Save 37% off PRO during our Black Friday Sale! »

Security Hub 勉強会

Security Hub 勉強会

社内勉強会で AWS Security Hub の話をしました

6d161fe47f36ac295189c3b6a0db2a9a?s=128

MasahiroKawahara

August 18, 2020
Tweet

Transcript

  1. Security Hub 勉強会 2020/08/20 川原 征⼤ 1

  2. 2 ⽬次 - とりあえず始めてみよう - Security Hub とは︖ - セキュリティ標準

    - 検出結果, ASFF - ASFF 属性/値の例 - ほか Tips
  3. 3 Next - とりあえず始めてみよう - Security Hub とは︖ - セキュリティ標準

    - 検出結果, ASFF - ASFF 属性/値の例 - ほか Tips
  4. 4 とりあえず始めてみよう Configを有効化してから Security Hubへ

  5. 5 とりあえず始めてみよう まずは「AWS ベストプラクティス」がおすすめ

  6. 6 (完) しばらく待つとスコアが出ます

  7. 7 Next - とりあえず始めてみよう - Security Hub とは︖ - セキュリティ標準

    - 検出結果, ASFF - ASFF 属性/値の例 - ほか Tips
  8. 8 Security Hub とは︖ 以下を実施できるサービス - セキュリティサービスの検出結果を⼀元管理 - AWS内のセキュリティの状態を把握・評価

  9. 9 Security Hub とは︖

  10. 10 Security Hub とは︖ 検出結果(Finding) • Security Hub で管理するデータ •

    統⼀されたフォーマット • AWS Security Finding Format (ASFF)
  11. 11 Next - とりあえず始めてみよう - Security Hub とは︖ - セキュリティ標準

    - 検出結果, ASFF - ASFF 属性/値の例 - ほか Tips
  12. 12 セキュリティ標準とは AWS環境の継続的なセキュリティチェック ベストプラクティスや業界標準に基づいたチェック

  13. 13 セキュリティ標準とは 利⽤できるセキュリティ標準 - CIS AWS Foundations - PCI DSS

    - AWS の基本的なセキュリティのベストプラクティス
  14. 14 セキュリティ標準とは コントロール = セキュリティチェック項⽬

  15. 15 セキュリティ標準のスコアを上げよう

  16. 16 スコア上げ #修復⼿順

  17. 17 スコア上げ #重要度(Severity) ⾼い重要度のコントロールから解決する

  18. 18 スコア上げ #重要度(Severity) - INFORMATIONAL :: 問題は⾒つかりませんでした - LOW ::

    この問題は単独で対処する必要はありません - MEDIUM :: この問題は対処する必要がありますが、緊急で は有りません - HIGH :: この問題は優先事項として対処する必要がありま す - CRITICAL :: この問題は悪化しないようにすぐに修正する 必要があります https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-findings-format.html#asff-severity
  19. 19 スコア上げ #無効化 2つの無効化 - コントロール単位の無効化 - リソース単位の無効化

  20. 20 スコア上げ #無効化 コントロール単位の無効化

  21. 21 スコア上げ #無効化 コントロール単位の無効化 https://dev.classmethod.jp/articles/tuning-cis-benchmark-config-rules-on-security-hub/ https://dev.classmethod.jp/articles/tuning-foundational-security-best-practices-standard/

  22. 22 スコア上げ #無効化 リソース単位の無効化

  23. 23 Next - とりあえず始めてみよう - Security Hub とは︖ - セキュリティ標準

    - 検出結果, ASFF - ASFF 属性/値の例 - ほか Tips
  24. 24 検出結果, ASFF 検出結果(Finding) • Security Hub で管理するデータ • 統⼀されたフォーマット

    • AWS Security Finding Format (ASFF)
  25. 25 ASFF AWS Security Finding Format(ASFF) = 検出結果の形式 - 様々なセキュリティサービスの結果を

