Slide 1

Slide 1 text

AWS Security Hub を超使いこなすためのレシピ

Slide 2

Slide 2 text

粟ケ窪 康平 2020年に某大手証券グループのシンクタンクに新卒入社。 配属から1年はオンプレネットワークの設計をやっていたが、 ひょんなことから社内初のAWS全冠になってしまいネットワーク から引退。 現在は某金融機関様向けのAWSセキュリティ設計に従事。 実はG社のトップエンジニアに選ばれていたりもする。 CISSP(Associate)/SC/NW/CCNA あわ が くぼ

Slide 3

Slide 3 text

おことわり 本資料の内容や見解は所属の組織を代表するものではございません

Slide 4

Slide 4 text

AWS Security Hub とは AWS Security Hub を使いこなすためのレシピ AWS Security Hub とは

Slide 5

Slide 5 text

組織内の様々なセキュリティデータを集約して可視化してくれるサービス AWS Security Hub とは AWS Security Hub を使いこなすためのレシピ

Slide 6

Slide 6 text

AWS Security Hub の主な利用パターン Security Hub は目的に応じて様々な使い方ができる 個別のシステムの ダッシュボード 管理チーム向けの 単一画面 SIEMソリューションへの 集中ルーティング AWS Security Hub を使いこなすためのレシピ

Slide 7

Slide 7 text

実際の画面イメージ(セキュリティスコア) 各セキュリティ基準の遵守状況をセキュリティスコアで確認可能 AWS Security Hub を使いこなすためのレシピ

Slide 8

Slide 8 text

実際の画面イメージ(検出結果) 重要度/アカウントID/リソースなどのフィールドを持つ検出結果を確認可能 AWS Security Hub を使いこなすためのレシピ

Slide 9

Slide 9 text

AWS Security Hub の特徴 セキュリティ態勢を可視化してくれて セキュリティ検出結果を管理してくれて ネクストアクションを取りやすくしてくれる CSPM SIEM SOAR AWS Security Hub を使いこなすためのレシピ

Slide 10

Slide 10 text

AWS Security Hub の特徴 セキュリティ態勢を可視化してくれて セキュリティ検出結果を管理してくれて ネクストアクションを取りやすくしてくれる CSPM SIEM SOAR AWS Security Hub を使いこなすためのレシピ 超素晴らしいサービス

Slide 11

Slide 11 text

AWS Security Hub の特徴 セキュリティ態勢を可視化してくれて セキュリティ検出結果を管理してくれて ネクストアクションを取りやすくしてくれる CSPM SIEM SOAR AWS Security Hub を使いこなすためのレシピ 超素晴らしいサービス 現実は甘くない

Slide 12

Slide 12 text

AWS Security Hub を使いこなすためのレシピ Security Hub の運用は悩みが尽きない 料金が高騰してしまった・・・ マルチアカウント環境 で使いにくい・・・ 検出結果が大量で さばけない・・・ ダッシュボードが見づらい・・・

Slide 13

Slide 13 text

AWS Security Hub を使いこなすためのレシピ そんなクセのある Security Hub を使いこなすにはうまく料理してあげる必要がある

Slide 14

Slide 14 text

AWS Config を Security Hub 向けに最適化する マルチアカウント環境で コントロールを統一する 自動化を活用する 検出結果をリッチにし 可視化しやすくする AWS Security Hub を使いこなすためのレシピ

Slide 15

Slide 15 text

AWS Config を Security Hub 向けに最適化する マルチアカウント環境で コントロールを統一する 自動化を活用する 検出結果をリッチにし 分析・可視化を容易にする AWS Security Hub を使いこなすためのレシピ

Slide 16

Slide 16 text

AWS Security Hub を使いこなすためのレシピ Security Hub でありがちな困りごと 有効化に伴いAWS利用料が高騰してしまう

Slide 17

Slide 17 text

AWS Security Hub を使いこなすためのレシピ Security Hub でありがちな困りごと 有効化に伴いAWS利用料が高騰してしまう 原因は AWS Config

Slide 18

Slide 18 text

AWS Security Hub を使いこなすためのレシピ 前提:Security Hub と AWS Config Security Hub は設定のチェックにAWS Config Rules を利用している

Slide 19

Slide 19 text

AWS Security Hub を使いこなすためのレシピ 前提:Security Hub と AWS Config Security Hub は特定のAWS Config Rules を利用している

Slide 20

Slide 20 text

AWS Security Hub を使いこなすためのレシピ 前提:Security Hub と AWS Config Security Hub で利用するConfigリソースは公式ガイドで確認可能 Configリソースは約300、 うちSecurity Hubに必要 なのは約60のリソースのみ

