この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
はじめに
Security Hub のセキュリティ基準運用で 今までに『抑制済み』にした検出結果(リソース)の一覧を取得したい と感じました。 Security Hub のインサイトという機能で実現できそうなので試してみました。
手順
Security Hub の『インサイト』のページから、 [インサイトを作成する] を選択します。
フィルターの中身は以下のようにして作成します。
- Workflow status(ワークフローのステータス) :: SUPPRESSED(抑制済み)
- Group by(グループ化条件) :: GeneratorId(ジェネレーターID)
インサイト名は適当に入力します。
確認
『インサイト』のページに戻ります。
インサイトの種別を カスタムインサイト に絞ると、作成したものがでてくるはずです。
中身を見てみます。以下のように『抑制済み』にした検出結果を確認できました。
ジェネレーターIDをグループ化条件としていました。 そのため上図ではセキュリティ基準のコントロールID単位で『抑制済み』としたものが上がっています。 また、右側には対象の検出結果の統計(重要度やアカウントID、リソースタイプなど)が表示されています。
ジェネレーターIDのリンクを選択すると、それぞれの検出結果の詳細を確認できます。
おわりに
今まであまりインサイトは触ってこなかったのですが、 このような使い方ができると知れて良かったです。便利ですね。
少しでも参考になれば幸いです。
14
