ビュー:
この機能はコントロールリリースの一部であり、プレビュー段階にあります。このページの内容は変更される可能性があります。
Amazon Security Lakeは、アカウントに組み込まれたセキュリティログ用のデータレイクです。データレイクはAmazon S3 バケットによってサポートされ、データを一連のLake Formationテーブルとして編成します。Amazon Security Lakeは、優れたクエリパフォーマンスとさまざまな分析インフラストラクチャとの互換性を維持しながら、大量のセキュリティログソースの保存とクエリのコストを最適化するように設計されています。Amazon Security Lakeのお客様は、データの低レベルの所有権を保持します。また、Amazon Security Lakeは、AWSネイティブのコアセキュリティログのセットを提供し、コストを最小限に抑え、パフォーマンスを最大化します。
Trend Cloud One Workload Securityは、仮想マシンおよびクラウドワークロードから次の情報を提供します。
  • プロセスアクティビティ
  • ファイルアクティビティ
  • レジストリ値のアクティビティ
  • ネットワークアクティビティ
  • DNSクエリアクティビティ
  • ユーザアカウントのアクティビティ

サポートされる地域

Trend Cloud Oneは、次のリージョンでAmazon Security Lakeをサポートします。
リージョンコード
地域名 (場所)
us-1
us-east-1 (バージニア北部)
au-1
ap-southeast-2 (シドニー)
jp-1
ap-northeast-1 (東京)
de-1
eu-central-1 (フランクフルト)

Amazon Security Lakeの統合

  1. Workload SecurityをTrend Vision Oneと統合し、アクティビティモニタリングを有効にします。
  2. AWSアカウントでAmazon Security Lakeを有効にします (Amazon Security Lakeユーザガイドを参照)。
  3. 次のように、 Workload Securityと統合するためのカスタムリソースを作成します。
    1. Security Lakeコンソールを開きます。
    2. ページの右上隅にあるAWSリージョンセレクタを使用して、カスタムソースを作成するリージョンを選択します。
    3. ナビゲーションペインで[Custom sources]を選択し、次に[Create custom source]を選択します。
    4. [Custom source details] セクションで、カスタムソースのグローバルに一意の名前を入力します。次に、カスタムソースからSecurity Lakeに送信されるデータの種類を示すOCSFイベントクラスを選択します。
    5. [AWS account with permission to write data]については、データレイクにログとイベントを書き込むカスタムソースの[AWS account ID][External ID]を入力してください。
      外部IDはTrend Cloud OneアカウントIDで、AWSアカウントIDはトレンドマイクロ AWSアカウントID 868324285112です。
    6. [[Service Access]]で、新しいサービスロールを作成して使用するか、AWS Glueを呼び出すためのアクセス権限をSecurity Lakeに付与する既存のサービスロールを使用します。
    7. [作成]を選択してください。
    詳細については、カスタムソースからデータを収集するを参照してください。
  4. 統合APIを呼び出して、データをAmazon Security Lakeに転送します。次の情報を使用して、PostmanまたはPawで要求を作成します。
    API: POST https://security-lake.{region}.cloudone.trendmicro.com/api/registrations/
    First header:

  Key: Authorization
  Value: APIKey {your API key} (no braces)

Second header:

  Key: api-version
  Value: v1
  Request Body JSON:
    属性
    種類
    説明
    eventClass
    列挙型
    次のいずれか:
    1. file-activity
    2. process-activity
    3. network-activity
    4. registry-value-activity
    5. dns-activity
    6. account-change-audit
    providerAccountID
    文字列
    AWSアカウントID
    bucketName
    文字列
    Amazon Security Lake S3バケットのバケット名
    プレフィックス
    文字列
    CreateCustomLogSourceの応答からのプレフィックス(customSourceName)
    roleARN
    文字列
    カスタムログソースを作成すると、役割が自動的に作成され、次の命名規則が使用されます。AmazonSecurity LakeLogProviderRole-<accountID>-<data source name>
    例:
           {
         "eventClass":"process-activity",
         "providerAccountID":"123456789012",
         "bucketName":"aws-security-data-lake-us-east-1-o-rzodv08olg",
         "roleArn":"arn:aws:iam::123456789012:role/AmazonSecurityLake-Provider-test-us-east-1"
       }
  5. Trend Micro Integration APIを呼び出して、特定のイベントクラスの登録を解除し、Amazon Security Lakeへのデータ転送を停止します。次の情報を使用して、PostmanまたはPawで要求を作成します。
    API: DELETE https://security-lake.{region}.cloudone.trendmicro.com/api/registrations/{eventClass}
    First header:

  Key: Authorization
  Value: ApiKey {your API key} (no braces)

Second header:

  Key: api-version
  Value: v1
  Request Body JSON:
    属性
    種類
    説明
    eventClass
    列挙型
    次のいずれか:
    1. file-activity
    2. process-activity
    3. network-activity
    4. registry-value-activity
    5. dns-activity
    6. account-change-audit
  6. Integration APIを使用して登録情報を取得します。
    API:URL: GET https://security-lake.{region}.cloudone.trendmicro.com/api/registrations/
    First header:

  Key: Authorization
  Value: ApiKey {your API key} (no braces)

Second header:

  Key: api-version
  Value: v1

データの入力規則

統合手順が完了すると、Trend Cloud OneはアクティビティデータをParquetファイルでOCSF形式に変換し、5分ごとにAmazon S3バケットにデータを配信します。
キーパスを追加して、地域、アカウント、イベント時間を含めることができます。
  • <region>は、データがアップロードされるAWSリージョンです。これは、Trend Cloud Oneの登録地域によって決まります。
  • <accountId>は、レコードが関連するAWSアカウントIDです。
  • <eventDay>イベントが発生した日付です。形式はYYYYMMDDです。