AWSログ分析：クラウドサービスとリファレンスアーキテクチャ

AWS Log Analyticsとは？

ログ分析とは、パターン、傾向、問題を特定するために、様々なソースからログデータを収集、解析、分析するプロセスです。IT専門家、システム管理者、サイバーセキュリティ専門家にとって、システムやアプリケーションの健全性、セキュリティ、パフォーマンスを監視し、維持するための重要なツールです。

AWSでは、ログ分析は様々な理由で重要である：

• セキュリティ：ログ分析は、セキュリティ侵害や、セキュリティ脅威を示す可能性のあるシステム動作の異常を特定するのに役立つ。
• パフォーマンス：ログ分析により、システムやアプリケーションのパフォーマンスの問題やボトルネックを特定できるため、IT担当者はユーザーに影響が及ぶ前にトラブルシューティングを行い、問題を解決することができます。
• コンプライアンス：ログ解析は、システム・アクティビティの完全かつ正確な記録を提供することにより、組織が規制およびコンプライアンス要件を満たすのに役立ちます。
• デバッグ:ログ分析は、システムやアプリケーションのエラーや問題の根本原因を特定するのに役立ち、IT専門家はより迅速かつ効率的に問題を解決することができます。
• コストの最適化：ログ分析により、AWSリソースを最適化し、未利用または過剰なリソースを特定することでコストを削減することができます。

推奨図書： SOARセキュリティ：3つのコンポーネント、利点、およびトップユースケース。

ログ分析のためのAWSサービス

CloudWatchログインサイト

CloudWatch Logs Insightsは、AWSが提供するフルマネージドサービスであり、ユーザーはアプリケーション、リソース、サービスからのログデータをリアルタイムで検索、分析することができる。ログデータの傾向、パターン、問題を特定できる高度なクエリと可視化機能を提供します。

CloudWatch Logs Insightsを使えば、ユーザーは以下のことができる：

• ログデータに対してアドホッククエリを実行し、傾向、パターン、問題を特定する。
• チャートとグラフを使用してログデータを視覚化します。
• ログデータに特定のイベントやパターンが検出されたときに通知されるアラームを設定します。
• Amazon Elasticsearch Serviceなどの他のAWSサービスと統合し、ログデータをさらに分析、可視化する。

CloudWatch Logs Insightsは、IT専門家、システム管理者、サイバーセキュリティ専門家が、AWS内のシステムとアプリケーションの健全性、セキュリティ、パフォーマンスを監視し、維持するための強力なツールです。

AWS CloudTrail

AWS CloudTrail は、AWS が提供するサービスであり、ユーザーが自分の AWS アカウントのアクティビティを追跡および監視することを可能にする。CloudTrailは、API呼び出し元の身元、API呼び出しの時間、API呼び出し元のIPアドレス、リクエストパラメータ、およびAWSサービスによって返されたレスポンス要素を含む、アカウントで行われたAPIコールを記録します。

CloudTrailは、IT専門家、システム管理者、サイバーセキュリティの専門家にとって、以下のことを行うための重要なツールです：

• AWSリソースへの変更を監視および監査する。
• AWSリソースの問題を特定し、トラブルシューティングを行う。
• AWS活動の完全かつ正確な記録を提供することにより、コンプライアンス要件を満たす。
• AWSアカウントの潜在的な脅威や異常を特定することで、セキュリティを向上させる。

CloudTrailのレコードはS3バケットに保存され、ユーザーはCloudWatch Logs Insights、Amazon Elasticsearch Service、または他のツールを使ってログデータを分析し、可視化することができる。

アマゾン・オープンサーチ・サービス

Amazon OpenSearch Serviceは、AWSが提供するフルマネージドの検索・分析サービスで、オープンソースのElasticsearchプロジェクトに基づいている。ウェブサイト、アプリケーション、ログなど様々なソースからのデータを検索、分析、可視化することができる。

OpenSearchは、大量のデータを迅速かつ効率的に処理できるように設計されており、データの検索、分析、視覚化のためのさまざまな機能を提供している：

• 分散された検索と分析：OpenSearchは複数のサーバーとデータセンターに分散されているため、ユーザーはデータの増加に合わせて検索と分析機能を拡張することができます。
• カスタマイズ可能な検索: OpenSearchでは、検索したいフィールドやフィルタを指定し、検索結果の関連性やランキングを調整することで、ユーザーが検索体験をカスタマイズすることができます。
• トレース分析：OpenSearchには、ユーザーがログデータを分析し、システムやアプリケーションの傾向、パターン、問題を特定できる「トレース分析」という機能があります。これは、IT専門家やサイバーセキュリティの専門家にとって、システムの健全性、セキュリティ、パフォーマンスを監視し、維持するために特に役立ちます。

AWS上の集中型ロギング・ソリューション・アーキテクチャ

AWS上の集中型ロギング・ソリューションは、組織が複数のソースからログ・データを一元的に収集、処理、分析できるようにするデザイン・パターンである。通常、以下のコンポーネントが含まれる：

