Organizations統合とSecurity Hub統合 両方行っている場合の動作を確認してみた
こんにちは。たかやまです。
Organizationsでは各AWSサービスの統合をサポートしています。また、Security HubはSecurity HubでAWSサービスの統合をサポートしています。
ふと、Organizations統合を使えるサービスとSecurity Hub統合ができるサービス、両方で統合機能を有効化した場合、Security Hub上でイベントが重複しないのか気になりました。
文章だとよくわからないのでイメージ図はこちら
今回はこちらの疑問を解消していこうかと思います。
Organizations統合とSecuirty Hub統合をサポートしているサービス
Organizations統合とSecurity Hub統合(Sends Findings)をサポートしているサービスこちらです。
- AWS Config
- AWS Firewall Manager
- Amazon GuardDuty
- AWS Health
- IAM Access Analyzer
- Amazon Inspector
- Amazon Macie
AWS services that you can use with AWS Organizations - AWS Organizations
Available AWS service integrations - AWS Security Hub
さきにまとめ
- Organizationsで統合された情報はSecurity Hubに集約されない
- Security Hubでイベント内容/通知が多重することもない
- Secuirty Hubで集約管理したい場合は各アカウントでSecurity Hubを有効にしてサービス統合を行う必要がある
確認してみた
統合するサービスはGuardDutyを使って確認していきたいと思います。
GuardDutyをOrgnizations統合
設定状況はこちらです。
Management AccountとMember AccountはGuardDutyのOrganizations統合を行っています。
Management AccountのGuardDutyを確認すると、Management Acount(67XXX01)/Member Account(32XXX67)両方のログが記録されていることが確認できます。
Management AccountではSecurity HubでGuardDutyのサービス統合を行っています。
Management AccountのSecurity Hubを確認すると、Management Account(67XXX01)のGuardDutyイベントのみ記録されています。
このことからOrganizaitons統合でサービスの情報を集約しているからといって、集約された情報がSecurity Hubに連携されないことがわかります。
Security HubをOrganizaitons統合
設定状況はこちらです。
Member Account(52XXX60)のGuardDutyはこちら
Management AccountとのOrganizations統合はしていないため、Member Account(52XXX60)のイベントはManagement AccountのGuardDutyには集約されていません。
Management AccountのSecurity Hubを確認すると、Management Account(67XXX01)とMember Account(52XXX60)のGuardDutyイベントが記録されています。
GuardDutyとSecurity HubをOrganizations統合
設定状況はこちらです。
Management AccountとMember AccountはGuardDutyとSecurity Hub両方をOrganizations統合しています。
Management AccountのGuardDutyを確認すると、Management Acount(67XXX01)/Member Account(81XXX94)両方のログが記録されていることが確認できます。
Management AccountのSecurity Hubを確認すると、Management Account(67XXX01)とMember Account(81XXX94)のGuardDutyイベントが記録されています。
Security Hubのイベントのとおり、GuardDutyで集約された情報とSecurity Hubで集約された情報は2重になることはなく、一つだけ記録されます。
通知イベントも複数するされることはなく、1つのみ配信されます。
(Appendix)IAM Access Analyzerの場合
IAM Access AnalyzerでもOrganizations統合を利用できます。
こちらの画像を見ていただくと分かる通りIAM Access Analyzerの場合、Organizations統合するとMember Account(81XXX94)の情報もまとめてSecurity Hubに集約されていることがわかります。
GuardDutyのときと動作が違うことがわかります。
このときアカウント全体のIAM Access Analyzerの設定を見てみると、Member Account(81XXX94)ではIAM Access Analyzerは有効化されていません。
この動きから察するにIAM Access AnalyzerはOrganizations統合を利用した場合に、Management AccountのIAM Access Analyzerと連携するといった動作ではなくManagement Account単体でアカウント全体の情報を収集できることがわかります。
では、この状態でMember Account(81XXX94)でIAM Access Analyzerを有効にした場合どうなるでしょう?
再度Management Accountで確認してみるとMember Account(81XXX94)のIAM Access Analyzerの検知結果がSecurity Hub上で二重検知されることが確認できます。
GuardDutyと違いIAM Access Analyzerの場合はSecurity Hub上でメッセージが重複しないように考慮する必要がありそうです。
Security Hub上でマルチアカウントにIAM Access Analyzerを管理する場合は以下のいずれかの構成を取るようにしてください。
- Management AccountでOrganizations統合したIAM Access Analyzerを作成し、Member AccountにはIAM Access Analyzerを作成しない
- メリット : Management AccountのIAM Access Analyzerでマルチアカウントに管理できる
- デメリット : Member AccountではIAM Access Analyzerを確認できない
- 各アカウントにIAM Access Analyzerを作成し、Management AccountにOrganizations統合したIAM Access Analyzerは作成しない
- メリット : 各アカウントで自アカウントのIAM Access Analyzerを確認できる
- デメリット : Management AccountのIAM Access Analyzerでマルチアカウントに管理できない
最後に
今回検証したサービスの他にConfigでも動作を確認しましたが、ConfigはGuardDutyと同様の動作をとりました。
基本的にMember Accountでサービスを起動した上でManagement AccountとOrganizations統合するサービスはイベントの重複を防止しているように思います。
一方でIAM Access Analyzerような特殊な集約方法を取るサービスは設定によってはSecurity Hub上で2重検知する場合があるのでご注意ください。
こちらの記事が同様の疑問を持っていた方の助けになれば幸いです。
以上、たかやま(@nyan_kotaroo)でした。