Inspector(v2) 検出結果の特定CVEの情報をトラッキングするための Security Hub インサイトを作ってみる
はじめに
AWS Security Hub 上でインサイトを作成します。 Amazon Inspector(v2) によるスキャン結果で 「特定CVEのもの」 を簡単に見られるようにします。
前提条件
Inspector v2 は事前に有効化している前提です。
また、Inspector v2 と Security Hub が統合されていることも前提です。 (こちらは特に追加の操作必要無く、デフォルトで統合されます)
インサイトを作ってみる (リソースID グループ化 版)
作成
[Security Hub] > [インサイト] のページから [インサイトを作成する] を選択します。
フィルターの中身は以下のようにして作成します。 タイトルの部分にトラッキングしたい CVE を入力します。
| キー | 条件 | 値 |
|---|---|---|
| Title(タイトル) | starts with(次で始まる) | CVE-XXXX-XXXXX |
| Product name(製品名) | is(次と同じ) | Inspector |
| Record state(レコードの状態) | is(次と同じ) | ACTIVE |
| Group by(グループ化条件) | -- | ResourceId(リソースID) |
問題なければ [インサイトを作成する] を選択します。 適当な名前を付けて、作成完了です。
確認
[Security Hub] > [インサイト] のページから
インサイトの種別を カスタムインサイト に絞ると、
作成したものがでてくるはずです。
各リソースIDをクリックすることで、検出結果の詳細を見る画面へ遷移できます。
インサイトを作ってみる (アカウントID グループ化 版)
マルチアカウント環境のセキュリティイベントを Security Hub 1アカウントに集約している場合は、 この章のインサイトのほうが汎用的だと思います。
作成
先程と同じように作成します。 異なるのは グループ化条件 のみです。
| キー | 条件 | 値 |
|---|---|---|
| Title(タイトル) | starts with(次で始まる) | CVE-XXXX-XXXXX |
| Product name(製品名) | is(次と同じ) | Inspector |
| Record state(レコードの状態) | is(次と同じ) | ACTIVE |
| Group by(グループ化条件) | -- | AwsAccountId(AWSアカウントID) |
確認
以下のように アカウント毎の検出結果数を表示するインサイトとなります。
アカウントIDをクリックすることで、 対象アカウントの検出結果一覧を確認できます。
おわりに
Inspector v2 によるスキャン結果から、 特定CVE のものをトラッキングするために Security Hub インサイトを作成してみました。
Inspector v2 のコンソールでも CVE での検索はできますが、 検索結果の保存はできないため、 今回のように Security Hub を活用しました。
少しでも参考になれば幸いです。
