【小ネタ】Security Hub で『抑制済み(SUPPRESSED)』にしたものを簡単に確認するためのインサイトを作ってみる

はじめに

Security Hub のセキュリティ基準運用で 今までに『抑制済み』にした検出結果(リソース)の一覧を取得したい と感じました。 Security Hub のインサイトという機能で実現できそうなので試してみました。

手順

Security Hub の『インサイト』のページから、 [インサイトを作成する] を選択します。

フィルターの中身は以下のようにして作成します。

• Workflow status(ワークフローのステータス) :: SUPPRESSED(抑制済み)
• Group by(グループ化条件) :: GeneratorId(ジェネレーターID)

インサイト名は適当に入力します。

確認

『インサイト』のページに戻ります。 インサイトの種別を カスタムインサイト に絞ると、作成したものがでてくるはずです。

中身を見てみます。以下のように『抑制済み』にした検出結果を確認できました。

ジェネレーターIDをグループ化条件としていました。 そのため上図ではセキュリティ基準のコントロールID単位で『抑制済み』としたものが上がっています。 また、右側には対象の検出結果の統計(重要度やアカウントID、リソースタイプなど)が表示されています。

ジェネレーターIDのリンクを選択すると、それぞれの検出結果の詳細を確認できます。

おわりに

今まであまりインサイトは触ってこなかったのですが、 このような使い方ができると知れて良かったです。便利ですね。

少しでも参考になれば幸いです。

参考

• AWS Security Finding Format (ASFF) - AWS Security Hub