Inspector(v2) 検出結果の特定CVEの情報をトラッキングするための Security Hub インサイトを作ってみる

AWS Security Hub のインサイト活用例
2022.01.06

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

AWS Security Hub 上でインサイトを作成します。 Amazon Inspector(v2) によるスキャン結果で 「特定CVEのもの」 を簡単に見られるようにします。

img

前提条件

Inspector v2 は事前に有効化している前提です。

また、Inspector v2 と Security Hub が統合されていることも前提です。 (こちらは特に追加の操作必要無く、デフォルトで統合されます)

インサイトを作ってみる (リソースID グループ化 版)

作成

[Security Hub] > [インサイト] のページから [インサイトを作成する] を選択します。

img

フィルターの中身は以下のようにして作成します。 タイトルの部分にトラッキングしたい CVE を入力します。

img

キー 条件
Title(タイトル) starts with(次で始まる) CVE-XXXX-XXXXX
Product name(製品名) is(次と同じ) Inspector
Record state(レコードの状態) is(次と同じ) ACTIVE
Group by(グループ化条件) -- ResourceId(リソースID)

問題なければ [インサイトを作成する] を選択します。 適当な名前を付けて、作成完了です。

確認

[Security Hub] > [インサイト] のページから インサイトの種別を カスタムインサイト に絞ると、 作成したものがでてくるはずです。

img

各リソースIDをクリックすることで、検出結果の詳細を見る画面へ遷移できます。

img

インサイトを作ってみる (アカウントID グループ化 版)

マルチアカウント環境のセキュリティイベントを Security Hub 1アカウントに集約している場合は、 この章のインサイトのほうが汎用的だと思います。

作成

先程と同じように作成します。 異なるのは グループ化条件 のみです。

キー 条件
Title(タイトル) starts with(次で始まる) CVE-XXXX-XXXXX
Product name(製品名) is(次と同じ) Inspector
Record state(レコードの状態) is(次と同じ) ACTIVE
Group by(グループ化条件) -- AwsAccountId(AWSアカウントID)

確認

以下のように アカウント毎の検出結果数を表示するインサイトとなります。

img

アカウントIDをクリックすることで、 対象アカウントの検出結果一覧を確認できます。

img

おわりに

Inspector v2 によるスキャン結果から、 特定CVE のものをトラッキングするために Security Hub インサイトを作成してみました。

Inspector v2 のコンソールでも CVE での検索はできますが、 検索結果の保存はできないため、 今回のように Security Hub を活用しました。

少しでも参考になれば幸いです。

参考