AWSは先頃、Amazon Athena分析環境を使ってAWSサービスログを対象にセキュリティ調査を行うオープンソースフレームワークとして、Security Analytics Bootstrapを発表した。
AWS CloudFormationテンプレートを起動することにより、Amazon S3内に格納された一般的なAWSサービスログの調査を実現する。現時点では、AWS CloudTrailの出力するログ(すべての管理およびデータログを含む)、VPC Flow Logs、Route 53 DNSのリゾルバクエリログがサポートの対象である。
CloudFormationテンプレートは、Athena分析環境、AWSサーバレス対話型クエリサービス、AWS Glueのデータベースとテーブルを生成する。生成される各テーブルスキーマは、複数のアカウント、リージョン、日付を対象としたパーティショニングと検索を含む、一般的なセキュリティ調査要件をサポートしている。コードのメンテナンスは不要で、すべてインフラストラクチャ・アズ・コードとしてデプロイされる。一般的なユースケースのためのSQLクエリのサンプルも提供されている。
AWS Security Analytics BootstrapがS3ロギングバケットとは異なるアカウントにある、"クロスアカウント・デプロイメント"の例出典: https://aws.amazon.com/blogs/opensource/introducing-aws-security-analytics-bootstrap/
AWSのソリューションアーキテクトであるMohit Gadkari氏と、同じく脅威検出およびインシデント対応コンサルタントのRyan Smith氏が、次のように書いている。
AWS Security Analytics Bootstrapは、Amazon Athenaのパーティションプロジェクションを使うことで、追加的なインフラストラクチャやコード、頻繁なメンテナンス作業を必要とせず、アカウント、リージョン、日付を越えた動的パーティショニングを提供しています。アカウント、リージョン、日付でAWSサービスログをパーティショニングすることによって、AWSのユーザは、ターゲットを絞ったクエリの作成と、コストおよびクエリ時間の短縮が可能になります。
提案されているユースケースとしては、AWS内でのネイティブなAWSサービスログ検索、SIEM(Security Information and Event Management)のないデプロイメントのトラブルシューティング、SIEM保存期間を越えたログ検索、一元化されたログのないAWSアカウントの調査、などがある。
クラウド開発者のRadoslaw Gola氏は、次のような評価をしている。
よくできていると思います。これがどの程度、大規模なクラウドシステムまでスケールアップ可能なのか気になります — ServiceLensを組み込んで、マルチリージョンやマルチアカウントのレベルにまで機能を向上させる検討はされているのでしょうか?
プロジェクトはGitHub上に、Apache 2.0ライセンスの下で公開されている。Smith氏が強調するのは、そのデプロイメントの簡易さだ。
環境にはプロダクションユースに必要な、あるいは推奨されるコンフィギュレーションが予め含まれているので、大部分のユースケースでそのまま使用することができます。新機能の開発にも積極的に取り組んでいます。フィードバックや要望をお寄せください。
メインテンプレートはそれ自体でデプロイすることも、特定のユースケースや要件をカバーする他のテンプレートと組み合わせてフローログ(flow logs)を有効にしたり、あるいはAmazon Route 53 Resolver Query Logのクエリを実行することも可能である。
Corey Quinn氏は自身のニュースレターで、次のようにコメントしている。
"オープンソースフレームワーク"というのは、"お金のかかるAWSサービスを一度にたくさん起動するCloudFormationテンプレート"の、かなり高尚な言い回しです。
CloudFoundationテンプレート自体に関する直接的なコストは存在しないが、AWS Security Analytics Bootstrapをインストールすることで、Amazon Athea、Amazon S3、KMSの課金を被ることになるからだ。