Tenable.ioのAWS Connectorで簡単にアセットの追加をしてみた

SaaSで利用できる脆弱性診断のサービスのtenable.ioについてのエントリです。本日はtenable.ioの「AWS Connector」についてご紹介をさせていただきます。 Tenable.ioのAWS ConnectorはEC2アセットのリアルタイム可視化とインベントリ情報を提供してくれます。 検出されたEC2アセットは脆弱性スキャンされるまでライセンスにカウントされないため、 コネクタを介したアセットの検出だけであれば料金はかかりません。 それでは早速、Tenable.ioのAWS Connectorの設定を行なってEC2アセットの検出をしてみましょう。
2018.10.10

ご機嫌いかがでしょうか、豊崎です。

SaaSで利用できる脆弱性診断のサービスのtenable.ioについてのエントリです。本日はtenable.ioの「AWS Connector」についてご紹介をさせていただきます。

Tenable.ioのAWS ConnectorはEC2アセットのリアルタイム可視化とインベントリ情報を提供してくれます。

検出されたEC2アセットは脆弱性スキャンされるまでライセンスにカウントされないため、 コネクタを介したアセットの検出だけであれば料金はかかりません。

それでは早速、Tenable.ioのAWS Connectorの設定を行なってEC2アセットの検出をしてみましょう。

前提

EC2アセットを検出したいリージョンでCloudTrailが設定されていること

やってみた

まずはAWS Connectorで利用するIAMユーザを作成しましょう。

任意の名前でIAMユーザを作成し、以下のポリシーを割り当てます。 ここでは「demo-tenable」として作成しました。後で利用するのでアクセスキー、シークレットアクセスキーを発行しておきましょう。

また、以下のIAMポリシーを上記IAMユーザに割り当てています。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "cloudtrail:DescribeTrails",
                "cloudtrail:GetEventSelectors",
                "cloudtrail:GetTrailStatus",
                "cloudtrail:ListPublicKeys",
                "cloudtrail:ListTags",
                "cloudtrail:LookupEvents"
            ],
            "Resource": "*"
        }
    ]
}

それではTenable.ioのコンソール画面から設定をしていきましょう。

Setting>Connectors>Create a new connectorからAWS Connectorの設定をしていきます。

進んだ画面ではAWS Connectorの名前(任意)と、先ほど作成したIAMユーザのアクセスキー、シークレットアクセスキーを入力します。Test Connectionをクリックすると各リージョンのCloudTrail利用可否の確認が行われます。

ここでは東京リージョンにチェックをつけてCloudTrailからアセットを調べて見ます。

CloudTrailから東京リージョンにはインポート可能な3つのアセットがあることが確認できました。

設定とテストが完了したので、AWS Connectorを保存します。

実際にAWSマネジメントコンソールから確認すると東京リージョンに3台のEC2があることがわかります。台数あっています。

作成したAWS Connectorのインポートボタンを押してTenable.ioにアセットをインポートしてみました。

DashboardsからAssetsを確認するとマネジメントコンソールでみた3台が確かにアセットに登録されていますね!

まとめ

いかがでしたでしょうか?Tenable.ioのAWS Connectorsを設定しておくことでアセットのインベントリ情報を簡単に取得することができます。 Tenable.ioをご利用の際には設定されることをお勧めいたします。この記事が誰かのお役に立てば幸いです。

参考

https://docs.tenable.com/cloud/Content/Settings/Connectors_ConfigureAWS.htm

https://docs.tenable.com/cloud/Content/Settings/Connectors_CreateAWSConnector.htm