[セキュアアカウント]Security Hub通知の重要度のフィルタリング設定を編集して維持したままにする

弊社サービスの「セキュアアカウント」を利用していて、Security Hubの通知を重要度でフィルタリングしても設定が元に戻ってしまう方向け

洲崎 義人

2023.11.27

こんにちは、洲崎です。
セキュアアカウントでSecurity Hubの通知を重要度でフィルタリングした後に、そのままの設定で維持する方法を紹介します。

セキュアアカウントとは

セキュアアカウントとは、弊社が提供しているAWSを利用する上で推奨されるセキュリティ設定が自動で適用されたアカウントです。
弊社のAWS請求代行サービスをご利用いただいているお客様が利用できます。

セキュアアカウントはセキュアな設定を有効化・維持します。
そのため、例えばSecurity Hubを重要度でフィルタリングの設定を編集しても、毎週土曜日にメンテナンスが入り、セキュア設定の状態が維持(上書き)されます。
状況によっては、毎日メールやSlack通知が大量に飛んでしまう可能性があるため、重要度が高いものだけ通知を行いたい(例:HIGH,CRITICALのみ等)ケースもあると思います。
今回はSecurity Hubのフィルタリングの設定を編集してから、その設定を維持する方法を記載します。

設定方法

Event Bridgeのルール編集

AWSマネジメントコンソールからEventBridgeの「ルール」を開き、cm-securityhub-alert-ruleを開きます。

イベントパターンのところの「編集」をクリックします。

デフォルトの設定はこちらです。

{
  "source": ["aws.securityhub"],
  "detail-type": ["Security Hub Findings - Imported"],
  "detail": {
    "findings": {
      "Compliance": {
        "Status": ["FAILED", "WARNING", "NOT_AVAILABLE"]
      },
      "RecordState": ["ACTIVE"],
      "Workflow": {
        "Status": ["NEW"]
      },
      "ProductFields": {
        "StandardsArn": ["arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"]
      },
      "Severity": {
        "Label": ["LOW", "MEDIUM", "HIGH", "CRITICAL", "INFORMATIONAL"]
      }
    }
  }
}

重要度におけるフィルタリングを行いたい場合、JSONの中にあるSeverity.Labelのところを編集します。
たとえば、HIGH(高)とCRITICAL(重要)のみに絞ると以下の形です。

{
  "source": ["aws.securityhub"],
  "detail-type": ["Security Hub Findings - Imported"],
  "detail": {
    "findings": {
      "Compliance": {
        "Status": ["FAILED", "WARNING", "NOT_AVAILABLE"]
      },
      "RecordState": ["ACTIVE"],
      "Workflow": {
        "Status": ["NEW"]
      },
      "ProductFields": {
        "StandardsArn": ["arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"]
      },
      "Severity": {
        "Label": ["HIGH", "CRITICAL"]
      }
    }
  }
}

編集が完了したら、その他の設定は変えずに「ルールの更新」をクリックします。

メンバーズポータルサイトで設定変更

セキュアアカウントはデフォルトだと全ての設定についてオプトインが有効化されています。
オプトインが有効化されている状態だと毎週土曜日にメンテナンスが入りセキュア設定が上書きされ、重要度も全てを対象とした形で再設定されます。
そのため、オプトインを無効化する必要があります。

メンバーズポータルサイトに入り、「メンバーズサービス設定」を開きます。

セキュリティ設定の「セキュア設定」で「Amazon EventBridge通知設定」をオフにします。

※通知のフィルタリング設定はEventBridge側の設定のため、EventBridgeの設定をオフにします。例えばAWS Security Hubの設定を無効化にしても、メンテナンス時に通知のフィルタリング設定は元の状態に戻りますのでご留意ください。

これで設定は完了です。

最後に

弊社サービス「セキュアアカウント」のSecurity Hubの通知を重要度をフィルタリングしたまま維持する方法について記載しました。
状況によってフィルタリングしつつSecurity Hubを運用してみてください。

ではまた!コンサルティング部の洲崎でした。

参考

AWS

関連記事

[アップデート] AWS Security Hub の新しいセキュリティスタンダード「AWS Resource Tagging Standard v1.0.0」を使って組織に必要なタグキーがリソースに設定されているか検出出来るようになりました

いわさ

2024.05.02

Security Hubで知る、AWSアカウント開設後に対応したいセキュリティ項目を確認しよう

こーへい

2024.04.30

[アップデート] AWS Chatbotを使ったSecurity Hubの検知通知に検知を抑制するボタンが自動設定されるようになりました

のんピ

2024.04.30

[小ネタ] CSVダウンロードしたAWS Security Hub検出結果のファイル構造が変わっていました

あしざわ

2024.04.29