Slide 21

Slide 21 text

AWS Security Hub を使いこなすためのレシピ 前提:Security Hub と AWS Config Security Hub で利用するConfigリソースは公式ガイドで確認可能 Configリソースは約300、 うちSecurity Hubに必要 なのは約60のリソースのみ AWS ConfigをSecurity Hub向けのみに使用する場合は 記録するリソースを絞ることでコストを抑えることができる

Slide 22

Slide 22 text

AWS Security Hub を使いこなすためのレシピ AWS Configのリソースの絞り方 Record specific resource typesから1つ1つ選択することもできるが、 マルチアカウント環境/マルチリージョン環境では現実的でない

Slide 23

Slide 23 text

AWS Security Hub を使いこなすためのレシピ AWSが公式にCloudFormationテンプレートを提供している https://github.com/aws-samples/aws-cfn-for-optimizing-aws-config-for-aws-security-hub StackSetを利用することで OU/全リージョンといった単 位で展開可能 さらに削りたいリソースがある場合は テンプレートをカスタマイズ AWS Configのリソースの絞り方

Slide 24

Slide 24 text

AWS Security Hub を使いこなすためのレシピ リソースを絞る際の注意点 注意点 リソースを絞るとAWS Configに関するコントロールが失敗する リソースを絞った環境 コントロールを無効化するか オートメーションルールで抑制 する必要がある

Slide 25

Slide 25 text

AWS Config を Security Hub 向けに最適化する マルチアカウント環境で コントロールを統一する 自動化を活用する 検出結果をリッチにし 分析・可視化を容易にする AWS Security Hub を使いこなすためのレシピ

Slide 26

Slide 26 text

AWS Security Hub を使いこなすためのレシピ 前提:Security Hub の管理者 Security Hub は委任管理者を持つことができる Organizations Security Hub アカウント1 Organizations管理者 アカウント2 アカウント3 アカウント4 Security Hub管理者 として委任 アカウント4 Security Hub管理者 アカウント1 (メンバー) アカウント2 (メンバー) アカウント3 (メンバー) Security Hub のマスターアカウント

Slide 27

Slide 27 text

AWS Security Hub を使いこなすためのレシピ Security Hub管理者とメンバーアカウント Security Hub管理者のメンバーに対する操作権限には制限がある

Slide 28

Slide 28 text

AWS Security Hub を使いこなすためのレシピ 例:Security Hub 管理者のできること Security Hub管理者はメンバーアカウントの検出結果の表示/更新が可能 検出結果の 表示/更新は可能

Slide 29

Slide 29 text

AWS Security Hub を使いこなすためのレシピ 例:Security Hub 管理者にできないこと メンバーアカウントのコントロールの有効化/無効化はできない コントロールの有効化/無効化は自アカウントのみ (メンバーアカウントの設定変更は不可)

Slide 30

Slide 30 text

AWS Security Hub を使いこなすためのレシピ 操作権限の制限による困りごと マスターアカウントの変更がメンバーアカウントに反映されない

Slide 31

Slide 31 text

AWS Security Hub を使いこなすためのレシピ マスターアカウントの変更がメンバーアカウントに反映されない 操作権限の制限による困りごと

Slide 32

Slide 32 text

AWS Security Hub を使いこなすためのレシピ マスターアカウントの変更がメンバーアカウントに反映されない マルチアカウント環境の管理が難しい 操作権限の制限による困りごと

Slide 33

Slide 33 text

AWS Security Hub を使いこなすためのレシピ Security Hub のマルチアカウント環境管理 AWSからSecurity Hub管理者で無効にしたコントロールを メンバーアカウントに反映させるサンプルソリューションが提供されている https://dev.classmethod.jp/articles/aws_security_hub_cross_account_controls-disabler/

Slide 34

Slide 34 text

AWS Security Hub を使いこなすためのレシピ Security Hub のマルチアカウント環境管理 詳細はこちらのブログをご参照ください https://dev.classmethod.jp/articles/aws_security_hub_cross_account_controls-disabler/

Slide 35

Slide 35 text

AWS Config を Security Hub 向けに最適化する マルチアカウント環境で コントロールを統一する 自動化を活用する 検出結果をリッチにし 分析・可視化を容易にする AWS Security Hub を使いこなすためのレシピ

