【小ネタ】Security Hub で『抑制済み(SUPPRESSED)』にしたものを簡単に確認するためのインサイトを作ってみる

AWS Security Hub のインサイト活用例
2021.12.17

はじめに

Security Hub のセキュリティ基準運用で 今までに『抑制済み』にした検出結果(リソース)の一覧を取得したい と感じました。 Security Hub のインサイトという機能で実現できそうなので試してみました。

手順

Security Hub の『インサイト』のページから、 [インサイトを作成する] を選択します。

img

フィルターの中身は以下のようにして作成します。

  • Workflow status(ワークフローのステータス) :: SUPPRESSED(抑制済み)
  • Group by(グループ化条件) :: GeneratorId(ジェネレーターID)

img

インサイト名は適当に入力します。

img

確認

『インサイト』のページに戻ります。 インサイトの種別を カスタムインサイト に絞ると、作成したものがでてくるはずです。

img

中身を見てみます。以下のように『抑制済み』にした検出結果を確認できました。

img

ジェネレーターIDをグループ化条件としていました。 そのため上図ではセキュリティ基準のコントロールID単位で『抑制済み』としたものが上がっています。 また、右側には対象の検出結果の統計(重要度やアカウントID、リソースタイプなど)が表示されています。

ジェネレーターIDのリンクを選択すると、それぞれの検出結果の詳細を確認できます。

img

おわりに

今まであまりインサイトは触ってこなかったのですが、 このような使い方ができると知れて良かったです。便利ですね。

少しでも参考になれば幸いです。

参考