AWS Security Hubの通知内容をAWS CLIで調べる
重要度ごとの件数を知りたかったのです。
とあるAWSアカウントでAWS Security Hubを有効にしたところ、通知がいっぱい出ました。 そのため、「まずは件数を知りたい!」となったので、AWS CLIを使って調べてみました。
おすすめの方
- AWS Security Hubの通知内容をAWS CLIで調べたい方
いろいろな条件で調べるコマンド
適宜アレンジしてください。なお、件数を知りたい場合はjqを利用しています。
重要度がCRITICALのタイトルだけを見たい
aws securityhub get-findings \
--filters '{"SeverityLabel":[{"Value": "CRITICAL","Comparison":"EQUALS"}]}' \
--query 'Findings[].Title'
重要度がCRITICALの件数を知りたい
aws securityhub get-findings \
--filters '{"SeverityLabel":[{"Value": "CRITICAL","Comparison":"EQUALS"}]}' \
--query 'Findings[].Title' | jq 'length'
コンプライアンスのステータスがFAILEDの件数を知りたい
aws securityhub get-findings \
--filters '{"ComplianceStatus":[{"Value": "FAILED","Comparison":"EQUALS"}]}' \
--query 'Findings[].Title' | jq 'length'
コンプライアンスのステータスがFAILED、かつ、レコード状態がACTIVEの件数を知りたい
aws securityhub get-findings \
--filters '{"ComplianceStatus":[{"Value":"FAILED","Comparison":"EQUALS"}],"RecordState":[{"Value":"ACTIVE","Comparison":"EQUALS"}]}' \
--query 'Findings[].Title' | jq 'length'
レコード状態がACTIVE、かつ、重要度がCRITICALの件数を知りたい
aws securityhub get-findings \
--filters '{"RecordState":[{"Value":"ACTIVE","Comparison":"EQUALS"}],"SeverityLabel":[{"Value": "CRITICAL","Comparison":"EQUALS"}]}' \
--query 'Findings[].Title' | jq 'length'
レコード状態がACTIVE、かつ、重要度がCRITICAL、かつ、ワークフローのステータスがNEWorNOTIFIEDの件数を知りたい
aws securityhub get-findings \
--filters '{"RecordState":[{"Value":"ACTIVE","Comparison":"EQUALS"}],"SeverityLabel":[{"Value":"CRITICAL","Comparison":"EQUALS"}],"WorkflowStatus":[{"Value":"NEW","Comparison":"EQUALS"},{"Value":"NOTIFIED","Comparison":"EQUALS"}]}' \
--query 'Findings[].Title' | jq 'length'
レコード状態がACTIVE、かつ、重要度がHIGH、かつ、ワークフローのステータスがNEWorNOTIFIEDの件数を知りたい
aws securityhub get-findings \
--filters '{"RecordState":[{"Value":"ACTIVE","Comparison":"EQUALS"}],"SeverityLabel":[{"Value":"HIGH","Comparison":"EQUALS"}],"WorkflowStatus":[{"Value":"NEW","Comparison":"EQUALS"},{"Value":"NOTIFIED","Comparison":"EQUALS"}]}' \
--query 'Findings[].Title' | jq 'length'
レコード状態がACTIVE、かつ、重要度がMEDIUM、かつ、ワークフローのステータスがNEWorNOTIFIEDの件数を知りたい
aws securityhub get-findings \
--filters '{"RecordState":[{"Value":"ACTIVE","Comparison":"EQUALS"}],"SeverityLabel":[{"Value":"MEDIUM","Comparison":"EQUALS"}],"WorkflowStatus":[{"Value":"NEW","Comparison":"EQUALS"},{"Value":"NOTIFIED","Comparison":"EQUALS"}]}' \
--query 'Findings[].Title' | jq 'length'
レコード状態がACTIVE、かつ、重要度がLOW、かつ、ワークフローのステータスがNEWorNOTIFIEDの件数を知りたい
aws securityhub get-findings \
--filters '{"RecordState":[{"Value":"ACTIVE","Comparison":"EQUALS"}],"SeverityLabel":[{"Value":"LOW","Comparison":"EQUALS"}],"WorkflowStatus":[{"Value":"NEW","Comparison":"EQUALS"},{"Value":"NOTIFIED","Comparison":"EQUALS"}]}' \
--query 'Findings[].Title' | jq 'length'
レコード状態がACTIVE、かつ、東京リージョン以外の件数を知りたい
aws securityhub get-findings \
--filters '{"RecordState":[{"Value":"ACTIVE","Comparison":"EQUALS"}],"ResourceRegion":[{"Value": "ap-northeast-1","Comparison":"NOT_EQUALS"}]}' \
--query 'Findings[].Title' | jq 'length'
なお、下記の違いがあります。
- Region: 調査結果が生成された地域
- ResourceRegion: 該当リソースがある地域
さいごに
AWS CLIでAWS Security Hubの通知を取得してみました。
filtersで使える値は、AWS CLIのドキュメントをご覧ください。
![【Security Hub修復手順】 [Autoscaling.5] Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません](https://images.ctfassets.net/ct0aopd36mqt/wp-refcat-img-cea52bc8a6ec5cad9021b38df4a08b9e/24c76ee7c1ae7aa7f9676a59c77f8702/aws-security-hub)
