Upgrade to Pro — share decks privately, control downloads, hide ads and more …

SecurityHub_FinJAWS

Koheiawa
September 14, 2023
730

 SecurityHub_FinJAWS

Koheiawa

September 14, 2023
Tweet

Transcript

  1. AWS Security Hub の主な利用パターン Security Hub は目的に応じて様々な使い方ができる 個別のシステムの ダッシュボード 管理チーム向けの

    単一画面 SIEMソリューションへの 集中ルーティング AWS Security Hub を使いこなすためのレシピ
  2. AWS Security Hub を使いこなすためのレシピ 前提:Security Hub と AWS Config Security

    Hub は設定のチェックにAWS Config Rules を利用している
  3. AWS Security Hub を使いこなすためのレシピ 前提:Security Hub と AWS Config Security

    Hub で利用するConfigリソースは公式ガイドで確認可能 Configリソースは約300、 うちSecurity Hubに必要 なのは約60のリソースのみ
  4. AWS Security Hub を使いこなすためのレシピ 前提:Security Hub と AWS Config Security

    Hub で利用するConfigリソースは公式ガイドで確認可能 Configリソースは約300、 うちSecurity Hubに必要 なのは約60のリソースのみ AWS ConfigをSecurity Hub向けのみに使用する場合は 記録するリソースを絞ることでコストを抑えることができる
  5. AWS Security Hub を使いこなすためのレシピ 前提:Security Hub の管理者 Security Hub は委任管理者を持つことができる

    Organizations Security Hub アカウント1 Organizations管理者 アカウント2 アカウント3 アカウント4 Security Hub管理者 として委任 アカウント4 Security Hub管理者 アカウント1 (メンバー) アカウント2 (メンバー) アカウント3 (メンバー) Security Hub のマスターアカウント
  6. AWS Security Hub を使いこなすためのレシピ Security Hub で可能な自動化 Security Hub で利用できる自動化は3パターン

    ✓ Lambda や EventBridge で個別に実装 ✓ 自動修復ソリューションを利用する ✓ Security Hub のオートメーションルールを利用する
  7. AWS Security Hub を使いこなすためのレシピ 今回触れるのはこちら Security Hub で可能な自動化 Security Hub

    で利用できる自動化は3パターン ✓ Lambda や EventBridge で個別に実装 ✓ 自動修復ソリューションを利用する ✓ Security Hub のオートメーションルールを利用する
  8. AWS Security Hub を使いこなすためのレシピ オートメーションルールでできること 検出結果のリソースが重要シス テムなので検出結果の重大度 を CRITICAL に上げたい

    重大度がINFORMATIONALな 検出結果のワークフローステータスを SUPPRESSED にしたい アラート疲労の軽減が可能 条件に応じて検出結果をニアリアルタイムに更新できる
  9. AWS Security Hub を使いこなすためのレシピ オートメーションルール以前の困りごと ➢ アラートを抑制するにはコントロールを無効化するしかなく、特定のケースのみ検知さ せることができなかった(これをするには作り込みが必要だった) ✓ 重要システムのルートアカウントのみハードウェアMFAが適用されているかを継続的

    に確認したい(非重要システムはソフトウェアMFAとしたい) ✓ Config配信チャネルに利用しているS3バケットがオブジェクトロックのチェックに引っ 掛からないようにしたい ⇒これらがデフォルトでできるようになった
  10. AWS Security Hub を使いこなすためのレシピ オートメーションルール以前の困りごと ➢ アラートを抑制するにはコントロールを無効化するしかなく、特定のケースのみ検知さ せることができなかった(これをするには作り込みが必要だった) ✓ 重要システムのルートアカウントのみハードウェアMFAが適用されているかを継続的

    に確認したい(非重要システムはソフトウェアMFAとしたい) ✓ Config配信チャネルに利用しているS3バケットがオブジェクトロックのチェックに引っ 掛からないようにしたい ⇒これらがデフォルトでできるようになった オートメーションルールを積極的に活用していきましょう!
  11. AWS Security Hub を使いこなすためのレシピ まとめ Security Hub を使いこなすためのレシピと題し、4つのTipsを紹介させていただきました AWS Config

    を Security Hub 向けに最適化する マルチアカウント環境で コントロールを統一する 自動化を活用する 検出結果をリッチにし 可視化しやすくする 皆様のSecHub運用が楽になると幸いです
  12. AWS Security Hub を使いこなすためのレシピ 参考文献 ➢ https://pages.awscloud.com/rs/112-TZM-766/images/20201013_AWS-BlackBelt-AWSSecurityHub.pdf ➢ https://docs.aws.amazon.com/securityhub/latest/userguide/automation-rules.html ➢

    https://aws.amazon.com/jp/blogs/security/optimize-aws-config-for-aws-security-hub-to-effectively-manage- your-cloud-security-posture/ ➢ https://aws.amazon.com/jp/blogs/security/aws-security-hub-launches-a-new-capability-for-automating- actions-to-update-findings/ ➢ https://catalog.us-east-1.prod.workshops.aws/workshops/51c37f4d-f2be-441b-b30f-5fa17b10042e/en-US ➢ https://www.youtube.com/watch?v=ZEgCsKHPpFI