Amazon Inspectorの実行状態をAmazon SNSでメール通知する

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

佐々木です。本日3本目のブログです。

AWS CLIを使って、Amazon InspectorのAssessment Templateを周期的に実行出来そうだということがわかりました。しかしその実行状態を能動的に確認するのではなく、受動的に確認したいですよね?今回はAmazon Inspectorの実行結果をAmazon SNSでメール通知させてみました。

やってみた

Amazon SNSの設定

AWSカンリコンソールのSNS画面から[Topics]を開き、[Create new topic]ボタンをクリックします。

AWS_SNS

[Create new topic]画面が表示されるので、[Topic name]と[Dispaly name]を設定します。今回は「sendmail」という名前にしました。[Create topic]ボタンをクリックします。

AWS_SNS 2

次に[Subscriptions]画面を開き、[Create Subscription]ボタンをクリックします。

AWS_SNS 3

[Create Subscription]画面が表示されるので、[Topic ARN]に先ほど作ったTopicのARN、[Protocol]に"Email"、[Endpoint]にメールアドレスを入力し、[Create Subscription]ボタンをクリックします。

AWS_SNS 4

登録したメールアドレスに以下のようなメールが届きますので、[Confirm Subscription]リンクをクリックします。

AWS_Notification_-_Subscription_Confirmation_-_smokeymonkey_gmail_com_-_Gmail

以下画面が表示されればConfirmが成功です。

sns_subscription

[Topics]画面に戻り、先ほど作ったTopicを選択して、[Edit topic policy]をクリックします。

AWS_SNS 5

Amazon Inspectorのドキュメントにある通り、[Allow these users to publish messages to this topic]と[Allow these users to subscribe to this topic]で"choose Only these AWS users"を選択します。入力値はリージョンによって以下のように変えます。

  • for US West (Oregon) - arn:aws:iam::758058086616:root
  • for EU (Ireland) - arn:aws:iam::357557129151:root
  • for US East (N. Virginia) - arn:aws:iam::316112463485:root
  • for Asia Pacific (Tokyo) - arn:aws:iam::406045910587:root

AWS_SNS 6

これでSNS側の設定は完了です。

Amazon Inspectorの設定

Amazon Inspectorの基本的な設定はこちらの記事をご参照ください。

Assessment Targetは設定されているとして、Assessment Templateを作成します。AWS管理コンソールのInspector画面で、[Assessment Template]を開き、[Create]ボタンをクリックします。

Amazon_Inspector

[Name]は適当に指定し、[Target name]は作成済みのAssessment Targetを指定します。Rule Packagesも適当に設定。[Duration]は一番短い"15 minutes"を指定。[SNS topics]欄で、上記で作成したSNS Topicを指定します。

Amazon_Inspector 2

以下のように登録したSNS Topicが表示されます。[Tags]欄で脆弱性検査対象となるタグを指定し、[Create and run]ボタンをクリックします。

Amazon_Inspector 3

作成したAssessment TemplateがRunされます。

Amazon_Inspector 4

15分後。"Analysis Complete"となりました。

Amazon_Inspector 5

するとSNS Topicに登録していたメールアドレスに、こんな感じでメールが...なんか多いな。

受信トレイ__15__-_smokeymonkey_gmail_com_-_Gmail

ざっくりと、以下のようなイベントが発生していました。

  • ASSESSMENT_RUN_STARTED
  • ASSESSMENT_RUN_COMPLETED
  • FINDING_REPORTED
  • CREATED
  • START_DATA_COLLECTION_PENDING
  • COLLECTING_DATA
  • START_DATA_COLLECTION_IN_PROGRESS
  • ASSESSMENT_RUN_STATE_CHANGED
  • STOP_DATA_COLLECTION_PENDING
  • DATA_COLLECTED
  • EVALUATING_RULES
  • COMPLETED

脆弱性検査が実行され、正常に完了したか、を確認することは出来そうです。

さいごに

欲を言えば、発見された脆弱性の結果も一覧でメールで送れると良いですね。何か良い方法が無いか考えてみたいと思います。