SecurityHub_FinJAWS

AWS Security Hub を超使いこなすためのレシピ

粟ケ窪康平 2020年に某大手証券グループのシンクタンクに新卒入社。配属から1年はオンプレネットワークの設計をやっていたが、ひょんなことから社内初のAWS全冠になってしまいネットワークから引退。現在は某金融機関様向けのAWSセキュリティ設計に従事。実はG社のトップエンジニアに選ばれていたりもする。 CISSP(Associate)/SC/NW/CCNA あわ
がくぼ

おことわり本資料の内容や見解は所属の組織を代表するものではございません

AWS Security Hub とは AWS Security Hub を使いこなすためのレシピ AWS Security
Hub とは

組織内の様々なセキュリティデータを集約して可視化してくれるサービス AWS Security Hub とは AWS Security Hub を使いこなすためのレシピ

AWS Security Hub の主な利用パターン Security Hub は目的に応じて様々な使い方ができる個別のシステムのダッシュボード管理チーム向けの
単一画面 SIEMソリューションへの集中ルーティング AWS Security Hub を使いこなすためのレシピ

実際の画面イメージ(セキュリティスコア) 各セキュリティ基準の遵守状況をセキュリティスコアで確認可能 AWS Security Hub を使いこなすためのレシピ

実際の画面イメージ(検出結果) 重要度/アカウントID/リソースなどのフィールドを持つ検出結果を確認可能 AWS Security Hub を使いこなすためのレシピ

AWS Security Hub の特徴セキュリティ態勢を可視化してくれてセキュリティ検出結果を管理してくれてネクストアクションを取りやすくしてくれる CSPM SIEM SOAR
AWS Security Hub を使いこなすためのレシピ

AWS Security Hub を使いこなすためのレシピ超素晴らしいサービス

AWS Security Hub を使いこなすためのレシピ超素晴らしいサービス現実は甘くない

AWS Security Hub を使いこなすためのレシピ Security Hub の運用は悩みが尽きない料金が高騰してしまった・・・マルチアカウント環境で使いにくい・・・
検出結果が大量でさばけない・・・ダッシュボードが見づらい・・・

AWS Security Hub を使いこなすためのレシピそんなクセのある Security Hub を使いこなすにはうまく料理してあげる必要がある

AWS Config を Security Hub 向けに最適化するマルチアカウント環境でコントロールを統一する自動化を活用する検出結果をリッチにし
可視化しやすくする AWS Security Hub を使いこなすためのレシピ

分析・可視化を容易にする AWS Security Hub を使いこなすためのレシピ

AWS Security Hub を使いこなすためのレシピ Security Hub でありがちな困りごと有効化に伴いAWS利用料が高騰してしまう

AWS Security Hub を使いこなすためのレシピ Security Hub でありがちな困りごと有効化に伴いAWS利用料が高騰してしまう原因は AWS
Config

AWS Security Hub を使いこなすためのレシピ前提：Security Hub と AWS Config Security
Hub は設定のチェックにAWS Config Rules を利用している

Hub は特定のAWS Config Rules を利用している

Hub で利用するConfigリソースは公式ガイドで確認可能 Configリソースは約300、うちSecurity Hubに必要なのは約60のリソースのみ

Hub で利用するConfigリソースは公式ガイドで確認可能 Configリソースは約300、うちSecurity Hubに必要なのは約60のリソースのみ AWS ConfigをSecurity Hub向けのみに使用する場合は記録するリソースを絞ることでコストを抑えることができる

AWS Security Hub を使いこなすためのレシピ AWS Configのリソースの絞り方 Record specific resource typesから1つ1つ選択することもできるが、
マルチアカウント環境/マルチリージョン環境では現実的でない

AWS Security Hub を使いこなすためのレシピ AWSが公式にCloudFormationテンプレートを提供している https://github.com/aws-samples/aws-cfn-for-optimizing-aws-config-for-aws-security-hub StackSetを利用することで OU/全リージョンといった単位で展開可能さらに削りたいリソースがある場合は
テンプレートをカスタマイズ AWS Configのリソースの絞り方

AWS Security Hub を使いこなすためのレシピリソースを絞る際の注意点注意点リソースを絞るとAWS Configに関するコントロールが失敗するリソースを絞った環境コントロールを無効化するか
オートメーションルールで抑制する必要がある

AWS Security Hub を使いこなすためのレシピ前提：Security Hub の管理者 Security Hub は委任管理者を持つことができる
Organizations Security Hub アカウント1 Organizations管理者アカウント2 アカウント3 アカウント4 Security Hub管理者として委任アカウント4 Security Hub管理者アカウント1 (メンバー) アカウント2 (メンバー) アカウント3 (メンバー) Security Hub のマスターアカウント

