Security Hub CSPM のオートメーションルールが特定の検出結果に適用されないように見えるときの対処方法
困っていた内容
Security Hub CSPM のオートメーションルールを東京リージョンに作成しました。
しかし、他のリージョンの検出結果に対してルールが適用されません。24 時間以上経過してもルールが反映されません。何故ですか?
どう対応すればいいの?
オートメーションルールが作成されたリージョンと、対象の検出結果が存在するリージョンが一致していない場合、ルールが適用されません。
オートメーションルールは作成されたリージョンでのみ適用されます。 リージョン集約(クロスリージョン集約)を有効にしている場合でも、ルールは各リージョンで個別に作成する必要があります。
複数リージョンへのルール展開
複数リージョンに同じオートメーションルールを作成する場合、以下の方法が利用できます。
- AWS CloudFormation StackSets
テンプレートを使用して複数リージョンに一括デプロイする方法
- マルチリージョンデプロイスクリプト
AWS 公式の Python スクリプト(aws-securityhub-multiaccount-scripts/automation_rules)
なお、新しいリージョンが追加された際に自動的にオートメーションルールを作成する機能は提供されていません。
補足: オートメーションルールの評価タイミング
オートメーションルールは、ルール作成後に BatchImportFindings オペレーションを通じて生成または更新された検出結果に対して評価されます。Security Hub CSPM はコントロール検出結果を 12〜24 時間ごとに更新するため、ルール作成後すぐには反映されない場合があります。
参考情報
自動化ルールは、それが作成された AWS リージョン にのみ適用されます。複数のリージョンにルールを適用するには、管理者がリージョンごとにルールを作成する必要があります。これは、Security Hub CSPM コンソール、Security Hub CSPM API、または AWS CloudFormation を使用して実行できます。マルチリージョンデプロイスクリプトを使用することも可能です。
自動化ルールは、ルールの作成後に Security Hub CSPM が BatchImportFindings オペレーションを通じて生成または取り込む新規および更新された検出結果を評価します。Security Hub CSPM は、12~24 時間ごと、または関連リソースの状態が変化したときに、コントロール検出結果を更新します。
定期的なセキュリティチェックは、最後の実行から 12 時間または 24 時間以内に自動的に実行されます。周期は Security Hub CSPM によって決定され、変更はできません。定期的なコントロールは、チェック実行時の評価を反映したものになります。
