【アップデート】Security Hub 通知のフィルタルールを EventBridge から簡単に作成できます

【アップデート】Security Hub 通知のフィルタルールを EventBridge から簡単に作成できます

地味に嬉しいアップデート
#AWS Security Hub
#Amazon EventBridge
#AWS
川原征大

川原征大

facebook logohatena logotwitter logo
Clock Icon2021.05.06

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

以下 アップデートの紹介です。

Amazon EventBridge adds simplified rule creation for AWS Security Hub findings

You can now use UI filter fields in Amazon EventBridge to more easily create EventBridge rules that deal with findings from Security Hub. The following fields have corresponding filter fields on the EventBridge console: AwsAccountId, Compliance.Status, Criticality, ProductArn, RecordState, Resource.Id, Resource.Type, Severity.Label, Types, Workflow.Status

– 引用: https://ap-northeast-1.console.aws.amazon.com/securityhub/home?region=ap-northeast-1#/whats-new

何ができるようになったのか

EventBridge の マネジメントコンソールから Security Hub のフィルタルールを簡単に作成できるようになっています。

img

詳細を見てみる

EventBridge のマネジメントコンソールからルールを新規作成、 パターン定義を以下のようにします。

img

Security Hub のイベントタイプ、 Security Hub Findings - Imported は 全ての「新規の検出結果」および「更新された検出結果」を指します。 これを設定したときに、以下に示す 10フィルタを GUIから設定可能になりました。

パラメータキー パラメータ値 活用頻度(主観)
AWSアカウントID (text)
コンプライアンスステータス PASSED/FAILED/WARNING/NOT_AVAILABLE
重要度 1 〜 100
製品ARN (text)
レコードの状態 ACTIVE/ARCHIVED
リソースID (text)
リソースタイプ (text)
重大度 INFORMATIONAL/LOW/MEDIUM/HIGH/CRITICAL
検索タイプ (text)
ワークフローステータス NEW/NOTIFIED/RESOLVED/SUPPRESSED

Security Hub のセキュリティ基準を使ったセキュリティチェックを実現されている場合は、 コンプライアンスステータス、レコードの状態、重大度、ワークフローステータス あたりはフィルタとして使われることが多いです。 それらが GUIで簡単に設定できるようになったのは嬉しいですね。

試す

  • PASSED以外 のコンプライアンスステータス
  • ACTIVE なレコード
  • CRITICAL な重大度
  • NEW なワークフローステータス

上記を満たすフィルタを作ってみます。

以下のようにフィルタしたい属性をポチポチしていくだけです。

▼ コンプライアンスステータス

img

▼ レコード

img

▼ 重大度

img

▼ ワークフローステータス

img

ポチポチしてできたイベントパターンがこちら

{
  "source": ["aws.securityhub"],
  "detail-type": ["Security Hub Findings - Imported"],
  "detail": {
    "findings": {
      "Compliance": {
        "Status": ["FAILED", "WARNING", "NOT_AVAILABLE"]
      },
      "RecordState": ["ACTIVE"],
      "Severity": {
        "Label": ["CRITICAL"]
      },
      "Workflow": {
        "Status": ["NEW"]
      }
    }
  }
}

今まではこれを JSON編集で作る必要がありました。 今では GUIでポチポチ簡単に作成できます。

おわりに

EventBridge と Security Hub の小さいけれど嬉しいアップデートでした。

Security Hub 通知は素の状態だと膨大な通知量になってしまうので、 フィルタすることがほぼ前提でした。 なので、GUIから簡単にフィルタ設定できるようになって嬉しい方は多いと思います。

※ Security Hub でよく使うフィルタの例を書いています。そちらも参照ください。

Share this article

facebook logohatena logotwitter logo

関連記事

[アップデート]Security Hub のセキュリティ標準に新たに5個のチェック項目が追加されました(2024/11/15)

[アップデート]Security Hub のセキュリティ標準に新たに5個のチェック項目が追加されました(2024/11/15)

User avatar
吉田 岳史
2024.11.22
Amazon Inspectorで単一リソースのスキャン結果の作成日時にずれがあるかを確認してみた

Amazon Inspectorで単一リソースのスキャン結果の作成日時にずれがあるかを確認してみた

User avatar
平井裕二
2024.11.22
Amazon Inspectorの検出結果をリソース単位でまとめてメール通知する方法

Amazon Inspectorの検出結果をリソース単位でまとめてメール通知する方法

User avatar
平井裕二
2024.11.21
【Security Hub修復手順】[KMS.5] KMSキーはパブリックに公開すべきではありません

【Security Hub修復手順】[KMS.5] KMSキーはパブリックに公開すべきではありません

User avatar
吉田 岳史
2024.11.14
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.