AWS Security Hub を使いこなすためのレシピ Security Hub管理者とメンバーアカウント Security Hub管理者のメンバーに対する操作権限には制限がある

AWS Security Hub を使いこなすためのレシピ例：Security Hub 管理者のできること Security Hub管理者はメンバーアカウントの検出結果の表示/更新が可能検出結果の
表示/更新は可能

AWS Security Hub を使いこなすためのレシピ例：Security Hub 管理者にできないことメンバーアカウントのコントロールの有効化/無効化はできないコントロールの有効化/無効化は自アカウントのみ (メンバーアカウントの設定変更は不可)

AWS Security Hub を使いこなすためのレシピ操作権限の制限による困りごとマスターアカウントの変更がメンバーアカウントに反映されない

AWS Security Hub を使いこなすためのレシピマスターアカウントの変更がメンバーアカウントに反映されない操作権限の制限による困りごと

AWS Security Hub を使いこなすためのレシピマスターアカウントの変更がメンバーアカウントに反映されないマルチアカウント環境の管理が難しい操作権限の制限による困りごと

AWS Security Hub を使いこなすためのレシピ Security Hub のマルチアカウント環境管理 AWSからSecurity Hub管理者で無効にしたコントロールをメンバーアカウントに反映させるサンプルソリューションが提供されている
https://dev.classmethod.jp/articles/aws_security_hub_cross_account_controls-disabler/

AWS Security Hub を使いこなすためのレシピ Security Hub のマルチアカウント環境管理詳細はこちらのブログをご参照ください https://dev.classmethod.jp/articles/aws_security_hub_cross_account_controls-disabler/

AWS Security Hub を使いこなすためのレシピ Security Hub で可能な自動化 Security Hub で利用できる自動化は3パターン
✓ Lambda や EventBridge で個別に実装 ✓ 自動修復ソリューションを利用する ✓ Security Hub のオートメーションルールを利用する

AWS Security Hub を使いこなすためのレシピ今回触れるのはこちら Security Hub で可能な自動化 Security Hub
で利用できる自動化は3パターン ✓ Lambda や EventBridge で個別に実装 ✓ 自動修復ソリューションを利用する ✓ Security Hub のオートメーションルールを利用する

AWS Security Hub を使いこなすためのレシピ自動修復ソリューションに関してはこちらのブログをご参照ください Security Hub で可能な自動化 https://dev.classmethod.jp/articles/devio2022-securityhub-sharr/

AWS Security Hub を使いこなすためのレシピオートメーションルールとは ➢ 2023年のre:InforceでGAされた Security Hub の新機能
➢ 条件に応じて検出結果をニアリアルタイムに更新可能

AWS Security Hub を使いこなすためのレシピオートメーションルールでできること条件に応じて検出結果をニアリアルタイムに更新できる検出結果のリソースが重要システムなので検出結果の重要度を CRITICAL
に上げたい重要度がINFORMATIONALな検出結果のワークフローステータスを SUPPRESSED にしたい

AWS Security Hub を使いこなすためのレシピオートメーションルールでできること検出結果のリソースが重要システムなので検出結果の重大度を CRITICAL に上げたい
重大度がINFORMATIONALな検出結果のワークフローステータスを SUPPRESSED にしたいアラート疲労の軽減が可能条件に応じて検出結果をニアリアルタイムに更新できる

AWS Security Hub を使いこなすためのレシピオートメーションルール以前の困りごと ➢ アラートを抑制するにはコントロールを無効化するしかなく、特定のケースのみ検知させることができなかった(これをするには作り込みが必要だった) ✓ 重要システムのルートアカウントのみハードウェアMFAが適用されているかを継続的
に確認したい(非重要システムはソフトウェアMFAとしたい) ✓ Config配信チャネルに利用しているS3バケットがオブジェクトロックのチェックに引っ掛からないようにしたい ⇒これらがデフォルトでできるようになった

AWS Security Hub を使いこなすためのレシピオートメーションルール以前の困りごと ➢ アラートを抑制するにはコントロールを無効化するしかなく、特定のケースのみ検知させることができなかった(これをするには作り込みが必要だった) ✓ 重要システムのルートアカウントのみハードウェアMFAが適用されているかを継続的
に確認したい(非重要システムはソフトウェアMFAとしたい) ✓ Config配信チャネルに利用しているS3バケットがオブジェクトロックのチェックに引っ掛からないようにしたい ⇒これらがデフォルトでできるようになったオートメーションルールを積極的に活用していきましょう！

可視化を容易にする AWS Security Hub を使いこなすためのレシピ

AWS Security Hub を使いこなすためのレシピマルチアカウント環境のダッシュボードデフォルトのダッシュボードは使いにくい(検出結果の例) アカウントIDだけではシステム名が分からない・・・そもそもどこの部署の・・・？

