Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Security Hub のマルチアカウント 管理・運用をサーバレスでやってみる

Morita
June 26, 2022
Technology
0
1.8k

Security Hub のマルチアカウント 管理・運用をサーバレスでやってみる

Morita

June 26, 2022
Tweet

More Decks by Morita

See All by Morita
AWS初めての方必見!初学者でも入りやすいAWSサービス3選 #devio2022
ch6noota
0
640
NITKハッカソン クラウド入門
ch6noota
0
560

Other Decks in Technology

See All in Technology
Oracle Container Engine for Kubernetes (OKE) ご紹介 / oke-overview
oracle4engineer
PRO
1
940
自分のデータは自分で守る - あなたのCI/CDパイプラインをセキュアにする処方箋
jacopen
4
180
Linuxのブロックデバイス
sat
PRO
4
1.6k
NIST SP800-63-4 IPD 63A: Identity Proofing 概要紹介
kthrtty
0
390
ノーコード編集と配信パフォーマンスを両立するコンテンツエディタの開発
niba1122
1
110
ペタバイト、30プロダクトを超えて成長を続けるデータ基盤の歴史
dena_tech
PRO
0
130
[Keynote] Production is like ultra running: brutal, ungrateful, but worth every step
colinfay
0
120
量子コンピュータ時代のプログラミングセミナー / 20230316_Amplify_seminar _route_planning_optimization
fixstars
0
140
エラーログをAlertで引っ掛けるときにEventTimer使ってみた話
sparty
0
150
権威DNSサービスへのDDoSと
ハイパフォーマンスなベンチマーカ / DNS Pseudo random subdomain attack and High performance Benchmarker
kazeburo
3
860
軟體品質不只測試: LINE QA團隊分享
line_developers_tw
PRO
0
5k
What's Data Lake ? Azure Data Lake best practice
ryomaru0825
4
1.6k

Featured

See All Featured
Product Roadmaps are Hard
iamctodd
38
7.9k
Imperfection Machines: The Place of Print at Facebook
scottboms
254
12k
Robots, Beer and Maslow
schacon
154
7.4k
Why You Should Never Use an ORM
jnunemaker
PRO
49
8k
Principles of Awesome APIs and How to Build Them.
keavy
117
16k
The Power of CSS Pseudo Elements
geoffreycrofte
53
4.4k
The Cult of Friendly URLs
andyhume
70
5.2k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
109
16k
The Invisible Customer
myddelton
113
12k
10 Git Anti Patterns You Should be Aware of
lemiorhan
643
55k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
24
5.1k
How GitHub Uses GitHub to Build GitHub
holman
466
280k

Transcript

  1. Security Hub のマルチアカウント
    管理・運⽤をサーバレスでやってみる
    クラスメソッド株式会社
    森⽥⼒
    1

    View Slide

  2. 2
    自己紹介
    森⽥ ⼒
    • 所属
    • クラスメソッド株式会社 AWS事業本部
    • 好きなAWSサービス
    • AWS Lambda
    • 趣味
    • アプリ開発, 機械学習

    View Slide

  3. 3
    みなさん、
    Security Hub 使ってますか?

    View Slide

  4. 4
    AWS Security Hubとは
    AWSのセキュリティ要件をチェック
    • AWS Foundational Security Best Practices
    • AWS内のアカウントとリソースが
    セキュリティのベストプラクティスからの逸脱を検出する
    AWS のセキュリティイベントを集約
    • Amazon GuardDuty, Amazon Inspector, AWS Config など
    マルチアカウントで集約可能
    • AWS Organizationsだとシームレスに利用可能
    • 非AWS Organizationsでも可能
    AWS Security Hub

    View Slide

  5. 5
    検出結果について
    集約した検出結果はどうするか?
    • 全部通知させる
    • Amazon EventBridgeでNewの検出結果を取得
    • Amazon EventBridgeでAPIを叩く
    • 重要度(Severity)に応じて通知させる
    • Amazon EventBridgeでNew, Highの検出結果を取得
    • Amazon EventBridgeでAPIを叩く
    • 個別でコントロールして通知する
    • Amazon EventBridgeでNewの検出結果を取得
    • Amazon EventBridgeとAmazon DynamoDBで制御する

    View Slide

  6. 6
    検出結果について
    集約した検出結果はどうするか?
    • 全部通知させる
    • Amazon EventBridgeでNewの検出結果を取得
    • Amazon EventBridgeでAPIを叩く
    • 重要度(Severity)に応じて通知させる
    • Amazon EventBridgeでNew, Highの検出結果を取得
    • Amazon EventBridgeでAPIを叩く
    • 個別でコントロールして通知する
    • Amazon EventBridgeでNewの検出結果を取得
    • Amazon EventBridgeとAmazon DynamoDBで制御する

    View Slide

  7. 7
    個別でコントロールして通知する
    AWS Step Functions + Amazon DynamoDB
    全員へ通知

    View Slide

  8. 8
    通知後、対応してくれない…

    View Slide

  9. 9
    1人1人にメンションを当てて
    対応したかをチェックして
    再度通知をする!

    View Slide

  10. 10
    個別でコントロール + 是正確認
    Amazon DynamoDB へ検出結果(日付を含めて)を投入
    1人1人に
    メンションを当てて通知

    View Slide

  11. 11
    個別でコントロール + 是正確認
    EventBridgeで30日経過した検出結果をチェック
    1人1人に
    メンションを当てて通知

    View Slide

  12. 12
    個別でコントロール + 是正確認
    一時的に是正確認対象外とするとき
    Secuity Hub管理者がDynamoDBのレコードを削除
    Security Hub管理者
    検証のため
    チェック対象外にして欲しい!
    AWS Management
    Console

    View Slide

  13. 13
    個別でコントロール + 是正確認
    新規 Controle が追加されたとき
    Secuity Hub管理者がDynamoDBのレコードを追加
    Security Hub管理者
    AWS Management
    Console

    View Slide

  14. 14
    個別でコントロール + 是正確認
    通知結果 ControleTable

    View Slide

  15. 15
    CloudFormation一撃で構築させる
    https://github.com/cH6noota/serverless-securityhub-management

    View Slide

  16. 16
    まとめ
    • Amazon Security Hubをまずは有効化
    • 検出結果を管理したいならぜひご活用ください
    • Security Hubの非有効化に検知
    • 最終検出の日付からできそう
    • 運用者の負荷を軽減したい
    • DynamoDBへ例外追加がコンソールからの手動
    • ChatOps

    View Slide