[アップデート]AWS Security Hubの検出結果に新たな項目が増えました #AWSreinvent

みなさんこんにちは、杉金です。 AWS Security Hubの検出結果を強化するアップデートが発表されました。

今回アップデートした部分を抜粋します。

This enrichment adds resource tags, a new AWS application tag, and account name information to every finding ingested into Security Hub, including findings from AWS security services such as Amazon GuardDuty, Amazon Inspector, and AWS IAM Access Analyzer, as well as a large and growing list of AWS Partner Network (APN) solutions.

リソースタグ、新しいアプリケーションタグ、AWSアカウント名が強化された範囲のようです。リソースタグはもとから存在したため、取り込まれる情報が増えたのだと推測します。今回、検出結果に3つのフィールドが追加されました。

• ApplicationArn
• ApplicationName
• AwsAccountName

追加されたフィールドについて

Security Hubの検出結果はASFFという独自の形式で検出結果を保存、出力します。ASFFには、必須属性としてResourcesがあります。Resources内の子アイテムとして、関連するアプリケーションを示すApplicationArnとApplicationNameが追加されました。

オプショナルの最上位属性もあり、その中のひとつとしてAWSアカウント名を示すAwsAccountNameが追加されました。これまでAWSアカウント名がなかったため、アカウントIDからアカウント名を特定する必要がありました。今回のアップデートによってその手間がなくなったのは非常にうれしいですね。

コンソールから確認してみる

アップデートニュースで紹介されていたAWSアカウント名、リソースタグ、新しいアプリケーションタグを確認していきます。これより紹介する検出結果の詳細は、以下の公式ドキュメントに確認手順が記載されています。

AWSアカウント名

Security Hubコンソールの[検出結果]を選び、検出したタイトルのリンクをクリックします。

サイドピークとして詳細の画面が立ち上がり「AWSアカウント名」が表示されていることが分かります。

アカウント名が表示される条件はあるようです。

サインインしているアカウントが組織メンバーアカウントの場合、情報にはアカウント名が含まれます。手動で招待されたアカウントの場合、情報にはアカウントIDのみが含まれます。

引用元：https://docs.aws.amazon.com/securityhub/latest/userguide/finding-view-details.html#finding-view-details-console

上記以外にも、私が確認する限りアップデート前の更新されていない検出結果にはAWSアカウント名は存在していませんでした。

リソースタグ

続いてリソースタグを確認してみます。先ほどとは異なるリソースタイプで、SNSトピックを例にしたものです。

赤枠内に対象リソースに付与されているリソースタグが表示されています。作成したリソースにタグで用途を記載しておくと、検出結果の画面で何の用途向けのリソースかを把握できます。

アプリケーション名、ARN

最後にアプリーケーション名とARNを確認します。リソースをアプリケーションとして登録していると、詳細画面にアプリケーション名とARNが表示されます。

新たに追加されたフィールドは検出結果やインサイトのフィルタやグループ化の条件にも使えます。

ASFF形式(json)の検出結果を確認するには、AWS CLIもしくはコンソールの[コントロール]から[検出結果.json]を選択します。

一部抜粋したものですが、アプリケーション名とARNが出力されていることを確認できますね。

おまけ：アプリケーションの登録

アプリケーションの登録方法はいくつかあるかもしれませんが、今回はAppRegistryから行います。 適当なAPI Gatewayを作ってみます。CloudFormationでお手軽に作れそうなものがないかと探していたところ、以下のブログを見つけました。

Kitanoさんに感謝しつつ、CFnテンプレートからスタックを作成します。（説明は割愛） 作成後、AppRegistryからアプリケーションを作成します。

アプリケーション名に適当な名前を入力します。

リソースコレクションを展開して作成したCloudFormationスタックを選択します。そして、下にある[アプリケーションのタグ付けを有効化]にチェックを入れます。

あとはこのままアプリケーションを作成します。このアプリケーションのタグ付けは先日のアップデートにより追加された機能のようです。

アプリケーション作成後、CloudFormationスタックにawsApplicationというタグが追加されていました。

ARNを見るとresource-groupとあります。AWS Resource Groupsコンソールにアクセスすると、3つのリソースグループが作成されていました。

試しに１番上にアクセスしてみると、グループタグが設定されていました。

アプリケーションの登録方法は以上です。これでSecurity Hubで検知すると検出結果にApplicationArnとApplicationNameが表示されます。

さいごに

AWS Security Hubの検出結果に新たに増えた項目を確認してみました。AWSアカウント名やリソースのタグ、アプリケーション名など、問題の起こっているリソースを把握するのにとても便利になりましたね。アプリケーションって何だ？？となっていたのですが、おかげでアプリケーションの登録方法が分かりました。また、今までふんわり理解だったASFFについても向き合えたので、またひとつ詳しくなれた気がします。

2023/12/1追記 : myApplicationsという機能が発表されました！

参考資料

• Announcing new finding enrichment in AWS Security Hub
• Document history for the AWS Security Hub User Guide - AWS Security Hub
• AWS Security Finding Format (ASFF) syntax - AWS Security Hub
• Resource attributes - AWS Security Hub
• AWS Security Finding 形式 - AWS Security Hub
• [注意喚起]AWS Security Hubが統合コントロールビューと統制結果の統合を対応予告しました[ASFFフィールド変更] | DevelopersIO