AWS Security Hub を使いこなすためのレシピマルチアカウント環境のダッシュボードデフォルトのダッシュボードは使いにくい(検出結果の例) アカウントIDだけではシステム名が分からない・・・そもそもどこの部署の・・・？重要度クリティカルだけど
どこに連絡したらいい・・・？そもそも欲しい情報が足りない

AWS Security Hub を使いこなすためのレシピマルチアカウント環境のダッシュボードデフォルトのダッシュボードは使いにくい(インサイトの例) アカウントごとの検出結果のトータルは確認できてもアカウントごとの重要度が確認できなかったりする

AWS Security Hub を使いこなすためのレシピマルチアカウント環境のダッシュボードアカウントごとの検出結果のトータルは確認できてもアカウントごとの重要度が確認できなかったりする状況を一目で把握するには
ダッシュボードのカスタマイズが必須デフォルトのダッシュボードは使いにくい(インサイトの例)

AWS Security Hub を使いこなすためのレシピマルチアカウント環境のダッシュボード検出結果には以下のような情報が含まれていてほしい ✓ アカウントのセキュリティオーナー(例：部署) ✓ アカウントIDに紐づくシステムのシステム名
✓ インシデント発生時の緊急連絡先

AWS Security Hub を使いこなすためのレシピマルチアカウント環境のダッシュボード検出結果には以下のような情報が含まれていてほしい ✓ アカウントのセキュリティオーナー(例：部署) ✓ アカウントIDに紐づくシステムのシステム名
✓ インシデント発生時の緊急連絡先これらを外挿することで検出結果をリッチにできる

AWS Security Hub を使いこなすためのレシピマルチアカウント環境のダッシュボード実装方法はAWS公式のブログで紹介されており、サンプルのCloudFormationテンプレートも提供されている https://aws.amazon.com/jp/blogs/security/how-to-enrich-aws-security-hub-findings-with-account-metadata/

AWS Security Hub を使いこなすためのレシピマルチアカウント環境のダッシュボード実装すると、以下のようにメモが表示できるようになるユーザー定義フィールドにも入れてあるので分析・可視化にも利用できる

AWS Security Hub を使いこなすためのレシピマルチアカウント環境のダッシュボード実装方法はAWS公式のブログで紹介されており、サンプルのCloudFormationテンプレートも提供されている https://aws.amazon.com/jp/blogs/security/how-to-enrich-aws-security-hub-findings-with-account-metadata/ とはいえLambdaとかで実装するのは腰が重い方もいますよね？
再掲

AWS Security Hub を使いこなすためのレシピマルチアカウント環境のダッシュボード先ほどのオートメーションルールを利用して手動で行うやり方もあるアカウントIDがxxxだったら注とユーザー定義フィールドに部署情報、システム名、
電話番号を追加する

AWS Security Hub を使いこなすためのレシピマルチアカウント環境のダッシュボード先ほど紹介したソリューションと同様の表示が可能

AWS Security Hub を使いこなすためのレシピマルチアカウント環境のダッシュボードユーザー定義フィールドを条件にし、カスタムインサイトを作成することもできるユーザー定義フィールドでフィルタ重要度ラベルでグループ化重要度ごとの検出結果の個
数を表示できる

AWS Security Hub を使いこなすためのレシピマルチアカウント環境のダッシュボード強化した検出結果とAthena/QuickSight を組み合わせて見やすいダッシュボードを作成することもできる https://catalog.us-east-1.prod.workshops.aws/workshops/51c37f4d-f2be-441b-b30f-5fa17b10042e/en-US

AWS Security Hub を使いこなすためのレシピまとめ Security Hub を使いこなすためのレシピと題し、4つのTipsを紹介させていただきました AWS Config
を Security Hub 向けに最適化するマルチアカウント環境でコントロールを統一する自動化を活用する検出結果をリッチにし可視化しやすくする皆様のSecHub運用が楽になると幸いです

AWS Security Hub を使いこなすためのレシピ参考文献 ➢ https://pages.awscloud.com/rs/112-TZM-766/images/20201013_AWS-BlackBelt-AWSSecurityHub.pdf ➢ https://docs.aws.amazon.com/securityhub/latest/userguide/automation-rules.html ➢
https://aws.amazon.com/jp/blogs/security/optimize-aws-config-for-aws-security-hub-to-effectively-manage- your-cloud-security-posture/ ➢ https://aws.amazon.com/jp/blogs/security/aws-security-hub-launches-a-new-capability-for-automating- actions-to-update-findings/ ➢ https://catalog.us-east-1.prod.workshops.aws/workshops/51c37f4d-f2be-441b-b30f-5fa17b10042e/en-US ➢ https://www.youtube.com/watch?v=ZEgCsKHPpFI

ありがとうございました！

SecurityHub_FinJAWS

SecurityHub_FinJAWS

More Decks by Koheiawa

Featured

Transcript