    ASFFに統⼀ - データ変換の作業が不要に https://docs.aws.amazon.com/ja_jp/securityhub/latest/ userguide/securityhub-findings-format.html
  26. 26 ASFF よく読るページ https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-findings-format.html

  27. 27 検出結果の検索

  28. 28 検出結果の検索 - フィルター・グループ化ができる - 英語のほうが検索しやすい - (⽇本語はASFF属性名との対応が分かりにくいため)

  29. 29 インサイト

  30. 30 インサイト - 「検出結果の検索」のプリセット集 - セキュリティの問題を継続的に追跡

  31. 31 インサイト - マネージドインサイト :: AWS提供の組込インサイト - カスタムインサイト :: ⾃前でフィルタ/グループ化

    を指定して作成するインサイト
  32. 32 Next - とりあえず始めてみよう - Security Hub とは︖ - セキュリティ標準

    - 検出結果, ASFF - ASFF 属性/値の例 - ほか Tips
  33. 33 ASFF 属性/値の例 Finding JSON

  34. 34 ASFF 属性/値の例 - AwsAccountId :: AWS アカウントID - CreatedAt

    :: "2020-06-19T09:01:37.143Z" - UpdateAt :: "2020-08-10T00:39:07.846Z” - Title :: "S3.4 S3 buckets should have server-side encryption enabled" - Description :: "This AWS control checks that your Amazon S3 bucket either has Amazon S3 default encryption enabled or that the S3 bucket policy explicitly denies put-object requests without server side encryption."
  35. 35 ASFF 属性/値の例 - ProductArn :: "arn:aws:securityhub:ap-northeast- 1::product/aws/securityhub" - Types

    :: “Software and Configuration Checks/Industry and Regulatory Standards/AWS-Foundational-Security-Best- Practices” - GeneratorId :: “aws-foundational-security-best- practices/v/1.0.0/S3.4” - Id :: “arn:aws:securityhub:ap-northeast- 1:XXXXXXXXXXXX:subscription/aws-foundational-security- best-practices/v/1.0.0/S3.4/finding/ebfa3e8c-aaaa-bbbb- cccc-abcdefg”
  36. 36 ASFF 属性/値の例 - Resources :: リソース情報

  37. 37 ASFF 属性/値の例 - Severity.Label :: MEDIUM - RecordState ::

    ACTIVE RecordState = ARCHIVED のとき、検出結果は⾮表⽰になる
  38. 38 ASFF 属性/値の例 - Compliance.Status :: FAILED - Workflow.Status ::

    NEW
  39. 39 Next - とりあえず始めてみよう - Security Hub とは︖ - セキュリティ標準

    - 検出結果, ASFF - ASFF 属性/値の例 - ほか Tips
  40. 40 カスタムアクション CloudWatch イベントを⾶ばせます

  41. 41 利⽤できる CloudWatch イベント - Security Hub Findings - Imported

    ::すべての検出結果 - Security Hub Findings - Custom Action ::カスタムアク ションに関連付けられた結果 - Security Hub Insight Results ::インサイトに関連付けら れた結果
  42. 42 利⽤できる CloudWatch イベント

  43. 43 統合 サードパーティのセキュリティサービスの結果を Security Hub に統合 https://dev.classmethod.jp/articles/link-securityhub-to-dome9/

  44. 44 Amazon Detective 連携 (GuardDuty からの結果のみ)

  45. 45 マルチアカウント利⽤ マスターアカウントの Security Hub 上でメンバーアカ ウントの検出結果を確認・操作

  46. 46 ほか セキュリティチェックサービスとの⽐較 - Trusted Advisor :: 無料で最低限のセキュリティチェック - Config

    (Conformance Pack) ::カスタマイズ可能。Config ルールを展開、AWS環境を評価 - Security Hub セキュリティ標準 :: AWSマネージドな標準。 内部的には Configルールを活⽤ https://dev.classmethod.jp/articles/security-hub-vs-config-conformance-packs/
  47. 47 最近のアップデート https://dev.classmethod.jp/articles/security-hub-cis-auto-remediation/

  48. 48 おわり