翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# OpenSearch Service での Amazon Security Lake データのダイレクトクエリ
このセクションでは、Amazon OpenSearch Service でデータソース統合を作成および設定するプロセスについて説明します。これにより、Security Lake に保存されているデータを効率的にクエリおよび分析できます。
以下のページでは、Security Lake のダイレクトクエリ用データソースをセットアップ方法、必要な前提条件の確認方法、 AWS マネジメントコンソールを使用する手順をステップごとに説明します。
**Topics**
+ [OpenSearch Service での Amazon Security Lake データソース統合の作成](direct-query-security-lake-creating.md)
+ [OpenSearch Dashboards での Security Lake データソースの設定とクエリ](direct-query-security-lake-configure.md)
+ [料金](#direct-query-security-lake-pricing)
+ [制限事項](#direct-query-security-lake-limitations)
+ [推奨事項](#direct-query-security-lake-recommendations)
+ [クォータ](#direct-query-security-lake-quotas)
+ [サポートされる AWS リージョン](#direct-query-security-lake-regions)
# OpenSearch Service での Amazon Security Lake データソース統合の作成
Amazon OpenSearch Serverless を使用して、Amazon Security Lake のセキュリティデータを直接クエリできます。これを行うには、Security Lake データに対して OpenSearch ゼロ ETL 機能を使用できるようにするデータソースを作成します。データソースを作成すると、Security Lake に保存されているデータを直接検索、インサイトの取得、分析できます。オンデマンドインデックス作成を使用することで、一部の Security Lake データセットに対するクエリのパフォーマンスを加速させ、高度な OpenSearch 分析を使用できます。
**Topics**
+ [前提条件](#direct-query-s3security-lake-prereq)
+ [手順](#direct-query-security-lake-create)
+ [次の手順](#direct-query-security-lake-next-steps)
+ [その他のリソース](#direct-query-security-lake-additional-resources)
## 前提条件
作業を始める前に、以下の文書を確認したか確かめてください:
+ [制限事項](direct-query-security-lake-overview.md#direct-query-security-lake-limitations)
+ [推奨事項](direct-query-security-lake-overview.md#direct-query-security-lake-recommendations)
+ [クォータ](direct-query-security-lake-overview.md#direct-query-security-lake-quotas)
データソースを作成する前に、Security Lake で次のアクションを実行します。
+ **Security Hub を有効にします**。OpenSearch リソース AWS リージョン と同じ でログを収集するように Security Lake を設定します。 OpenSearch 手順については、「Amazon Security Lake ユーザーガイド」の「[Amazon Security Lake の開始方法](https://docs.aws.amazon.com/security-lake/latest/userguide/getting-started.html)」を参照してください。
+ **Security Lake のアクセス許可を設定します**。リソース管理のためにサービスにリンクされたロールのアクセス許可を受け入れ、コンソールで**問題**ページに問題が表示されていないことを確認します。詳細については、「Amazon Security Lake ユーザーガイド」の「[Service-linked role for Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/using-service-linked-roles.html)」を参照してください。
+ **Security Lake データソースを共有します**。Security Lake と同じアカウント内で OpenSearch にアクセスする場合は、Security Lake コンソールに Lake Formation への Security Lake バケット登録を促すメッセージが表示されていないことを確認します。クロスアカウント OpenSearch アクセスの場合は、Security Lake コンソールで Lake Formation クエリサブスクライバーを設定します。OpenSearch リソースに関連付けられたアカウントをサブスクライバーとして使用します。詳細については、「Amazon Security Lake ユーザーガイド」の「[Subscriber management in Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/create-query-subscriber-procedures.html)」を参照してください。
さらに、 AWS アカウントには次のリソースも必要です。
