Security Hub CSPM に IoT Device Defender を統合してみた
こんにちは!コンサルティング部のくろすけです!
今回は、AWS IoT Device Defender(以降 IoT Device Defender)の findings を AWS Security Hub CSPM(以降 Security Hub CSPM)に集約する流れを整理してみます。
IoT デバイスの監査結果や異常検知を個別のサービス画面だけで追っていると、セキュリティ運用の見通しが悪くなりがちです。
そこで IoT Device Defender の findings を Security Hub に集約して一元的に確認できないかと思い、実際に試してみました。
概要
AWS IoT Device Defender は、IoT デバイスや関連設定に対して、主に次の 2 つの観点でセキュリティを確認できるサービスです。
- Audit: IoT ポリシーや証明書、設定内容の監査
- Detect: デバイスの異常な振る舞いの検知
結論として、IoT Device Defender は Security Hub CSPM と統合されており、検出結果を Security Hub CSPM に集約できます。
Security Hub CSPM 側では、各サービスから届いた findings をまとめて確認できるため、アカウント全体のセキュリティ検知結果を一元的に見ることができるようになります。
やってみた
1. 事前に有効化しておくもの
まず前提として、次の 2 つが有効になっている必要があります。
今回、IoT Device Defender では Audit のみを有効化して試しています。
- IoT Device Defender
- Audit と Detect は必要に応じてそれぞれ有効化
- Security Hub
2. Security Hub にて IoT Device Defender との統合を有効化
Security Hub の 統合 画面を開き、IoT Device Defender との統合を有効化します。(今回は Audit のみ)
3. Security Hub の検出結果を確認
Security Hub の 検出結果 画面を開き、IoT Device Defender の検出結果が集約されていることを確認します。
IoT Device Defender の Audit は 即時1回の監査かスケジュールされた(定期的な)監査ができます。
スケジュールされた監査の場合は、最短で1回/1日の監査となっており、Security Hub への反映も次回の監査を待つ必要があります。
すぐに Security Hub へ集約されたか否か確認したい場合は、即時1回の監査を実行してから、Security Hub の検出結果を確認してみてください。
あとがき
今回は、IoT Device Defender の Security Hub との統合を試してみました。
統合することで、セキュリティ検出結果を一元監視でき、アカウントのセキュリティ状態の見通しが良くなるかと思います。
また、今回は試していませんが、他のセキュリティサービスと通知構成を統合できそうなので、こちらもそのうち試してみたいと思います。
以上、くろすけでした!
