[レポート]SEC379: [ユーザー事例もあるよ]Security Hubの概要 #reinvent

こんにちは、臼田です。

本記事はAWSの一大イベントであるre:Inventの下記セッションについてのレポートです。

SEC397 - Introduction to AWS Security Hub

Learn about AWS Security Hub, and how it gives you a comprehensive view of your high-priority security alerts and your compliance status across AWS accounts. See how Security Hub aggregates, organizes, and prioritizes your alerts, or findings, from multiple AWS services, such as Amazon GuardDuty, Amazon Inspector, and Amazon Macie, as well as from AWS Partner solutions. We will demonstrate how you can continuously monitor your environment using compliance checks based on the AWS best practices and industry standards your organization follows.

Dylan Shields - Software Development Engineer, AWS Ely Kahn - Principal Product Manager

 

キーノートで発表されたばかりですが、すでに事例もありプレビューですが利用できる状態でもあるので、早速利用したくなる内容でした!

レポート

新しくリリースされたSecurity Hubについて紹介する。

アジェンダとしてはサービスについて説明した後デモ、すでにパートナーやカスタマーの事例があるのでそれを紹介し、ネクストステップを説明。

サービス概要

AWS上のセキュリティワークフローは次のようになっている。

まずはIAM等のアイデンティティから始まりShieldやWAF等により防御、攻撃の予兆を検知して自動的に修復したり調査して最終的には復旧する。

しかしAWS上でこれらのワークフローを回す際には次のような問題があった。

  • コンプライアンス
    • コンプライアンスに準拠しているか確認しづらい
    • 企業は迅速にコンプライアンスをチェックしたい
  • 様々なフォーマット
    • 多数のサービス・ツールでそれぞれ固有のフォーマットを利用している
    • それぞれ処理方法が異なってしまう
  • 優先順位付け
    • 通知やアラートのレベル感が違い全体としてどれを優先すべきか判断しづらい
  • 可視性
    • 各サービスごと管理されているため統合して見づらい
    • 一つの画面で複数のセキュリティやコンプライアンス状況を確認したい

そこでAWS Security Hubが誕生した。

Security Hubは非常にシンプルな作りになっている。

まずデフォルトでGuardDuty・Macie・Inspectorと連携、さらにサードパーティの製品のデータも取り込んで継続的に統合 + 優先順位付けを行う。

また、コンプライアンスのチェックを自動的に行う。

そして、それらの結果を踏まえて通知やイベントの実行という次のアクションを実行する。

Security Hubは現状パブリックプレビューとして利用できるようになっている。AWS Configの費用はかかるが、Security Hub自体は無料で利用可能。Full API/CLI/SDKサポートでほぼすべて(15)のリージョンで利用可能。※もちろん東京でも利用可能

様々な系統のセキュリティ製品とすでに連携できる。

  • Firewall
  • Endpoint
  • Vulnerability
  • Compliance
  • SOAR
  • MSSP
  • SIEM
  • Other

いくつか連携内容を紹介していく。

まずはCroudStrike。PythonのアプリケーションがCroudStrikeからアラートを受信したあと該当するEC2の情報を収集し、Security Hubのフォーマットに合わせて送る。CloudFormationのテンプレートも用意されている。

続いてアラートロジック。アラートロジック側で見つけたインシデントをSecurity Hubに入れて、Security HubのFindingから確認することができるようになる。

続いてARMOR。設定画面からボタン一つで連携が可能。脆弱性の情報とマルウェアの情報を選んで送ることが可能。

Security Hubはマルチアカウントで連携が可能。Security Hubの画面から設定できる。

連携したいアカウントに対してリクエストを送り、受け取ったアカウント側で許可することにより親側で一括して脅威情報を管理することができる。

続いて機能紹介

コンプライアンスチェック機能として、CISの提供しているCIS AWS Foundation Benchmarkに準拠しているかチェックが可能。全体のうち各リソースがどれくらい準拠しているかパーセントで表示。

