Slide 28
Slide 28 text
3.脆弱性対応の運用に必要な設定
28
■Security Hubワークフローステータス設定で通知を絞る
{
"source": ["aws.securityhub"],
"detail-type": ["Security Hub Findings - Imported"],
"detail": {
"findings": {
"ProductName": ["Inspector"],
"RecordState": ["ACTIVE"],
"Severity": {
"Label": ["CRITICAL"]
},
"Vulnerabilities": {
"ExploitAvailable": ["YES"]
“FixAvailable”:[“YES”]
},
"Workflow": {
"Status": ["NEW"]
}
}
}
}
通知のEventBridgeイベントルール
https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/security
hub-findings-format-syntax.html
・通知条件にワークフローステータス:NEWを設定
・NOTIFIEDやSUPPRESSにした検出結果は
脆弱性情報に更新があっても通知が来ない
○ワークフローステータスの値
・NEW
・NOTIFIED
・SUPPRESS
・RESOLVED
https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/finding-workflow-status.html
⇒脆弱性対応の進捗に応じて
適切にワークフローステータスを設定していくことが重要