現状のデータ分析の基盤について
ほかの顧客データなどを実際に活用するハードルは結構高いのでは
→実際にTableau(タブロー)を導入したばかりであり、すぐにQuicksightが使われるわけではない
実際にサービス評価も行われている、まだ確認できていないが
最初に今回あまり調査実施できませんでした、、
AWS CLIでログデータのデータレイク作ろうとしたらうまく行かなくて、、あまり他の調べができませんでした。
一方でAWS内のサービスにおいて分析を行うサービスであれば使いやすいのでは?aws
ログ分析を行う基盤など
→Amazon Detective、Security Lakeなどあるが、、
AWS上のアプリケーションでのセキュリティ問題や不審なアクティビティなどがあった際に原因を分析・調査することを支援するサービス
Amazon Security Lake は、AWS 環境、SaaS プロバイダー、オンプレミス、およびクラウドソースからのセキュリティデータを、アカウントに保存されている専用データレイクに自動的に一元化します
security lake
データアクセス
クエリアクセス
athena + quicksigtの使用例
S3からとってきていたが今回顧客のデータを使うなどは難しい
ログやセキュリティの情報を分析するのについては顧客データよりハードルが下がるのでは?
企業規模のセキュリティデータ分析における課題
を解決するためのセキュリティに特化したデータレイクサービス
であるSecurity lakeがある、しかもこれはAthenaで分析かのうである、またGlueも使用可能であり
glue+athena+quicksightでのセキュリティの分析がすぐに可視化できるようになる
QuickSight でデータを視覚化するために Security Lake からクロスアカウント共有を設定する方法と、使用される関連する Athena クエリについて説明します。ログデータを視覚化ワークロードから分離することがベストプラクティスであり、QuickSight 視覚化には別の AWS アカウントを使用することをお勧めします。アーキテクチャの高レベルの概要を図 1 に示します。
そのあとAthenaでデータベースの作成を行ってその後リソースのリンクを作成し、Athenaでクリエがじっこうできるようになる、またクリエ結果を保存するためにS3の指定も必要である。
その後
CREATE VIEW security_hub_new_failed_findings_by_created_time AS
SELECT
finding.title, cloud.account_uid, compliance.status, metadata.product.name
FROM "security_lake_visualization"."amazon_security_lake_table_ap_southeast_2_sh_findings_1_0"
WHERE compliance.status = 'FAILED'
ORDER BY finding.created_time
limit 100;
失敗したチェックを含む 100 件の検出結果を、検出結果の作成時刻で並べ替えてリストするビューの例です。
そのあとQuicksightでの使用がかのうである
うまくいくと以下のようなダッシュボードが作成できる
感想、Athena+quicksightでのデータビジュアル化のことはかなり幅広く有用性があるものだといえると感じた。