こんにちは!AWS事業本部コンサルティング部のたかくに(@takakuni_)です。
アナハイムで開催されている AWS re:Inforce 2023 に参加しています。
本記事は AWS re:Inforce 2023 のセッション「Enhance network security by integrating with AWS Security Hub」のセッションレポートです。
セッション概要
By automating security responses, organizations can enhance both the scale and the effectiveness of security operations. In this builders’ session, learn how to integrate AWS Network Firewall with AWS Security Hub (with findings from services like Amazon GuardDuty and Amazon Inspector). Also learn how to automate the creation of Network Firewall rules based on the findings from GuardDuty and Amazon Inspector.
構成図
構成図は以下になります。
概要としては Amazon GuardDuty のログを Security Hub に集約し、EventBridge 経由で Step Functions を実行する流れになります。
StepFunctions では、送信されたログを利用して Network Firewall のルールを更新する役割を担っています。
やってみた
GuardDuty の有効化
Network Firewall のルール基になる GuardDuty を有効化します。
久しぶりに有効化したため、かなり新鮮でした。
Security Hub の有効化
合わせて、 GuardDuty の結果を集約するため Security Hub を有効化します。
State Machine を見てみる
本題の Step Functions の中身を見てみます。
DynamoDB へ登録を行う IP は networkConnectionAction で検出されたリモート IP アドレスであることがわかります。検出例としては、マイニング用途でリモート IP へ疎通が行われているなどがあります。
また、 DyanamoDB に過去登録した IP アドレスであるか重複しているか、チェックし条件分岐で通知したりしなかったり、かなり勉強になるものがたくさんありました。
State Machine に流してみる
ワークショップでは GuardDuty にサンプルデータを流して Network Firewall に登録されるかどうかを確認しました。
実行履歴から Block Traffic が発生しているため、登録処理が走っていますね。
Network Firewall から確認すると、198.52.100.0/32 がイン/アウト共に拒否されていることがわかります。
まとめ
以上、 Enhance network security by integrating with AWS Security Hub のセッションレポートでした!
今回のソリューションに加えて、 Security Hub の 「抑制済み」等のアクションで自動的に IP が削除される仕組みを加えたりすると、かなり便利になりそうな機能になりそうな気がしました。(できそうだったらブログにしてみます。)
この記事がどなたかの参考になれば幸いです。 AWS 事業本部コンサルティング部のたかくに(@takakuni_)でした!
2
