Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Security Hub のマルチアカウント 管理・運用をサーバレスでやってみる

Morita
June 26, 2022

Security Hub のマルチアカウント 管理・運用をサーバレスでやってみる

Morita

June 26, 2022
Tweet

More Decks by Morita

Other Decks in Technology

Transcript

  1. Security Hub のマルチアカウント
    管理・運⽤をサーバレスでやってみる
    クラスメソッド株式会社
    森⽥⼒
    1

    View Slide

  2. 2
    自己紹介
    森⽥ ⼒
    • 所属
    • クラスメソッド株式会社 AWS事業本部
    • 好きなAWSサービス
    • AWS Lambda
    • 趣味
    • アプリ開発, 機械学習

    View Slide

  3. 3
    みなさん、
    Security Hub 使ってますか?

    View Slide

  4. 4
    AWS Security Hubとは
    AWSのセキュリティ要件をチェック
    • AWS Foundational Security Best Practices
    • AWS内のアカウントとリソースが
    セキュリティのベストプラクティスからの逸脱を検出する
    AWS のセキュリティイベントを集約
    • Amazon GuardDuty, Amazon Inspector, AWS Config など
    マルチアカウントで集約可能
    • AWS Organizationsだとシームレスに利用可能
    • 非AWS Organizationsでも可能
    AWS Security Hub

    View Slide

  5. 5
    検出結果について
    集約した検出結果はどうするか?
    • 全部通知させる
    • Amazon EventBridgeでNewの検出結果を取得
    • Amazon EventBridgeでAPIを叩く
    • 重要度(Severity)に応じて通知させる
    • Amazon EventBridgeでNew, Highの検出結果を取得
    • Amazon EventBridgeでAPIを叩く
    • 個別でコントロールして通知する
    • Amazon EventBridgeでNewの検出結果を取得
    • Amazon EventBridgeとAmazon DynamoDBで制御する

    View Slide

  6. 6
    検出結果について
    集約した検出結果はどうするか?
    • 全部通知させる
    • Amazon EventBridgeでNewの検出結果を取得
    • Amazon EventBridgeでAPIを叩く
    • 重要度(Severity)に応じて通知させる
    • Amazon EventBridgeでNew, Highの検出結果を取得
    • Amazon EventBridgeでAPIを叩く
    • 個別でコントロールして通知する
    • Amazon EventBridgeでNewの検出結果を取得
    • Amazon EventBridgeとAmazon DynamoDBで制御する

    View Slide

  7. 7
    個別でコントロールして通知する
    AWS Step Functions + Amazon DynamoDB
    全員へ通知

    View Slide

  8. 8
    通知後、対応してくれない…

    View Slide

  9. 9
    1人1人にメンションを当てて
    対応したかをチェックして
    再度通知をする!

    View Slide

  10. 10
    個別でコントロール + 是正確認
    Amazon DynamoDB へ検出結果(日付を含めて)を投入
    1人1人に
    メンションを当てて通知

    View Slide

  11. 11
    個別でコントロール + 是正確認
    EventBridgeで30日経過した検出結果をチェック
    1人1人に
    メンションを当てて通知

    View Slide

  12. 12
    個別でコントロール + 是正確認
    一時的に是正確認対象外とするとき
    Secuity Hub管理者がDynamoDBのレコードを削除
    Security Hub管理者
    検証のため
    チェック対象外にして欲しい!
    AWS Management
    Console

    View Slide

  13. 13
    個別でコントロール + 是正確認
    新規 Controle が追加されたとき
    Secuity Hub管理者がDynamoDBのレコードを追加
    Security Hub管理者
    AWS Management
    Console

    View Slide

  14. 14
    個別でコントロール + 是正確認
    通知結果 ControleTable

    View Slide

  15. 15
    CloudFormation一撃で構築させる
    https://github.com/cH6noota/serverless-securityhub-management

    View Slide

  16. 16
    まとめ
    • Amazon Security Hubをまずは有効化
    • 検出結果を管理したいならぜひご活用ください
    • Security Hubの非有効化に検知
    • 最終検出の日付からできそう
    • 運用者の負荷を軽減したい
    • DynamoDBへ例外追加がコンソールからの手動
    • ChatOps

    View Slide