+ **(オプション) 手動で作成された IAM ロール。**このロールを使用して、データソースへのアクセスを管理できます。または、OpenSearch Service で必要なアクセス許可を持つロールを自動的に作成することも可能です。手動で作成した IAM ロールを使用する場合は、[手動で作成された IAM ロールに必要なアクセス許可](#direct-query-security-lake-additional-resources-required-permissions) にあるガイダンスに従ってください。
## 手順
データソースを設定して、 AWS マネジメントコンソール内から Security Lake データベースに接続できます。
### を使用してデータソースを設定するには AWS マネジメントコンソール
1. Amazon OpenSearch Service コンソール ([https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/)) に移動します。
1. 左側のナビゲーションペインで、**[中央管理]** に移動し、**[接続されたデータソース]** を選択します。
1. **接続** を選択します。
1. データソースタイプとして **[Security Lake]** を選択します。
1. [**次へ**] を選択します。
1. **[データ接続の詳細]** で、名前とオプションの説明を入力します。
1. **[IAM アクセス許可の設定]** で、データソースへのアクセスを管理する方法を選択します。
1. このデータソースのロールを自動的に作成する場合は、次の手順に従います。
1. **[新しいロールを作成する]** を選択します。
1. IAM ロールの名前を入力します。
1. 1 つ以上の AWS Glue テーブルを選択して、クエリできるデータを定義します。
1. 自分で管理している既存のロールを使用する場合は、次の手順に従います。
1. **[既存のロールを使用]** を選択します。
1. ドロップダウンメニューから既存のロールを選択します。
**注記**
独自のロールを使用する場合は、IAM コンソールから必要なポリシーをアタッチして、すべての必要なアクセス許可があることを確認する必要があります。詳細については、「[手動で作成された IAM ロールに必要なアクセス許可](#direct-query-security-lake-additional-resources-required-permissions)」を参照してください。
1. (オプション) **[タグ]** で、データソースにタグを追加します。
1. [**次へ**] を選択します。
1. **[OpenSearch のセットアップ]** で、OpenSearch のセットアップ方法を選択します。
1. デフォルトのリソース名とデータ保持設定を確認します。
デフォルト設定を使用すると、新しい OpenSearch アプリケーションと専用の Essentials ワークスペースが追加料金なしで作成されます。OpenSearch を使用すると、複数のデータソースを分析できます。これにはワークスペースが含まれており、一般的なユースケースに合わせてカスタマイズされたエクスペリエンスを提供します。WorkSpaces はアクセス制御に対応しているため、ユースケースに応じたプライベートスペースを作成し、共同作業者とのみ共有することができます。
1. カスタマイズされた設定を使用します:
1. **[カスタマイズ]** を選択します。
1. 必要に応じて、コレクション名とデータ保持設定を編集します。
1. 使用する OpenSearch アプリケーションとワークスペースを選択します。
1. [**次へ**] を選択します。
1. 選択内容を確認し、変更を加える必要がある場合は **[編集]** を選択します。
1. **[コネクタ]** を選択して、データソースをセットアップします。データソースの作成中は、このページにとどまってください。準備ができたら、データソースの詳細ページに移動します。
## 次の手順
### OpenSearch Dashboards にアクセスしてダッシュボードを作成する
データソースを作成すると、OpenSearch Service は OpenSearch Dashboards URL を提供します。これを使用することで、SQL または PPL を使用してデータをクエリします。Security Lake 統合には、ログの分析をすぐに始められるように SQL と PPL 用のパッケージ化されたクエリテンプレートが付属しています。
詳細については、「[OpenSearch Dashboards での Security Lake データソースの設定とクエリ](direct-query-security-lake-configure.md)」を参照してください。
## その他のリソース
### 手動で作成された IAM ロールに必要なアクセス許可
データソースを作成するときは、データへのアクセスを管理する IAM ロールを選択します。これには 2 つのオプションがあります。
1. 新しい IAM ロールを自動で作成する
1. 手動で作成した既存の IAM ロールを使用する
手動で作成したロールを使用する場合は、そのロールに正しいアクセス許可をアタッチする必要があります。アクセス許可は、特定のデータソースへのアクセスを許可するとともに、OpenSearch Service がロールを引き受けて、OpenSearch Service がデータに安全にアクセスして操作できるようにする必要があります。さらに、クエリを実行するデータベースとテーブルのロールに LakeFormation アクセス許可を付与します。ダイレクトクエリ接続からクエリを実行する SecurityLake データベースのロールに `DESCRIBE` のアクセス許可を付与します。データベース内のテーブルに対して、少なくとも `SELECT and DESCRIBE` のアクセス許可をデータソースロールに付与します。
次のサンプルポリシーは、データソースの作成と管理に必要な最小特権の許可を示しています。`AdminstratorAccess` ポリシーなどのより広範な許可を持っている場合、これらの許可にはサンプルポリシーの最小特権が含まれます。
次のサンプルポリシーでは、*placeholder text* をユーザー自身の情報に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonOpenSearchDirectQueryServerlessAccess",
"Effect": "Allow",
