Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Security Hub のマルチアカウント 管理・運用をサーバレスでやってみる

640727b1a8120669de9b6d7f1d469893?s=47 Morita
June 26, 2022
Technology
0
1.2k

Security Hub のマルチアカウント 管理・運用をサーバレスでやってみる

640727b1a8120669de9b6d7f1d469893?s=128

Morita

June 26, 2022
Tweet

More Decks by Morita

See All by Morita
AWS初めての方必見!初学者でも入りやすいAWSサービス3選 #devio2022
640727b1a8120669de9b6d7f1d469893?s=48 ch6noota
0
400
NITKハッカソン クラウド入門
640727b1a8120669de9b6d7f1d469893?s=48 ch6noota
0
430

Other Decks in Technology

See All in Technology
MySQL v5.7 勉強会/study-mysql-ver-5-7
8847086af047cbf895ab3277b59529fe?s=48 andpad
0
2k
森林情報のオープンデータと QGISでの利用
2a35cc4d9c9dd2672aba2f097980e5d1?s=48 kou_kita
0
220
OpenShiftのサポートを始めるぞ!高頻度で更新されるOSSを効果的にキャッチアップする仕組みを考えました!
4cb5b950cfd0eabf5d6b828c951d4549?s=48 loftkun
0
330
AWS CLI でやってみる ~ AWS Hands-on for Beginners ECS ハンズオン ~
8785139c395ce2345ce535822b522dde?s=48 kentosuzuki
1
440
ふりかえりの技術 / retrospectives
88f4e84b94fe07cddbd9e6479d689192?s=48 soudai
3
160
データ分析のためのAWS Well-Architected -Data Analytics Lens-
Eefeb193691fd905cf9edafc98f7198d?s=48 maru1981
0
230
Red Hat Partner Training Portal のご紹介 / Red Hat Partner Training Portal Introduction
C5599f44875a3b21753361e9416385b9?s=48 rhpej
0
110
ジョブ管理システムをAWS Step Functionsに移行する時の勘所
586ad2cd1cfc66759754e86d0ce73f17?s=48 non97
0
490
開発環境のセキュリティおよびCI/CDパイプラインのセキュア化
Dc03bf56cb3157b6036f9818593d7e40?s=48 rung
PRO
4
1.2k
Backlog × RPAでいろいろ捗った話
87470304247051028bed32895e4816cd?s=48 z_tetsu
0
380
Micro frontends and micro services
Acc7788c2c6d2c4b43b875fcad502cd2?s=48 kashif98
0
140
Microsoft Data Analytics trends : ”Lakehouse” , ”Data Mesh"
0d7a3b61c5c1f64a50136cf4bb5702b7?s=48 ryomaru0825
2
130

Featured

See All Featured
Documentation Writing (for coders)
61857dafbd287b3027c4dcea9008ad3c?s=48 carmenintech
48
2.6k
Statistics for Hackers
56c4053438af8e8b90d6f53cbb7573be?s=48 jakevdp
782
210k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
B3d6434763caa0ef5dc4b792662c49f7?s=48 smashingmag
237
19k
Making Projects Easy
C4de88ea47538e4594750e3861a341c8?s=48 brettharned
98
4.4k
Embracing the Ebb and Flow
C9b18d9dff88a9dd2393364c2b3b21bd?s=48 colly
73
3.4k
ParisWeb 2013: Learning to Love: Crash Course in Emotional UX Design
651dcfe41723207fbb0aa044a4f7c07f?s=48 dotmariusz
100
6k
KATA
E9221b172e78e888355fa2fe4541b595?s=48 mclloyd
7
8.8k
What's new in Ruby 2.0
7edec06b5435e0dac07a353b2cc26253?s=48 geeforr
335
30k
Why You Should Never Use an ORM
88bc30284c6a424b63a92aad27d0ba36?s=48 jnunemaker
PRO
47
7.6k
The Mythical Team-Month
E6c6e133e74c3b83f04d2861deaa1c20?s=48 searls
210
39k
The Cult of Friendly URLs
Ded01cdab114abe4ec13511e4c25b9bb?s=48 andyhume
68
4.8k
Product Roadmaps are Hard
7cbd3f5f922d798cc312eaf596de7ae6?s=48 iamctodd
35
6.8k

Transcript

  1. Security Hub のマルチアカウント 管理・運⽤をサーバレスでやってみる クラスメソッド株式会社 森⽥⼒ 1

  2. 2 自己紹介 森⽥ ⼒ • 所属 • クラスメソッド株式会社 AWS事業本部 •

    好きなAWSサービス • AWS Lambda • 趣味 • アプリ開発, 機械学習

  3. 3 みなさん、 Security Hub 使ってますか?

  4. 4 AWS Security Hubとは AWSのセキュリティ要件をチェック • AWS Foundational Security Best

    Practices • AWS内のアカウントとリソースが セキュリティのベストプラクティスからの逸脱を検出する AWS のセキュリティイベントを集約 • Amazon GuardDuty, Amazon Inspector, AWS Config など マルチアカウントで集約可能 • AWS Organizationsだとシームレスに利用可能 • 非AWS Organizationsでも可能 AWS Security Hub

  5. 5 検出結果について 集約した検出結果はどうするか? • 全部通知させる • Amazon EventBridgeでNewの検出結果を取得 • Amazon

    EventBridgeでAPIを叩く • 重要度(Severity)に応じて通知させる • Amazon EventBridgeでNew, Highの検出結果を取得 • Amazon EventBridgeでAPIを叩く • 個別でコントロールして通知する • Amazon EventBridgeでNewの検出結果を取得 • Amazon EventBridgeとAmazon DynamoDBで制御する

  6. 6 検出結果について 集約した検出結果はどうするか? • 全部通知させる • Amazon EventBridgeでNewの検出結果を取得 • Amazon

    EventBridgeでAPIを叩く • 重要度(Severity)に応じて通知させる • Amazon EventBridgeでNew, Highの検出結果を取得 • Amazon EventBridgeでAPIを叩く • 個別でコントロールして通知する • Amazon EventBridgeでNewの検出結果を取得 • Amazon EventBridgeとAmazon DynamoDBで制御する

  7. 7 個別でコントロールして通知する AWS Step Functions + Amazon DynamoDB 全員へ通知

  8. 8 通知後、対応してくれない…

  9. 9 1人1人にメンションを当てて 対応したかをチェックして 再度通知をする!

  10. 10 個別でコントロール + 是正確認 Amazon DynamoDB へ検出結果(日付を含めて)を投入 1人1人に メンションを当てて通知

  11. 11 個別でコントロール + 是正確認 EventBridgeで30日経過した検出結果をチェック 1人1人に メンションを当てて通知

  12. 12 個別でコントロール + 是正確認 一時的に是正確認対象外とするとき Secuity Hub管理者がDynamoDBのレコードを削除 Security Hub管理者 検証のため

    チェック対象外にして欲しい! AWS Management Console

  13. 13 個別でコントロール + 是正確認 新規 Controle が追加されたとき Secuity Hub管理者がDynamoDBのレコードを追加 Security

    Hub管理者 AWS Management Console

  14. 14 個別でコントロール + 是正確認 通知結果 ControleTable

  15. 15 CloudFormation一撃で構築させる https://github.com/cH6noota/serverless-securityhub-management

  16. 16 まとめ • Amazon Security Hubをまずは有効化 • 検出結果を管理したいならぜひご活用ください • Security

    Hubの非有効化に検知 • 最終検出の日付からできそう • 運用者の負荷を軽減したい • DynamoDBへ例外追加がコンソールからの手動 • ChatOps