[速報]セキュリティ情報を一括で管理できるAWS Security Hubが発表されたので使ってみました！ #reinvent

こんにちは、臼田です。

re:Invent2018にてAWS Security Hubが発表されました！

このサービスはAWSアカウント全体で優先度の高いセキュリティ警告とコンプライアンスステータスを包括的に確認できます。

確認できる項目は既存のAWSセキュリティサービスであるGuardDutyやInspector、Macieだけではなく、サードパーティのデータを取ることもでき、さらにSecurity Hub上でそれらをまとめて確認することができます。

連携できるサードパーティはたくさんあり、すでに利用できるパートナー製品もあるようです！

• Alert Logic
• Barracuda
• CroudStrike
• Dome9
• F5
• Sumo Logic
• RAPID7
• PaloAlto
• Sophos
• Tenable
• TrendMicro
• などなど

これまでは各セキュリティサービスやサードパーティ製品の情報を別々のページで管理していましたが、それが一括で管理できます！すごい！

定常的なセキュリティ監視を行っている運用者などは特に喜ばしいサービスではないでしょうか！

やってみた

Previewですがコンソール上で利用することができます！東京でも利用できました！

有効化

まずコンソールにログインしてSecurity Hubにアクセスします。

Enable Security Hubを押して有効化します。なお、リージョンごとの設定のようなので右上のリージョンを確認してから押しましょう。

パーミッションを作成すると出るのでそのままEnable AWS Security Hubを押します。

画面にアクセスできました！Summaryですが、まだあまりデータがないのですっからかんです。

CISベンチマークの有効化

Standardsを開きます。ここではCISベンチマークが作成しているCIS AWS Foundationsの結果が確認できる画面ですが、これはデフォルトで有効化されていません。Enableを押して有効化しましょう。

確認が出るのでもう一度Enableを押します。

ちなみに、すぐにいろいろ見ることはできなかったのでここでは有効化まででとどめておきます。

Findingsの確認

データがなくて寂しいのでGuardDutyのサンプルデータを作成してみます。GuardDutyを開いて「設定 -> 結果サンプルの作成」でサンプルデータが作成できます。

その後、Security HubのFindingsを開くとGuardDutyで見つかっているFindingsのが表示されます。

タイトルを押すとGuardDutyと同じように詳細が表示されます。また、チェックを入れてArchiveも可能です。GuardDuty以外のFindingsもここで管理できると思うので、定常的な利用は今後はSecurity Hubで行うほうがいいかもしれませんね。

Insightsの確認

Insightsを確認します。こちらでは様々な角度から見つかっている問題についてまとめられています。Insightsの項目は35種類もあって多いです。

先程GuardDutyのサンプルを作ったので、いくつか各項目で拾われています。

面白そうな項目であった「Insight: 9. AWS users with the most suspicious activity」を見てみます。

これは特に怪しいと思われるユーザについて確認することができます。GuardDutyのサンプルを沢山取り込んでいるの貯め、サンプルの中身のユーザであるGeneratedFingindUserNameというIAMユーザが特に怪しいと出てきています。

単純なCountもさることながら、右側にSeverityやアカウントID、リソースなど関連して判断するための項目も出ているのでアナリストが確認しやすいですね。確認できたらチェックを入れてArchiveできます。

今度は「Insight: 23. AWS resources that are associated with malware」を見てみます。マルウェアに感染していそうなEC2が確認できます。

こちらも同じようにCountでリソースIDごとまとめてあって右側にいくつかグラフがあります。

リソースIDを押して一覧を見てみます。GuardDutyで見つかっているFindingsがまとめて表示されます。GuardDutyだと各Findings毎にしか見れなくてたくさん表示がありましたが、Security Hubではもう少し大きいカテゴリ( Insights )としてまとめてくれているのでアナリストがチェックしやすいですね。

Settings

Settingsではいくつかの設定ができます。

Accountsでは連携するアカウントの管理ができます。一つのアカウントにFindingsをまとめられるので、マルチアカウントでの管理が捗りそうです。

Custom actionsではFindingsが出た際のCloudWatch Alarmの設定ができます。

ProvidersではSecurity Hubと連携するサービスを設定できます。デフォルトで連携しているGuardDuty・Inspector・Macieはもちろんのこと…

Dome9やF5…

Sumo LogicやTrendMicroのDeepSecurityなど様々なサードパーティとの連携をSubscribeできるようになっています。

Usageでは使用量などがわかります。現状はPreviewなのでFreeです！別途AWS Configの料金はかかっています。

まとめ

AWS Security Hubを使ってみました！

様々なところで出ているアラートなどをまとめることができてすごく可能性を感じます。

また、単純にAWS場の情報をまとめるだけでも役に立ちます。GuardDutyの画面だけでは見づらかったところをSecurity Hubで見やすく確認することができました。

いっぱい活用していきたいですね！