"Action": [
"aoss:APIAccessAll",
"aoss:DashboardsAccessAll"
],
"Resource": "arn:aws:aoss:us-east-1:111122223333:collection/collectionname/*"
},
{
"Sid": "AmazonOpenSearchDirectQueryGlueAccess",
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetPartition",
"glue:GetPartitions",
"glue:GetTable",
"glue:GetTableVersions",
"glue:GetTables",
"glue:SearchTables",
"glue:BatchGetPartition"
],
"Resource": [
"arn:aws:glue:us-east-1:111122223333:table/databasename/*",
"arn:aws:glue:us-east-1:111122223333:database/databasename",
"arn:aws:glue:us-east-1:111122223333:catalog",
"arn:aws:glue:us-east-1:111122223333:database/default"
]
},
{
"Sid": "AmazonOpenSearchDirectQueryLakeFormationAccess",
"Effect": "Allow",
"Action": [
"lakeformation:GetDataAccess"
],
"Resource": [
"*"
]
}
]
}
```
------
また、ロールには、ターゲット ID を指定する次の信頼ポリシーが必要です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "directquery.opensearchservice.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
ロールを作成する手順については、「[カスタム信頼ポリシーを使用したロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html)」を参照してください。
デフォルトでは、ロールは直接クエリデータソースインデックスにのみアクセスできます。データソースへのアクセスを制限または許可するようにロールを設定できますが、このロールのアクセスは調整しないことをお勧めします。**データソースを削除すると、このロールは削除されます**。これにより、他のユーザーがロールにマッピングされている場合、そのユーザーのアクセスは削除されます。
### カスタマーマネージドキーで暗号化された Security Lake データのクエリ
データ接続に関連付けられた Security Lake バケットが、カスタマーマネージド AWS KMS keyによるサーバー側の暗号化を使用して暗号化されている場合は、LakeFormation サービスロールをキーポリシーに追加する必要があります。これにより、サービスはクエリ用にデータにアクセスして読み取ることができます。
次のサンプルポリシーでは、*placeholder text* をユーザー自身の情報に置き換えます。
```
{
"Sid": "Allow LakeFormation to access the key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
}
```
# OpenSearch Dashboards での Security Lake データソースの設定とクエリ
データソースを作成したら、OpenSearch Dashboards で設定できます。
このセクションでは、データをクエリする前に、OpenSearch Dashboards でのデータソースを使用するさまざまなユースケースについて説明します。開始するには、OpenSearch Dashboards でデータソースに移動する必要があります。左側のメニューの **[管理]** で、**[データソース]** を選択します。次に、OpenSearch Service コンソールで先ほど作成したデータソースの名前を選択します。
## Discover から Security Lake テーブルをクエリする
Security Lake ログに基づいてテーブルを作成した場合は、OpenSearch Discover から直接それらのテーブルをクエリできるようになりました。これにより、使い慣れた Discover インターフェイスから直接、Security Lake に保存されているデータにシームレスにアクセスして分析できます。Discover から直接 Security Lake にクエリを実行することで、データを別の検索インデックスに手動で抽出、変換、ロードする必要がなくなります。ログの分析をすばやく始められるように、Discover には PPL および SQL の保存済みクエリが一式含まれています。
まずは、設定したデータソースを選択します。クエリを実行する関連データベースとテーブルを選択し、検索バーを使用してテーブルに対してクエリを書き込みます。Security Lake 統合でサポートされているステートメント、コマンド、制限については、「[サポートされている SQL コマンドと PPL コマンド](direct-query-supported-commands.md)」を参照してください。
Security Lake で使用できる構築済みのクエリを活用するには、Discover の右上にある **[...]** に移動し、**[クエリを開く]** を選択し、**[テンプレート]** を選択します。Security Lake でサポートされているログソースには、事前に構築されたクエリが多数あります。ユースケースに一致するテンプレートを検索し、検索バーで使用するクエリをコピーして、テンプレート化されたフィールド (リージョンやアクションなど) を独自の情報に置き換えます。
## Discover からのデータの高速化
パフォーマンスを向上させ、OpenSearch で後続のクエリや分析を高速化するには、Discover からのクエリの結果を OpenSearch インデックス付きビューに取り込むことができます。