• ログの取り込み：アプリケーション、サーバー、デバイスなど、さまざまなソースからログデータを収集するプロセスを指す。これは、CloudWatch Logs、CloudTrail、またはサードパーティのログコレクターなどのツールを使用して行うことができる。
• ログのインデックス化：これは、ログデータを検索可能な形式で保存し、整理するプロセスを指す。これは、オープンソースのElasticsearchプロジェクトに基づくAmazon Elasticsearch Serviceのようなツールを使って行うことができる。
• 可視化：これは、ログデータをチャートやグラフのような視覚的なフォーマットで表示するプロセスを指す。これは、CloudWatch Logs Insights、Amazon Elasticsearch Service、またはサードパーティの可視化ツールなどのツールを使って行うことができる。

CloudFormationでアーキテクチャを自動的にデプロイする

集中型ロギングソリューションの実装ガイドは、AWS サービスを使用して集中型ロギングソリューションを実装するために AWS によって提供される指示とリソースのセットです。それは、集中型ロギングソリューションのセットアップに関連するステップの詳細なウォークスルー、および必要なAWSリソースの作成と構成のプロセスを自動化するAWS CloudFormationテンプレートの付随を含みます。

実装ガイドに含まれる AWS CloudFormation テンプレートは、AWS 上で集中型ロギングソリューションをセットアップするプロセスを合理化するように設計されている。これらは、ユーザーがJSONまたはYAMLファイルで必要なリソースを定義し、AWS CloudFormationサービスを使用してそれらのリソースを自動的に作成および構成することを可能にする。これは、手動でリソースを作成・構成するのに比べて、時間を節約し、エラーのリスクを減らすことができる。

実装ガイドと付属のCloudFormationテンプレートは、AWS上に集中型ロギングソリューションをセットアップしたいIT専門家、システム管理者、サイバーセキュリティ専門家にとって有用なリソースです。ステップバイステップのガイドと自動化ツールを提供し、ユーザが迅速かつ効率的に開始できるように支援します。

Exabeam UEBAによるAWSログ分析

クラウドセキュリティの管理は、特にデータ、リソース、サービスが大きくなるにつれて難しくなります。設定ミスや可視性の欠如は、データやシステムの侵害に頻繁に悪用されます。この2つの問題は、一元化されたツールがなければ発生する可能性が高く、可視性こそが優れたセキュリティ監視の鍵なのです。

プロバイダーのダッシュボードやサービスは、基本的な可視性を提供するには十分かもしれない。しかし、ほとんどの組織では、より高度なセキュリティ対策が必要です。そのため、Log Analytics ソリューションは、Exabeam Fusionや Exabeam Security Investigationに含まれるようなユーザ・エンティティ行動分析(UEBA)ツールと組み合わされることが多いのです。これらの製品に搭載されているExabeam UEBA機能は、「正常な」アクティビティのベースラインを作成し、ベースラインから逸脱したアクティビティを特定して警告することができます。

Exabeamは、ログアナリティクスのデータを取り込み、ネットワーク上の同じユーザーやエンティティに関連する他のセッション・アクティビティやシグナルと正規化します：

• 一元的な監視の提供 -システムが分散している場合、サービスごとに個別のダッシュボードやポータルを用意する必要があるため、監視が困難になることがあります。Log Analytics は、スタンドアロン・ダッシュボードでは見逃してしまうような不審な動作やポリシー違反の動作を警告することができますが、Exabeamスマートタイムライン(™) では、ユーザ・セッション全体のコンテキストでアクティビティを確認することができます。
• マルチクラウドやハイブリッドクラウドシステムにおける可視化の実現 -クラウド固有のサービスは、オンプレミスのリソースに拡張できない場合があります。Log Analyticsは、環境間でポリシーと構成が一貫していることを確認するのに役立ちます。例えば、ハイブリッド・ストレージ・サービスにおけるデータの使用と転送を監視することができます。DLPソリューションやその他のローカルAD、AD FSシグナルと組み合わせることで、Exabeamは異常の発生をいち早く察知することができます。
• コンプライアンス基準の評価と証明に役立つ -Log Analyticsは、追跡可能な統一されたロギングと、実行されたアクションの証拠を提供できます。Log Analyticsのロギングとイベント追跡は、コンプライアンス監査や認証に利用できます。Exabeamは、ダッシュボードや監査証跡を提供することで、コンプライアンス・イニシアチブをサポートします。Exabeamは、検索結果やクエリ結果を他のシステムにエクスポートするためのAPIも提供しており、セキュリティ・エコシステム全体が一体となって動作するよう支援します。

システムのニーズに合わせたスケーリング - Log Analyticsは、多くの場合、分散システムを監視するためにデーモンまたはエージェントを使用します。これらのエージェントを使用すると、環境のサイズに合わせてLog Analyticsを拡張できます。システム全体のツールのデータストリームを受け入れ、取り込むことで、使用するツールのスケーラビリティを活用することができます。Exabeamはまた、お客様のニーズに合わせて拡張することができ、1テナントあたり最大100PB、1M以上のEPSでログデータを処理することができます。

エクサビームでは、脅威検知, Investigation, and Response (TDIR) for Public Cloud を、クラウドに特化したコンテンツパッケージとして提供しています。このコンテンツにより、企業はクラウドインフラストラクチャ内の「正常」を理解し、異常なユーザー行動を特定することができます。このコンテンツは、組織がクラウドの脅威に対抗するために設計されており、以下のエクサビームのユースケースに対応しています：

• 危殆化した資格証明書と横方向への移動
• データ流出
• 特権アクティビティ
• マルウェア