Slide 36

Slide 36 text

AWS Security Hub を使いこなすためのレシピ Security Hub で可能な自動化 Security Hub で利用できる自動化は3パターン ✓ Lambda や EventBridge で個別に実装 ✓ 自動修復ソリューションを利用する ✓ Security Hub のオートメーションルールを利用する

Slide 37

Slide 37 text

AWS Security Hub を使いこなすためのレシピ 今回触れるのはこちら Security Hub で可能な自動化 Security Hub で利用できる自動化は3パターン ✓ Lambda や EventBridge で個別に実装 ✓ 自動修復ソリューションを利用する ✓ Security Hub のオートメーションルールを利用する

Slide 38

Slide 38 text

AWS Security Hub を使いこなすためのレシピ 自動修復ソリューションに関してはこちらのブログをご参照ください Security Hub で可能な自動化 https://dev.classmethod.jp/articles/devio2022-securityhub-sharr/

Slide 39

Slide 39 text

AWS Security Hub を使いこなすためのレシピ オートメーションルールとは ➢ 2023年のre:InforceでGAされた Security Hub の新機能 ➢ 条件に応じて検出結果をニアリアルタイムに更新可能

Slide 40

Slide 40 text

AWS Security Hub を使いこなすためのレシピ オートメーションルールでできること 条件に応じて検出結果をニアリアルタイムに更新できる 検出結果のリソースが重要シス テムなので検出結果の重要度 を CRITICAL に上げたい 重要度がINFORMATIONALな 検出結果のワークフローステータスを SUPPRESSED にしたい

Slide 41

Slide 41 text

AWS Security Hub を使いこなすためのレシピ オートメーションルールでできること 検出結果のリソースが重要シス テムなので検出結果の重大度 を CRITICAL に上げたい 重大度がINFORMATIONALな 検出結果のワークフローステータスを SUPPRESSED にしたい アラート疲労の軽減が可能 条件に応じて検出結果をニアリアルタイムに更新できる

Slide 42

Slide 42 text

AWS Security Hub を使いこなすためのレシピ オートメーションルール以前の困りごと ➢ アラートを抑制するにはコントロールを無効化するしかなく、特定のケースのみ検知さ せることができなかった(これをするには作り込みが必要だった) ✓ 重要システムのルートアカウントのみハードウェアMFAが適用されているかを継続的 に確認したい(非重要システムはソフトウェアMFAとしたい) ✓ Config配信チャネルに利用しているS3バケットがオブジェクトロックのチェックに引っ 掛からないようにしたい ⇒これらがデフォルトでできるようになった

Slide 43

Slide 43 text

AWS Security Hub を使いこなすためのレシピ オートメーションルール以前の困りごと ➢ アラートを抑制するにはコントロールを無効化するしかなく、特定のケースのみ検知さ せることができなかった(これをするには作り込みが必要だった) ✓ 重要システムのルートアカウントのみハードウェアMFAが適用されているかを継続的 に確認したい(非重要システムはソフトウェアMFAとしたい) ✓ Config配信チャネルに利用しているS3バケットがオブジェクトロックのチェックに引っ 掛からないようにしたい ⇒これらがデフォルトでできるようになった オートメーションルールを積極的に活用していきましょう!

Slide 44

Slide 44 text

AWS Config を Security Hub 向けに最適化する マルチアカウント環境で コントロールを統一する 自動化を活用する 検出結果をリッチにし 可視化を容易にする AWS Security Hub を使いこなすためのレシピ

Slide 45

Slide 45 text

AWS Security Hub を使いこなすためのレシピ マルチアカウント環境のダッシュボード デフォルトのダッシュボードは使いにくい(検出結果の例) アカウントIDだけでは システム名が分からない・・・ そもそもどこの部署の・・・?

Slide 46

Slide 46 text

AWS Security Hub を使いこなすためのレシピ マルチアカウント環境のダッシュボード デフォルトのダッシュボードは使いにくい(検出結果の例) アカウントIDだけでは システム名が分からない・・・ そもそもどこの部署の・・・? 重要度クリティカルだけど どこに連絡したらいい・・・? そもそも欲しい情報が足りない

Slide 47

Slide 47 text

AWS Security Hub を使いこなすためのレシピ マルチアカウント環境のダッシュボード デフォルトのダッシュボードは使いにくい(インサイトの例) アカウントごとの検出結果 のトータルは確認できても アカウントごとの重要度が 確認できなかったりする

Slide 48

Slide 48 text

AWS Security Hub を使いこなすためのレシピ マルチアカウント環境のダッシュボード アカウントごとの検出結果 のトータルは確認できても アカウントごとの重要度が 確認できなかったりする 状況を一目で把握するには ダッシュボードのカスタマイズが必須 デフォルトのダッシュボードは使いにくい(インサイトの例)

