AWS Health が Security Hub と統合！セキュリティ系アラートが検出結果に集約可能に

ちゃだいん（@chazuke4649）です。

（２ヶ月以上前のアップデートですが） AWS Health が AWS Security Hub と統合しました！セキュリティイベントは検出結果として集約・通知できるようになってます。

概要

AWS Security Hub は、AWS Health と統合して、AWS Health から自動でセキュリティ関連の検出結果を受信し、AWS のセキュリティ体制の全体像を把握できるようになりました。AWS Health は、リソースのパフォーマンスと AWS のサービスおよびアカウントの可用性に関するアラートを送信します。AWS Health のアラートは一部のセキュリティトピックも対象としていますが、これらのセキュリティ関連のアラートは Security Hub に送信されるようになりました。AWS Health からのセキュリティ関連のアラートの例には、漏えいした AWS アクセスキーに関するアラート、AWS のサービスに関するセキュリティアラート (既知の脆弱性が原因でアップグレードが必要な旧バージョンの Amazon RDS データベースインスタンスなど)、または AWS セキュリティサービスに関連する運用上の問題 (地域的な障害など) に関するのアラートなどがあります。

AWS Security Hub が AWS Health と統合

先にまとめ

• AWS Healthの全イベントのうち、セキュリティ関連のアラートのみSecurity Hubに送信されるようになった
• サービス障害やメンテナンス等の通知は、今まで通り AWS Healthから受け取る必要がある
• AWSのセキュリティイベントとしては、さらにSecurity Hubによる集中管理のカバー範囲が拡大されたことになる

そもそもAWS Healthとは、各AWSサービスの障害やメンテナンス通知などAWSサービスの可用性に関するイベントを教えてくれるサービスです。このイベントがヘルスイベントと呼ばれます。ダッシュボードには自分のAWSアカウントに関わるものを参照できる Personal Health Dashboardと、全員に関わりうる　Service Health Dashboardがありましたが、最近これらは統合され AWS Health Dashboardになりました。 AWS Healthに関する詳細と、ダッシュボード統合のレポートは以下ブログをご覧ください。

AWS Health の概念 - AWS Health

[アップデート] Service Health Dashboard と Personal Health Dashboard が統合されて AWS Health Dashboard になりました | DevelopersIO

確認してみる

統合サービス画面

Security Hubは統合しているサービスを一覧で見ることができます。AWS Healthはグローバルサービスであるため、統合の有効/無効を確認するにはバージニアリージョン(us-east-1)で開く必要があります。

デフォルトで有効になっていますね。 該当箇所を日本語で表示してみます。

（意訳）説明 - AWS Healthは、リソースのパフォーマンスとAWSサービスおよびアカウントの可用性について継続的な可視性を提供します。AWS Healthのイベントを使用して、サービスやリソースの変更がAWS上で実行するアプリケーションにどのような影響を与えるかを知ることができます。

検出結果画面

次に実際に検出結果を見てみたいと思います。

Findingsの画面にて、以下でフィルタを絞り込みます。

• Filter: Product name
• is
• Value: Health

ちなみに、当該AWSアカウントはOrganizationsでSecurityHubの管理者委任を受けたAuditアカウントとなります。また、メンバーアカウントやリージョンの集約も有効化しています。以下画面は集約先のメインリージョンである東京（ap-northeast-1)で見ていますが、バージニアの検出結果が集約されていました。

AWS Health系のイベントは自力で発生させるのは難しそうなので、ちゃんとヒットしてよかったです。

詳細を見てみましょう。

（意訳）本文 - 2022年2月21日より、AWS Config Recordingにおいて、新しいグローバルリソースタイプの記録方法が変更されます。グローバルリソースタイプは、作成時にリージョンを指定する必要がないAWSリソースです。この変更前は、AWS Configで有効化されたすべてのリージョンでグローバルリソースタイプが記録されました。今回の変更により、AWS Configの記録にオンボードされた新しいグローバルリソースタイプは、パブリックAWSパーティションのUS-EAST-1リージョンにのみ記録されるようになりました。これにより、新しいグローバルリソースタイプのConfiguration ItemはUS-EAST-1リージョンのみで表示されるようになります。現在サポートされているグローバルリソースタイプ AWS::IAM::Group, AWS::IAM::Policy, AWS::IAM::Role, AWS::IAM::User は変更なく、引き続き AWS Config で有効なすべてのリージョンで Configuration Items を配信することができます。この変更は、2022年2月21日以降にオンボードされた新しいグローバルリソースタイプにのみ影響します。

今後Configレコードのグローバルサービス（IAMを除く）がバージニアのみに記録されるようになる件ですね。
クラスメソッドメンバーズをご利用のお客様には以下メールでご案内している件でした。

AWS Config グローバルリソースタイプの記録方法の変更について – クラスメソッド株式会社

検出結果の詳細

統合されたAWSサービスごとの検出結果の仕様や詳細は以下公式ドキュメントの該当サービス箇所をご覧ください。

Available AWS service integrations - AWS Security Hub

AWS Healthの検出結果ももちろんASFF形式で送られてくるので、通知や処理など他検出結果と同様に対応できます。以下は公式ドキュメントに記載されていたAWS Healthの検出結果の例です。

{
            "SchemaVersion": "2018-10-08",
            "Id": "arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96",
            "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/health",
            "GeneratorId": "AWS_SES_CMF_PENDING_TO_SUCCESS",
            "AwsAccountId": "065013762486",
            "Types": [
                "Software and Configuration Checks"
            ],
            "CreatedAt": "2022-01-07T16:34:04.000Z",
            "UpdatedAt": "2022-01-07T19:17:43.000Z",
            "Severity": {
                "Label": "MEDIUM",
                "Normalized": 40
            },
            "Title": "AWS Health - AWS_SES_CMF_PENDING_TO_SUCCESS",
            "Description": "Congratulations! Amazon SES has successfully detected the MX record required to use 4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com as a custom MAIL FROM domain for verified identity cmf.pinpoint.sysmon-iad.adzel.com in AWS region US East (N. Virginia).\\n\\nYou can now use this MAIL FROM domain with cmf.pinpoint.sysmon-iad.adzel.com and any other verified identity that is configured to use it. For information about how to configure a verified identity to use a custom MAIL FROM domain, see http://docs.aws.amazon.com/ses/latest/DeveloperGuide/mail-from-set.html .\\n\\nPlease note that this email only applies to AWS region US East (N. Virginia).",
            "SourceUrl": "https://phd.aws.amazon.com/phd/home#/event-log?eventID=arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96",
            "ProductFields": {
                "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/health/arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96",
                "aws/securityhub/ProductName": "Health",
                "aws/securityhub/CompanyName": "AWS"
            },
            "Resources": [
                {
                    "Type": "Other",
                    "Id": "4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com"
                }
            ],
            "WorkflowState": "NEW",
            "Workflow": {
                "Status": "NEW"
            },
            "RecordState": "ACTIVE",
            "FindingProviderFields": {
                "Severity": {
                    "Label": "MEDIUM"
                },
                "Types": [
                    "Software and Configuration Checks"
                ]
            }
        }
    ]
}

終わりに

まとめで書いたように、あくまでAWS Healthのセキュリティ関連アラートのみなので、AWS Healthの通知を追う必要性はありますが、セキュリティイベントとして一元管理できるのは良いですね。

それではこの辺で。ちゃだいん（@chazuke4649）でした。