**インデックス付きビューを作成するには**
1. Discover から、**[インデックス付きビューを作成]** を選択します。
1. クエリエディタで、目的のクエリを入力します。ここで新しいクエリを作成するか、過去の検索から既存のクエリを使用できます。
1. 新しいインデックス付きビューの名前を指定します。後でビューを識別しやすくなるよう、わかりやすい名前を選択します。
1. インデックス付きビューのデータ保持設定を構成します。インデックスにデータを保持する期間を指定することで、パフォーマンスとストレージコストのバランスを取ることができます。
1. インデックス付きビューを作成します。作成後、インデックス付きビューを使用してクエリと分析を高速化できます。
インデックス付きビューを以前に作成してある場合は、Discover からアクセスできます。
**既存のインデックスビューを使用するには**
1. Discover から **[インデックス付きビューを選択]** を選択すると、Security Lake の既存のインデックス付きビューのリストが表示されます。
1. 使用するインデックス付きビューを選択します。これにより、現在のクエリにビューが適用され、データの取得と分析が大幅に高速化される可能性があります。
## データソースのダッシュボードビューを作成する
OpenSearch Service を使用すると、構築済みのダッシュボードテンプレートを使用して一般的な AWS ログタイプを分析できます。Security Lake には、VPC、CloudTrail、および WAF のログ用テンプレートがあります。これらのテンプレートを使用すると、特定のデータに合わせたダッシュボードを作成できます。これには、その特定のログタイプに合わせてカスタマイズされた事前構築済みのクエリとダッシュボードが含まれます。これにより、すべてをゼロから構築することなく、これらの一般的な AWS ログソースの分析を迅速に開始して実行できます。
**注記**
ダッシュボードはインデックス付きビューを使用しており、Security Lake からデータを取り込んで、ダイレクトクエリやコレクションのコンピューティングに活用されます。
これらの構築済みテンプレートのいずれかを使用してダッシュボードを作成するには、次のステップに従います。これにより、データの探索と分析をすぐに開始することができます。
**ダッシュボードビューを作成するには**
1. Amazon OpenSearch Service コンソール ([https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/)) に移動します。
1. 左側のナビゲーションペインから、**[中央管理]**、**[接続済みデータソース]** を選択します。
1. データソースを選択して詳細ページを開きます。
1. **[ダッシュボードを作成]** を選択します。
1. 作成するダッシュボードのタイプを選択します。
1. ダッシュボードの名前を入力します。
1. ダッシュボードのオプションの説明を入力します。
1. ダッシュボードに表示する AWS Glue テーブルを 1 つ以上選択します。
1. ダッシュボード内のデータを更新する頻度を選択します。
1. 使用する OpenSearch ワークスペースを選択します。
1. **[新しいワークスペースを作成]** を選択して、新しいワークスペースを作成します。
1. 既存のワークスペースを使用するには、**[既存のワークスペースを選択]** を選択します。
1. ワークスペースの名前を入力します。
1. **[ダッシュボードを作成]** を選択します。
## トラブルシューティング
結果が期待どおりに返されない場合があります。問題が発生した場合は、[推奨事項](direct-query-security-lake-overview.md#direct-query-security-lake-recommendations) に従っているかを確認してください。
## 料金
Amazon OpenSearch Service は、Security Lake ダイレクトクエリに対して OpenSearch Compute Unit (OCU) の料金を提供します。直接クエリを実行すると、1 時間あたりの OCUs の料金が発生し、請求には DirectQuery OCU の使用タイプとして表示されます。また、Amazon Security Lake とは別の料金が発生します。
ダイレクトクエリには、インタラクティブビュークエリとインデックス付きビュークエリの 2 つのタイプがあります。
+ *インタラクティブクエリ*は、データセレクタに入力し、Security Lake のデータに対して分析を実行するために使用されます。OpenSearch Service は、拡張セッションを維持せずに、個別の事前ウォームされたジョブで各クエリを処理します。
+ *インデックス付きビュークエリ*は、コンピューティングを使用して OpenSearch Service のインデックス付きビューを維持します。これらのクエリは通常、名前付きインデックスに取り込むデータ量が一定でないため、処理に時間がかかります。Security Lake に接続されたデータソースの場合、インデックス化されたデータは OpenSearch Serverless コレクションに保存され、インデックス化されたデータ (IndexingOCU)、検索されたデータ (SearchOCU)、GB で保存されたデータに対して課金されます。
詳細については、「[Amazon OpenSearch Service の料金](https://aws.amazon.com/opensearch-service/pricing/)」の「ダイレクトクエリとサーバーレス」セクションを参照してください。
## 制限事項
Security Lake の直接クエリには、次の制限が適用されます。
+ Security Lake とのダイレクトクエリ統合は、OpenSearch Service コレクションと OpenSearch ユーザーインターフェイスでのみ使用できます。
+ OpenSearch Serverless コレクションには、100 MiB のネットワークペイロード制限があります。
+ Security Lake のテーブル管理は Lake Formation で実行されます。