Insights機能では様々な視点からFindings(見つかっている脅威情報)をまとめて表示できる。Insightsの項目は多数あり、それぞれフィルターが用意されているため、ただの一覧を確認するより断然見やすい。追加のフィルタを利用することも簡単にできるし、Insights自体の一覧をダッシュボードで確認できる。

レスポンスとリマインド

Security Hubからカスタムアクションを実行すると、CloudWatch Eventがトリガーされ予め決められたLambdaを利用して通知や処理が可能。SlackやPagerDutyと連携ができる。

デモ

実際のSecurity Hubの画面。TOPであるサマリーページではOverviewとしてTopのInsightsやCISの結果などを表示。

下の方に行くと各Insightsの一覧が表示される。

一つのInsightsを見てみる。こちらはInsights 31: Top EC2 instance by counts of findingsで見つかっている問題が多い順にEC2が並んでいる。

EC2を一つクリックすると、そのEC2のFindingsが一覧で表示される。ここから更にフィルターのクエリを追加していくことも可能。

前の一覧に戻って今度は右側のカラムを確認。表示されている項目を別の角度でまとめているグラフがいくつかある。Security Level、AWS account ID、Resource IDなどなど。今回はアカウントIDから一つのアカウントを押して見ると、そのアカウントだけに絞られたフィルターが発行され、画面も更新された。

各Findings画面から直接Findingの詳細を確認することも可能。こちらはInspectorが発行したFindingsで脆弱性の内容が確認できる。

これはSecurity Hubの重要な機能でカスタムアクション。Findingsを選択している状態でActionから自分で定義したアクションを実行可能。今回は事前に定義しておいたTerminateInstanceを実行する。事前に用意されているアクションはArchiveのみだが、通知だけでなくこのようなインスタンスを停止するアクションも作成できる。

インスタンスの終了は少しかかるのでその間に他のデモを。Findings画面ではすべてのFindingsを表示する。フィルターはかなり高度なクエリを書くことが可能で非常に自由。補完もよく効く。画面はGroup Byの項目を選択するだけで適用できる。

こちらはSettingsからの実際のカスタムアクションの画面。Createから作成可能。

時間がたったのでカスタムアクションの結果を確認。事前に確認した際には起動していたインスタンスが終了していた。

パートナー事例

Security Hubはすでに様々なパートナーで利用されている。

まずはLifeLockの事例。Security Hubが誕生する前はGuardDutyで見つかったFindingからログを統合できるように変更しCWP(Symantec Cloud Workload Protection)と合わせて分析、CWPでEC2のスキャンを行いイベント側が解消されることを確認できるまで行ったり来たり繰り返していた。

Security Hubで連携できるようになってからは、Findingsを検知してからカスタムアクションでCWPをキックしてEC2をスキャン、結果はそのままCWPを経由しないでCWPから連携されたSecurity Hubで確認することにより行ったり来たりする必要がなくなった。

続いてポケモンインターナショナルの事例。

ポケモンインターナショナルではセキュリティ運用ツールのDemistoと連携している。

これは実際のDemistoの画面でプレイブックの設定。検知した問題に対してJIRAを切ったりPagerDutyと連携するように書かれている。

続いてソリューションの紹介

Cloud Custodianはセキュリティ自動管理のオープンソースプロジェクト。Cloud CustodianではSecurity Hubと連携するための新しい機能としてpost-findingを追加。これを指定することにより簡単にSecurity Hubにfindingsを共有できる。連携の詳細はこちら

ネクストステップ

Security Hubはパブリックプレビューです。まずは使っていただき、ガンガンフィードバックしてほしい。

まとめ

Security Hubについていっぱい情報が提供されました!リリースされたばかりですがすでにサードパーティともたくさん連携でき、事例もある状態です。

肝になるのはカスタムアクションでしょう。如何に業務を効率的に回せるようになるかがSecurity Hubの使い方を極めていく道に感じました。

ぜひ皆さん普段利用しているセキュリティ製品と連携して使ってみてください!そしてフィードバックしましょう!