こんにちは!AWS事業本部コンサルティング部のたかくに(@takakuni_)です。
アナハイムで開催されている AWS re:Inforce 2023 に参加しています。
本記事は AWS re:Inforce 2023 のセッション「Build a security posture leaderboard using AWS Security Hub」のセッションレポートです。
セッション概要
This builders’ session introduces you to the possibilities of creating a robust and comprehensive leaderboard using AWS Security Hub findings to improve security and compliance visibility in your organization. Learn how to design and support various use cases, such as combining security and compliance data into a single centralized dashboard that allows you to make more informed decisions; correlating Security Hub findings with operational data for deeper insights; building a security and compliance scorecard across various dimensions to share with varied stakeholders; and supporting a decentralized organizational structure with centralized or shared security function.
構成図
構成図は以下の通りです。
Security Hub で発行されるイベントを EventBridge + Kinesis Firehose 経由で S3 に送信しています。
今回のセッションでは、 S3 バケットに保管されたデータに対して、 Glue, Athena, QuickSight で分析していく流れでした。
やってみた
Glue クローラーの作成
ハンズオンでは、 Glue クローラーを利用して S3 バケットに保管されたログを元に、データベースにデータ登録を行いました。スキーマ、パーティションを Glue 側で自動認識してくれるため、とても簡単にデータベースの作成が完了しました。
Athena の分析
Glue で作成したデータベースをもとに、 Athena のクエリを実行しました。
1アカウント分の実行結果だったため、「綺麗にログが取れているな」と小並感な感想でしたが、「マルチアカウントな環境で SecurityHub のログを集約するアカウントが作れれば、ログの分析体験がより良くなりそうだな」とイメージできました。
QuickSight ダッシュボードの作成
以下は、環境別、部門別に SecurityHub スコアを可視化することをやってみました。
また、QuickSight Challenge として時間の許す限り、ダッシュボードのカスタマイズを行うセクションが用意されていました。
まとめ
以上、「Build a security posture leaderboard using AWS Security Hub」のセッションレポートでした!
AWS Security Hub に限らないことですが、 EventBridge のイベントをログとして保管して分析する着想を得たのは、とてもいい経験だと思いました。
この記事がどなたかの参考になれば幸いです。AWS事業本部コンサルティング部のたかくに(@takakuni_)でした!
13
