스 수	20	예	한도는 당입니다 AWS 계정.
최대 자동 새로 고침 인덱스 또는 구체화된 뷰	30	예	데이터 소스당 한도가 적용됩니다. 자동 새로 고침이 true로 설정된 인덱스 및 구체화된 뷰(MV)만 포함합니다.
최대 동시 쿼리 수	30	예	한도는 보류 중이거나 실행 중인 상태의 쿼리에 적용됩니다. 대화형 쿼리(예: `SELECT`와 같은 데이터 검색 명령) 및 인덱스 쿼리(예: `CREATE`/`ALTER`/`DROP`과 같은 작업)를 포함합니다.
쿼리당 최대 동시 OCU	512	예	OpenSearch 컴퓨팅 단위(OCU) 이벤트 한도는 각각 vCPU 16개와 32GB 메모리가 있는 실행기 15개와 드라이버 1개를 기준으로 합니다. 동시 처리 능력을 나타냅니다.
최대 쿼리 실행 시간(분)	30	아니요	대화형 쿼리(예: `SELECT`와 같은 데이터 검색 명령)에만 적용됩니다. `REFRESH` 쿼리의 경우 한도는 6시간입니다.
오래된 쿼리 ID를 제거하기 위한 기준이 되는 기간	90일	예	OpenSearch Service가 이전 항목에 대한 쿼리 메타데이터를 제거하기 위한 기준이 되는 기간입니다. 예를 들어 90일이 지난 쿼리의 경우 GetDirectQuery 또는 GetDirectQueryResult 호출이 실패합니다.

지원됨 AWS 리전

Security Lake의 직접 쿼리에는 다음이 지원 AWS 리전 됩니다.

아시아 태평양(뭄바이)
아시아 태평양(싱가포르)
아시아 태평양(시드니)
아시아 태평양(도쿄)
캐나다(중부)
유럽(프랑크푸르트)
유럽(아일랜드)
유럽(스톡홀름)
미국 동부(버지니아 북부)
미국 동부(오하이오)
미국 서부(오리건)
유럽(파리)
유럽(런던)
남아메리카(상파울루)

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

CloudWatch Logs 데이터 소스 구성

Security Lake 데이터 소스 생성