[アップデート]AWS Security Hubで検出結果の変更履歴が追跡可能になりました

みなさん、こんにちは。

明るい笑顔がトレードマーク、ルイボスティーが大好きな芦沢(＠ashi_ssan)です。

AWS Security Hubで検出結果(Findings)の変更履歴が追跡可能になりました。

このアップデートによって、どのフィールドが、いつ、どのユーザーによって変更されたかどうかを時系列順で詳細に把握でき、疑わしい変更や許可されていない変更を特定して調査できるようになります。

変更履歴の確認方法

AWSマネジメントコンソールの検出結果(Findings)から、タイトルをクリックします。

画面右に表示されたサイドバーのHistoryタブをクリックすると、変更履歴が確認できます。

画面上で確認できる履歴の詳細について認してみましょう。以下が今回の例で確認できたフィールドです、

• Updated: 変更履歴が更新されたタイムスタンプがUTCで記載されている
• Event: 実際の変更内容の詳細が記載されている
  • LastObservedAt: Findingsプロバイダーが最後に結果レコードを更新した日時
  • UpdatedAt: キャプチャされた潜在的なセキュリティ上の問題が、セキュリティ検出製品によって最後に検出された日時
  • ProcessedAt: この変更履歴が更新された日時(?) [執筆時点で公式ドキュメントに記載がないフィールドでした]

その他のフィールドの内容を確認したい場合は以下ドキュメントを確認してください（どちらかに記載されているはずです）

• 必須属性 - AWS Security Hub
• オプションの最上位属性 - AWS Security Hub

Event列のBy account 〜と表記された箇所のaccountをクリックすると、変更を行なったユーザーが確認できます。 今回はarn:aws:securityhub:ap-northeast-1::product/aws/securityhubとあるように、特定のユーザーによるものでなく東京リージョンのSecurity Hub自体による変更であるとわかります。

注意点として、筆者の検証環境では変更履歴に5/4(UTC)以降の変更内容のみが表示されているようなので、5/4より前の履歴は確認できないと想定しています。

おそらく変更履歴の追加日時を表現するProcessedAtが今回のアップデートによって追加されたフィールドであり、アップデート以前に検知したFindingsには含まれていないためなのでは、と考えています。

既存の検出結果(Findings)を抑制してみた

試しに検出済みのFindingsのステータスを抑制済み(SUPPRESSED)に変更にしてみます。

先ほどと同様の手順で、抑制済みにしたFindingsの変更履歴を確認します。

Workflow.Status changed from 'NEW' to 'SUPPRESSED’と記載されているように、ステータスが抑制済みに変更されたことがここからわかります。

また、変更を行なったアカウントとして私が利用したIAMロールのARNが表示されています。IAMリソースを利用して変更した場合はこのようにわかりやすく確認できます。

最後に

以上、Security Hubの最新アップデートを紹介しました。

このアップデートによって、Security HubのFindingsの変更履歴をSecurity Hub上で確認できるようになったため、今までCloudTrailなどを利用して確認する必要があった運用が楽になりそうです。

以上、芦沢(＠ashi_ssan)がお送りしました。