【アップデート】Security Hub 通知のフィルタルールを EventBridge から簡単に作成できます

地味に嬉しいアップデート
2021.05.06

以下 アップデートの紹介です。

Amazon EventBridge adds simplified rule creation for AWS Security Hub findings

You can now use UI filter fields in Amazon EventBridge to more easily create EventBridge rules that deal with findings from Security Hub. The following fields have corresponding filter fields on the EventBridge console: AwsAccountId, Compliance.Status, Criticality, ProductArn, RecordState, Resource.Id, Resource.Type, Severity.Label, Types, Workflow.Status

– 引用: https://ap-northeast-1.console.aws.amazon.com/securityhub/home?region=ap-northeast-1#/whats-new

何ができるようになったのか

EventBridge の マネジメントコンソールから Security Hub のフィルタルールを簡単に作成できるようになっています。

img

詳細を見てみる

EventBridge のマネジメントコンソールからルールを新規作成、 パターン定義を以下のようにします。

img

Security Hub のイベントタイプ、 Security Hub Findings - Imported は 全ての「新規の検出結果」および「更新された検出結果」を指します。 これを設定したときに、以下に示す 10フィルタを GUIから設定可能になりました。

パラメータキー パラメータ値 活用頻度(主観)
AWSアカウントID (text)
コンプライアンスステータス PASSED/FAILED/WARNING/NOT_AVAILABLE
重要度 1 〜 100
製品ARN (text)
レコードの状態 ACTIVE/ARCHIVED
リソースID (text)
リソースタイプ (text)
重大度 INFORMATIONAL/LOW/MEDIUM/HIGH/CRITICAL
検索タイプ (text)
ワークフローステータス NEW/NOTIFIED/RESOLVED/SUPPRESSED

Security Hub のセキュリティ基準を使ったセキュリティチェックを実現されている場合は、 コンプライアンスステータス、レコードの状態、重大度、ワークフローステータス あたりはフィルタとして使われることが多いです。 それらが GUIで簡単に設定できるようになったのは嬉しいですね。

試す

  • PASSED以外 のコンプライアンスステータス
  • ACTIVE なレコード
  • CRITICAL な重大度
  • NEW なワークフローステータス

上記を満たすフィルタを作ってみます。

以下のようにフィルタしたい属性をポチポチしていくだけです。

▼ コンプライアンスステータス

img

▼ レコード

img

▼ 重大度

img

▼ ワークフローステータス

img

ポチポチしてできたイベントパターンがこちら

{
  "source": ["aws.securityhub"],
  "detail-type": ["Security Hub Findings - Imported"],
  "detail": {
    "findings": {
      "Compliance": {
        "Status": ["FAILED", "WARNING", "NOT_AVAILABLE"]
      },
      "RecordState": ["ACTIVE"],
      "Severity": {
        "Label": ["CRITICAL"]
      },
      "Workflow": {
        "Status": ["NEW"]
      }
    }
  }
}

今まではこれを JSON編集で作る必要がありました。 今では GUIでポチポチ簡単に作成できます。

おわりに

EventBridge と Security Hub の小さいけれど嬉しいアップデートでした。

Security Hub 通知は素の状態だと膨大な通知量になってしまうので、 フィルタすることがほぼ前提でした。 なので、GUIから簡単にフィルタ設定できるようになって嬉しい方は多いと思います。

※ Security Hub でよく使うフィルタの例を書いています。そちらも参照ください。