[アップデート]AWS Security Hubで統合コントロール結果に対応したので既存環境で有効化して無効化してみた

AWS Security Hubの統合コントロール結果を試してみました。戻すのもできるのでまず使ってみましょう。

臼田佳祐

2023.03.10

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、臼田です。

みなさん、AWSのセキュリティチェックしてますか?(挨拶

今回は先日アップデートがあったAWS Security Hubの統合コントロールビューと検知結果の統合の内、検知結果の統合について動作を確認したのでまとめます。なお、AWSからのリリース文も翻訳され、「統合コントロール結果」と表現されていたので、以降はこれに合わせて行こうと思います。

概要

従来、AWS Security Hubではセキュリティチェックの機能として、複数のチェック基準であるスタンダードで、実際には内部的に同じ検知の仕組を使いながらも、それぞれのスタンダードが有効な場合は、複数の検知結果を保存していました。つまりイベントが2重に拾われていました。

今回のアップデートの内、統合コントロールビューでは、これを1つにまとめて表示することができるようになりましたが、内部的にはイベントが2重になったままです。統合コントロールビューはデフォルトで有効となり、既存のダッシュボードと併用できる状態です。

イベントが2重になることを回避するための機能が、今回のアップデートの統合コントロール結果です。これは重複していたイベント出力を1つにして、より扱いやすく、かつ共通のコントロールIDで表現されるのでよりわかりやすくなりました。

ただ、この設定を有効化した場合、既存のイベントのフォーマット(ASFF)が変更になるため、AWS Security Hubと連携してる仕組みで影響が出る可能性があるので注意が必要です。

変更内容やその影響についてはこちらのユーザーガイドをご確認ください。

統合コントロール結果を利用する場合、新規にAWS Security Hubを有効化する場合はデフォルト有効となり、既存でAWS Security Hubを利用している場合には無効の状態となります。

今回は既存でAWS Security Hubが有効な環境から、統合コントロール結果を有効にして、無効に戻した時の動作を確認しました。

やってみた

まずマネジメントコンソールで新しく増えた「コントロール」の画面を確認します。こちらでも「コントロール設定を構成する」というところにリンクがでています。このステップは任意です。

実際の設定画面は「設定 -> 一般」タブにある「コントロール」の設定で「セキュリティコントロールの結果の重複排除」という設定名になっています。私の環境は既存でAWS Security Hubが有効であったため、「オフ」になっています。「編集」をします。

編集画面でも同様の設定がありますのでチェックを入れます。警告で、すぐには反映されず、18時間以内に反映されると出てきています。その間に既存の検出結果がアーカイブされ、新しいフォーマットの結果が生成されるようです。「保存」します。

設定が完了して、「オン」になりました。

設定を入れてしまいましたが、アーカイブされるまでは時間があるようなので現状を確認してみます。まずは既存のCISベンチマークのCIS1.3のIAMの項目を見てみます。ちなみに最近は、IDが統合される影響で、共通のコントロールIDである[IAM.8]が採番されています。イベントを見てみます。

「GeneratorId」はまだCISのものになっています。レコメンデーションのURLもCISのものになっています。

下の方に行くと、「StandardsId」なども入っています。

続いてAWS基礎セキュリティのベストプラクティスの方も見てみます。同じ用に各コントロールのIDなどになっています。

下の方も同様です。

しばらくおいておきます。

…数日後(寝かせすぎた)…

さて、見てみましょう。

新旧がわかるように検出結果画面で確認してみます。

既存で出ていた上記の2件はレコードの状態が「ARCHIVED」とアーカイブされていました。なので、見ることはできます。そして現在のものは「ACTIVE」になっています。

「GeneratorId」は「security-control/IAM.8」と共通のものに変わりました。レコメンデーションのURLも変わっています。

新しいフォーマットに変わっていますので、Amazon EventBridge検知ルールとかは見直す必要があるかもです。

それでは、元に戻せるか確認していきます。

「設定 -> 一般」から「編集」をしてみます。チェックを外したら、同じように18時間程度かかることが警告されました。「保存」します。

変更できました。

少し待ちます。

…数日後(寝かせすぎた)…

検知結果が復活していたので確認します。戻っています。

まとめ

統合コントロール結果を試してみました。きちんと元に戻せるので、使い始めるハードルは低そうです。(時間はかかりますが)

まずはユーザーガイドをご確認していただき、要件に合うかは確認しつつ、絶対こっちのほうがいいですから使っていきましょう。

AWS

関連記事

【Security Hub修復手順】[Kinesis.1] Kinesis Data Streams は、保管中に暗号化する必要があります

平井裕二

2024.04.25

Security Hubの検出結果をノート(note)をつけてまとめて抑制してみた

たかやま

2024.04.13

Security Hubの検出結果サマリを週次でメール通知するサンプルソリューションを試してみた

杉金晋

2024.04.10

AWS Security Hub 『基礎セキュリティのベストプラクティス』で失敗している検出結果をCSV出力したい【Python, Boto3】

川原征大

2024.04.04