Slide 49

Slide 49 text

AWS Security Hub を使いこなすためのレシピ マルチアカウント環境のダッシュボード 検出結果には以下のような情報が含まれていてほしい ✓ アカウントのセキュリティオーナー(例:部署) ✓ アカウントIDに紐づくシステムのシステム名 ✓ インシデント発生時の緊急連絡先

Slide 50

Slide 50 text

AWS Security Hub を使いこなすためのレシピ マルチアカウント環境のダッシュボード 検出結果には以下のような情報が含まれていてほしい ✓ アカウントのセキュリティオーナー(例:部署) ✓ アカウントIDに紐づくシステムのシステム名 ✓ インシデント発生時の緊急連絡先 これらを外挿することで検出結果をリッチにできる

Slide 51

Slide 51 text

AWS Security Hub を使いこなすためのレシピ マルチアカウント環境のダッシュボード 実装方法はAWS公式のブログで紹介されており、 サンプルのCloudFormationテンプレートも提供されている https://aws.amazon.com/jp/blogs/security/how-to-enrich-aws-security-hub-findings-with-account-metadata/

Slide 52

Slide 52 text

AWS Security Hub を使いこなすためのレシピ マルチアカウント環境のダッシュボード 実装すると、以下のようにメモが表示できるようになる ユーザー定義フィールドにも入れてあ るので分析・可視化にも利用できる

Slide 53

Slide 53 text

AWS Security Hub を使いこなすためのレシピ マルチアカウント環境のダッシュボード 実装方法はAWS公式のブログで紹介されており、 サンプルのCloudFormationテンプレートも提供されている https://aws.amazon.com/jp/blogs/security/how-to-enrich-aws-security-hub-findings-with-account-metadata/ とはいえLambdaとかで実装するのは 腰が重い方もいますよね? 再掲

Slide 54

Slide 54 text

AWS Security Hub を使いこなすためのレシピ マルチアカウント環境のダッシュボード 先ほどのオートメーションルールを利用して手動で行うやり方もある アカウントIDがxxxだった ら 注とユーザー定義フィールド に部署情報、システム名、 電話番号を追加する

Slide 55

Slide 55 text

AWS Security Hub を使いこなすためのレシピ マルチアカウント環境のダッシュボード 先ほど紹介したソリューションと同様の表示が可能

Slide 56

Slide 56 text

AWS Security Hub を使いこなすためのレシピ マルチアカウント環境のダッシュボード ユーザー定義フィールドを条件にし、 カスタムインサイトを作成することもできる ユーザー定義フィールドでフィルタ 重要度ラベルでグループ化 重要度ごとの検出結果の個 数を表示できる

Slide 57

Slide 57 text

AWS Security Hub を使いこなすためのレシピ マルチアカウント環境のダッシュボード 強化した検出結果とAthena/QuickSight を組み合わせて 見やすいダッシュボードを作成することもできる https://catalog.us-east-1.prod.workshops.aws/workshops/51c37f4d-f2be-441b-b30f-5fa17b10042e/en-US

Slide 58

Slide 58 text

AWS Security Hub を使いこなすためのレシピ まとめ Security Hub を使いこなすためのレシピと題し、4つのTipsを紹介させていただきました AWS Config を Security Hub 向けに最適化する マルチアカウント環境で コントロールを統一する 自動化を活用する 検出結果をリッチにし 可視化しやすくする 皆様のSecHub運用が楽になると幸いです

Slide 59

Slide 59 text

AWS Security Hub を使いこなすためのレシピ 参考文献 ➢ https://pages.awscloud.com/rs/112-TZM-766/images/20201013_AWS-BlackBelt-AWSSecurityHub.pdf ➢ https://docs.aws.amazon.com/securityhub/latest/userguide/automation-rules.html ➢ https://aws.amazon.com/jp/blogs/security/optimize-aws-config-for-aws-security-hub-to-effectively-manage- your-cloud-security-posture/ ➢ https://aws.amazon.com/jp/blogs/security/aws-security-hub-launches-a-new-capability-for-automating- actions-to-update-findings/ ➢ https://catalog.us-east-1.prod.workshops.aws/workshops/51c37f4d-f2be-441b-b30f-5fa17b10042e/en-US ➢ https://www.youtube.com/watch?v=ZEgCsKHPpFI

Slide 60

Slide 60 text

ありがとうございました!