Slide 1

Slide 1 text

Security Hub のマルチアカウント 管理・運⽤をサーバレスでやってみる クラスメソッド株式会社 森⽥⼒ 1

Slide 2

Slide 2 text

2 自己紹介 森⽥ ⼒ • 所属 • クラスメソッド株式会社 AWS事業本部 • 好きなAWSサービス • AWS Lambda • 趣味 • アプリ開発, 機械学習

Slide 3

Slide 3 text

3 みなさん、 Security Hub 使ってますか?

Slide 4

Slide 4 text

4 AWS Security Hubとは AWSのセキュリティ要件をチェック • AWS Foundational Security Best Practices • AWS内のアカウントとリソースが セキュリティのベストプラクティスからの逸脱を検出する AWS のセキュリティイベントを集約 • Amazon GuardDuty, Amazon Inspector, AWS Config など マルチアカウントで集約可能 • AWS Organizationsだとシームレスに利用可能 • 非AWS Organizationsでも可能 AWS Security Hub

Slide 5

Slide 5 text

5 検出結果について 集約した検出結果はどうするか? • 全部通知させる • Amazon EventBridgeでNewの検出結果を取得 • Amazon EventBridgeでAPIを叩く • 重要度(Severity)に応じて通知させる • Amazon EventBridgeでNew, Highの検出結果を取得 • Amazon EventBridgeでAPIを叩く • 個別でコントロールして通知する • Amazon EventBridgeでNewの検出結果を取得 • Amazon EventBridgeとAmazon DynamoDBで制御する

Slide 6

Slide 6 text

6 検出結果について 集約した検出結果はどうするか? • 全部通知させる • Amazon EventBridgeでNewの検出結果を取得 • Amazon EventBridgeでAPIを叩く • 重要度(Severity)に応じて通知させる • Amazon EventBridgeでNew, Highの検出結果を取得 • Amazon EventBridgeでAPIを叩く • 個別でコントロールして通知する • Amazon EventBridgeでNewの検出結果を取得 • Amazon EventBridgeとAmazon DynamoDBで制御する

Slide 7

Slide 7 text

7 個別でコントロールして通知する AWS Step Functions + Amazon DynamoDB 全員へ通知

Slide 8

Slide 8 text

8 通知後、対応してくれない…

Slide 9

Slide 9 text

9 1人1人にメンションを当てて 対応したかをチェックして 再度通知をする!

Slide 10

Slide 10 text

10 個別でコントロール + 是正確認 Amazon DynamoDB へ検出結果(日付を含めて)を投入 1人1人に メンションを当てて通知

Slide 11

Slide 11 text

11 個別でコントロール + 是正確認 EventBridgeで30日経過した検出結果をチェック 1人1人に メンションを当てて通知

Slide 12

Slide 12 text

12 個別でコントロール + 是正確認 一時的に是正確認対象外とするとき Secuity Hub管理者がDynamoDBのレコードを削除 Security Hub管理者 検証のため チェック対象外にして欲しい! AWS Management Console

Slide 13

Slide 13 text

13 個別でコントロール + 是正確認 新規 Controle が追加されたとき Secuity Hub管理者がDynamoDBのレコードを追加 Security Hub管理者 AWS Management Console

Slide 14

Slide 14 text

14 個別でコントロール + 是正確認 通知結果 ControleTable

Slide 15

Slide 15 text

15 CloudFormation一撃で構築させる https://github.com/cH6noota/serverless-securityhub-management

Slide 16

Slide 16 text

16 まとめ • Amazon Security Hubをまずは有効化 • 検出結果を管理したいならぜひご活用ください • Security Hubの非有効化に検知 • 最終検出の日付からできそう • 運用者の負荷を軽減したい • DynamoDBへ例外追加がコンソールからの手動 • ChatOps