+ Security Lake は、インデックス付きビューとしてマテリアライズドビューのみをサポートします。カバリングインデックスはサポートされていません。
+ AWS CloudFormation テンプレートはまだサポートされていません。
+ OpenSearch SQL ステートメントと OpenSearch PPL ステートメントは、OpenSearch インデックスを使用する場合とダイレクトクエリを使用する場合とでは制限が異なります。ダイレクトクエリでは、JOIN、サブクエリ、ルックアップなどの高度なコマンドがサポートされていますが、OpenSearch インデックスでのこれらのコマンドのサポートは制限されているか、存在していません。詳細については、「[サポートされている SQL コマンドと PPL コマンド](direct-query-supported-commands.md)」を参照してください。
## 推奨事項
Security Lake で直接クエリを使用する場合は、次のことをお勧めします。
+ Security Lake のステータスを確認し、問題なくスムーズに実行されていることを確認します。トラブルシューティングの詳細な手順については、「Amazon Security Lake ユーザーガイド」の「[Troubleshooting Lake Formation issues](https://docs.aws.amazon.com/security-lake/latest/userguide/securitylake-data-lake-troubleshoot.html)」を参照してください。
+ クエリアクセスを確認します。
+ Security Lake の委任管理者アカウントとは異なるアカウントから Security Lake にクエリを実行する場合は、[Security Lake でクエリアクセス権を持つサブスクライバーを設定します](https://docs.aws.amazon.com/security-lake/latest/userguide/subscriber-query-access.html)。
+ 同じアカウントから Security Lake にクエリを実行する場合は、マネージド S3 バケットを LakeFormation に登録する必要がある旨のメッセージが Security Lake に表示されていないかを確認します。
+ クエリテンプレートと構築済みのダッシュボードを調べて、分析をすぐに開始します。
+ Open Cybersecurity Schema Framework (OCSF) と Security Lake について説明します。
+ [OCSF GitHub リポジトリ](https://github.com/ocsf/examples/tree/main/mappings/markdown/AWS/v1.1.0/CloudTrail)内の AWS ソースのスキーママッピングの例を確認する
+ [AWS ソースバージョン 2 (OCSF 1.1.0) の Security Lake クエリにアクセスして、Security Lake を効果的にクエリする方法について説明します。](https://docs.aws.amazon.com/security-lake/latest/userguide/subscriber-query-examples2.html)
+ パーティションを使用してクエリのパフォーマンスを向上させる: `accountid`、`region`、および `time_dt`
+ Security Lake がクエリ用にサポートしている SQL 構文を使いこなす。詳細については、「[サポートされている OpenSearch SQL コマンドと関数](supported-directquery-sql.md)」を参照してください。
+ クエリの制限を使用して、データが多すぎないようにします。
## クォータ
| 説明 | 値 | ソフト制限? | 注意事項 |
| --- | --- | --- | --- |
| ダイレクトクエリ API 全体のアカウントレベルの TPS 制限 | 3 TPS | はい | |
| データソースの最大数 | 20 | はい | 制限は ごとです AWS アカウント。 |
| 自動更新インデックスまたはマテリアライズドビューの最大数 | 30 | はい | 制限はデータソースごとに適用されます。 自動更新が true に設定されているインデックスとマテリアライズドビュー (MV) のみが含まれます。 |
| 最大同時クエリ数 | 30 | はい | 制限は、保留中または実行中状態のクエリに適用されます。 インタラクティブクエリ (`SELECT` のようなデータ取り出しコマンドなど) とインデックスクエリ (`CREATE`/`ALTER`/`DROP` などのオペレーション) が含まれます。 |
| 1 クエリあたりの最大同時 OCU | 512 | はい | OpenSearch コンピューティングユニット (OCU) 15 個のエグゼキューターと 1 個のドライバーに基づいて制限します。各ドライバーには 16 個の vCPU と 32 GB のメモリがあります。同時処理能力を表します。 |
| 最大クエリ実行時間 (分) | 30 | いいえ | インタラクティブクエリ (SELECT のようなデータ取得コマンドなど) にのみ適用されます。REFRESH クエリの場合、制限は 6 時間です。 |
| 古いクエリ ID を削除する期間 | 90 日間 | はい | これは、OpenSearch Service が古いエントリのクエリメタデータを消去するまでの期間です。例えば、90 日以上経過したクエリでは、GetDirectQuery または GetDirectQueryResult の呼び出しは失敗します。 |
## サポートされる AWS リージョン
Security Lake の直接クエリでは、以下 AWS リージョン がサポートされています。
+ アジアパシフィック (ムンバイ)
+ アジアパシフィック (シンガポール)
+ アジアパシフィック (シドニー)
+ アジアパシフィック (東京)
+ カナダ (中部)
+ 欧州 (フランクフルト)
+ 欧州 (アイルランド)
+ 欧州 (ストックホルム)
+ 米国東部 (バージニア北部)
+ 米国東部 (オハイオ)
+ 米国西部 (オレゴン)
+ 欧州 (パリ)
+ 欧州 (ロンドン)
+ 南米(サンパウロ)