Security Hub 勉強会

Security Hub 勉強会 2020/08/20 川原征⼤ 1

2 ⽬次 - とりあえず始めてみよう - Security Hub とは︖ - セキュリティ標準
- 検出結果, ASFF - ASFF 属性/値の例 - ほか Tips

3 Next - とりあえず始めてみよう - Security Hub とは︖ - セキュリティ標準

4 とりあえず始めてみよう Configを有効化してから Security Hubへ

5 とりあえず始めてみようまずは「AWS ベストプラクティス」がおすすめ

6 (完) しばらく待つとスコアが出ます

8 Security Hub とは︖ 以下を実施できるサービス - セキュリティサービスの検出結果を⼀元管理 - AWS内のセキュリティの状態を把握・評価

9 Security Hub とは︖

10 Security Hub とは︖ 検出結果(Finding) • Security Hub で管理するデータ •
統⼀されたフォーマット • AWS Security Finding Format (ASFF)

12 セキュリティ標準とは AWS環境の継続的なセキュリティチェックベストプラクティスや業界標準に基づいたチェック

13 セキュリティ標準とは利⽤できるセキュリティ標準 - CIS AWS Foundations - PCI DSS
- AWS の基本的なセキュリティのベストプラクティス

14 セキュリティ標準とはコントロール = セキュリティチェック項⽬

15 セキュリティ標準のスコアを上げよう

16 スコア上げ #修復⼿順

17 スコア上げ #重要度(Severity) ⾼い重要度のコントロールから解決する

18 スコア上げ #重要度(Severity) - INFORMATIONAL :: 問題は⾒つかりませんでした - LOW ::
この問題は単独で対処する必要はありません - MEDIUM :: この問題は対処する必要がありますが、緊急では有りません - HIGH :: この問題は優先事項として対処する必要があります - CRITICAL :: この問題は悪化しないようにすぐに修正する必要があります https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-findings-format.html#asff-severity

19 スコア上げ #無効化 2つの無効化 - コントロール単位の無効化 - リソース単位の無効化

20 スコア上げ #無効化コントロール単位の無効化

21 スコア上げ #無効化コントロール単位の無効化 https://dev.classmethod.jp/articles/tuning-cis-benchmark-config-rules-on-security-hub/ https://dev.classmethod.jp/articles/tuning-foundational-security-best-practices-standard/

22 スコア上げ #無効化リソース単位の無効化

24 検出結果, ASFF 検出結果(Finding) • Security Hub で管理するデータ • 統⼀されたフォーマット
• AWS Security Finding Format (ASFF)

25 ASFF AWS Security Finding Format(ASFF) = 検出結果の形式 - 様々なセキュリティサービスの結果を
ASFFに統⼀ - データ変換の作業が不要に https://docs.aws.amazon.com/ja_jp/securityhub/latest/ userguide/securityhub-findings-format.html

26 ASFF よく読るページ https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-findings-format.html

27 検出結果の検索

28 検出結果の検索 - フィルター・グループ化ができる - 英語のほうが検索しやすい - (⽇本語はASFF属性名との対応が分かりにくいため)

29 インサイト

30 インサイト - 「検出結果の検索」のプリセット集 - セキュリティの問題を継続的に追跡

31 インサイト - マネージドインサイト :: AWS提供の組込インサイト - カスタムインサイト :: ⾃前でフィルタ/グループ化
を指定して作成するインサイト

33 ASFF 属性/値の例 Finding JSON

34 ASFF 属性/値の例 - AwsAccountId :: AWS アカウントID - CreatedAt
:: "2020-06-19T09:01:37.143Z" - UpdateAt :: "2020-08-10T00:39:07.846Z” - Title :: "S3.4 S3 buckets should have server-side encryption enabled" - Description :: "This AWS control checks that your Amazon S3 bucket either has Amazon S3 default encryption enabled or that the S3 bucket policy explicitly denies put-object requests without server side encryption."

35 ASFF 属性/値の例 - ProductArn :: "arn:aws:securityhub:ap-northeast- 1::product/aws/securityhub" - Types
:: “Software and Configuration Checks/Industry and Regulatory Standards/AWS-Foundational-Security-Best- Practices” - GeneratorId :: “aws-foundational-security-best- practices/v/1.0.0/S3.4” - Id :: “arn:aws:securityhub:ap-northeast- 1:XXXXXXXXXXXX:subscription/aws-foundational-security- best-practices/v/1.0.0/S3.4/finding/ebfa3e8c-aaaa-bbbb- cccc-abcdefg”

36 ASFF 属性/値の例 - Resources :: リソース情報

37 ASFF 属性/値の例 - Severity.Label :: MEDIUM - RecordState ::
ACTIVE RecordState = ARCHIVED のとき、検出結果は⾮表⽰になる

38 ASFF 属性/値の例 - Compliance.Status :: FAILED - Workflow.Status ::
NEW

40 カスタムアクション CloudWatch イベントを⾶ばせます

41 利⽤できる CloudWatch イベント - Security Hub Findings - Imported
::すべての検出結果 - Security Hub Findings - Custom Action ::カスタムアクションに関連付けられた結果 - Security Hub Insight Results ::インサイトに関連付けられた結果

42 利⽤できる CloudWatch イベント

43 統合サードパーティのセキュリティサービスの結果を Security Hub に統合 https://dev.classmethod.jp/articles/link-securityhub-to-dome9/

44 Amazon Detective 連携 (GuardDuty からの結果のみ)

45 マルチアカウント利⽤マスターアカウントの Security Hub 上でメンバーアカウントの検出結果を確認・操作

46 ほかセキュリティチェックサービスとの⽐較 - Trusted Advisor :: 無料で最低限のセキュリティチェック - Config
(Conformance Pack) ::カスタマイズ可能。Config ルールを展開、AWS環境を評価 - Security Hub セキュリティ標準 :: AWSマネージドな標準。内部的には Configルールを活⽤ https://dev.classmethod.jp/articles/security-hub-vs-config-conformance-packs/

47 最近のアップデート https://dev.classmethod.jp/articles/security-hub-cis-auto-remediation/

48 おわり

Security Hub 勉強会

Security Hub 勉強会

More Decks by MasahiroKawahara

Other Decks in Technology

Featured

Transcript