はじめに
Security Hubからのアラートを皆さんはどのように確認していますか?
今回は、Security Hubのアラートをメールで配信している場合の、おすすめの振り分け方法を共有します。
Security Hubのアラート
Security Hubでは、GuardDutyやInspector、CIS Benchmark等のセキュリティ標準をはじめとしたセキュリティ製品のアラートを集約管理することができます。
Security Hub はセキュリティコントロールに対してチェックを行い、検出結果をアラートとして発出します。
検出結果はセキュリティイベントとして、EventBridgeと連携し、SNSを利用したアラートメール等の発報や、LambdaやRunCommand を利用した自動修復アクションの設定が可能です。
今回は、Security Hub → EventBridge → SNSでアラートをEmailで通知するケースにおいて、メールのおすすめの振り分け方法について共有します。
Security Hubのアラート内容
アラートの形式
Security Hubでは、デフォルトでAWS Security Finding形式を使用して検出結果が記載されています。
Security Hub は、AWS Security Finding 形式 (ASFF) と呼ばれる標準検出結果形式を使用して検出結果を取得します。これにより、無数の情報源からの検出結果を複数の形式で管理する必要がなくなります。また、Security Hub はプロバイダー全体にわたり結果を関連付け、結果を優先順位付けします。
このアラートは分量が多く、形式を熟知していないと即時には読みとけないため、緊急度が高いアラートなのか、低いアラートなのかをフォルダレベルで分けることが有効になります。
アラートの重要度
Security Hubにおいて、アラートに対する緊急度は「重要度」という項目から確認することができます。
Security Hub コントロールに割り当てられる重要度は、コントロールの重要性を特定します。コントロールの重要度は、[Critical] (重要)、[High] (高)、[Medium] (中)、[Low] (低) または [Informational] (情報) のいずれかです。
以下の記事にも記載していますが、アラートの重要度に応じてどのような対応をするのかあらかじめ決めておくことをおすすめします。
メールの受信フォルダもアラートの重要度ごとに作成することをおすすめします。
重要度に応じてフォルダを作成することで、アラートに対してどのような対応が必要かわかったうえでアラートの内容を確認するため、その後の作業の効率化を期待できます。
メールの振り分け方法
アラートメールの振り分けは、以下のルールで重要度ごとにそれぞれ設定することをおすすめします。
基本的には、本文中のLabelから重要度を振り分けます。
なお、今回は重要度が重要・高・中・低のみを振り分ける設定としています。
また、Organizationsを利用する等で複数のアカウントのSecurity Hubを統合している場合、「"awsAccountId":"アカウントID"」を本文の条件に追加してください。
おわりに
Security Hubのアラートメールの振り分け方法でした。
私のプロジェクトでは約30アカウントのSecurity Hubを統合しているため、アラートメールの振り分けがかなり重要となっているため、今回ナレッジとして共有しました。
是非参考にしていただければと思います。