新しいAWS Security HubのCSPM機能のダッシュボードを細かく見てみた
こんにちは、臼田です。
みなさん、AWSセキュリティのモニタリングしてますか?(挨拶
今回は新しいAWS Security Hubの画面にあったCSPM(Posture Management/体制管理)のダッシュボード機能について動きを見てみたので紹介します。
概要
現在AWS Security Hubの画面を開くと、「体制管理」のメニュー横に「新規」となっています。
こちら「新規」の部分を開きますと以下のメッセージが出てきます。
Posture management dashboard
Security Hub introduces new posture management dashboard widgets with the ability to toggle between the dashboard and findings view.
体制管理ダッシュボード
セキュリティハブに、ダッシュボードと検出結果ビューを切り替えられる新しいセキュリティ管理ダッシュボードウィジェットが追加されました。
実際に開いたページではDashboardとFindingsのタブで分けられています。
実はそこそこ前からこの表示になっていて、今まで気にしていませんでしたがふとチェックしてみたくなりました。
新しいAWS Security Hubがリリースされてからしばらく経ちますが、リリース当初はCSPMの画面はFindings一覧を確認するだけで、直接AWS Security Hub CSPMの画面を確認しに行ったほうが断然よい感じでしたが、現状ではこのダッシュボードの機能も役に立ちそうです。
詳細を見ていきましょう。
CSPMダッシュボード外観
まずダッシュボードの手前からですがタブ切り替えより上に概要があってCSPMのスコアが見れます。ここが一番大事ですよね。
次にダッシュボードタブ配下ですが、現状では6つのウィジェットが並んでいます。AWSの他のウィジェットレイアウトと同じようにウィジェットの追加や並びをリセットするボタンが配置されています。フィルター機能がありその下にウィジェットが並んでいます。AWSマネジメントコンソールのウインドウサイズ等により並び方が異なりますがだいたい2つずつ並ぶと思います。
続けて下の方のスクリーンショット。上記で映りきらなかった2つが並んでいます。
フィルター機能ではいろんな観点でフィルタリングできて、すべてのウィジェットに一括で適用して確認できます(例外あり)。ただ基本的にはアカウントIDのような単位でしかフィルターしなさそうですね。
現状ではこの6つがデフォルトで並んでいて追加ウィジェットはありません。
ウィジェットを1つずつ順に見ていきましょう。
スタンダード一覧
「Security standards」はAWS Security Hub CSPMの各種セキュリティスタンダードの一覧と有効化状況・スコアの一覧が確認できます。
多数のコンプライアンス要件がある場合にはここで一括でそれぞれのスコアが見れますが、ほとんどの環境で必須で使われるAWS Foundational Security Best Practices v1.0.0以外は使い所が限定的なので、このウィジェットはそんなに使わない環境も多そうです。
このウィジェットだけ先ほどいった例外で右上に「All filters not applied」と書いてあるようにフィルターが効きません。
トップのCSPM検出
「Top failed CSPM findings」は検出されたCSPMのFindingsが集計され、重要度と検出数でソートされ表示されています。
この検出のタイトルをクリックするとFindings一覧へ遷移し、フィルターが追加された状態で表示されます。
直ぐに対応すべきものを同じ項目単位で1つずつチェックしていけるので、優先度の高いものを潰していくオペレーションで活用できます。これを日課にするのもよい運用になりそうです。
時系列の対応状況グラフ
「Posture management finding trends」は過去90日などの単位でCSPMの検出数が重要度毎増えたり減ったりした状態遷移が確認できます。
上手く検出している内容を消化できていれば件数が減りますし、環境構築などを行った際に検出が増えたものが、どれくらいのスパンで減らされているか、といった観点でも見ることができます。ざっくりですが、セキュリティ対応のパフォーマンスを測る指標にもなります。
重要度でフィルターができるので、特にCritical/Highの検出をすぐに潰せているかという観点でチェックもできますね。
コンプライアンスステータスがFailの件数遷移グラフ
「Compliance status trends」は検出されているCSPMのFindingsの内、コンプライアンスステータスがFfailの物が何件あるか、の状態遷移です。
1つ前のウィジェットと似ていますが、そちらはコンプライアンスステータスを扱わないIAM Unusedなど別種類のFindingsも内包しているようでした。
コンプライアンス対応のFindingsだけを見るならこちら、という感じになりそうですが使い分けは難しいかも。
問題のあるIAMランキング
「IAM principals with most posture management findings」はCSPMで検出が多いIAMプリンシパルが並べられています。
クリックするとそのIAM単位でフィルターした結果が出ますので、それがいかに危険で複数のルールに引っかかっているかが確認できます。対応するリソース単位で見れて、かつ優先度もわかりやすいので運用の入口に良さそうですね。
使用されていないロールや権限
「Top accounts with unused access findings」は最近AWS Security Hubで対応したIAM Unused Accessの状況の一覧です。
アカウント単位で下記件数が確認できます。
- 未使用のIAM Role
- 未使用のIAM User コンソールアクセス(未使用のパスワード)
- 未使用のRole権限
RoleやUserは棚卸しに活用できます。しかし権限部分は結構細くチェックされるのでそこまで潰しこまなくてもよいかなー、くらいまであります。
以上6つのウィジェットでした。
全体のダッシュボード
これと合わせてAWS Security Hub全体でもダッシュボードがあるのでそちらのウィジェットも確認してみました。いろんなウィジェットが追加できますが…
並べるとCSPM周りの項目をここに並べることもできます。
必要に応じカスタマイズしてみましょう。
ちなみにCSPM側のすべてのウィジェットを使える訳では無いのがちょっともったいないですね。
まとめ
新しいAWS Security HubのCSPMページでダッシュボードが利用できるようになっています。
いい感じのウィジェットもありますので、運用に活用していきましょう!
