AWS Security Hub検出結果を重要度ごとにメールを受け取る方法[AWS CloudFormation テンプレート付き]

こんにちは、SCSKの石原です。

AWS Security Hubネタです。AWS Security Hubのコンソールは非常に見やすいのですが、検証環境など普段からあまり見ない環境ですと通知が欲しくなります。AWS Security HubはAmazon EventBridgeと統合されているため、AWS LambdaやAmazon SNSを通じて通知を発行することが可能です。

通知の仕掛けをAWS CloudFormationでサクッと構築する方法を記述します。

概要

Security Hubの検出結果を重要度に応じてメールに通知する仕組みを実装します。

概要図は以下の通りです。

1. Security Hubを利用するため、AWS ConfigやGuardDutyを有効にします
2. Security Hubで適用するセキュリティ基準を選択します。今回は2件有効にしています。
   1. AWS Foundational Security Best Practices
   2. CIS AWS Foundations Benchmark v1.2.0
3. EventBridgeのルールにより、Security Hubの特定のイベントを検知して、SNSにパブリッシュします
4. SNSによりemailで通知されます。

前提タスク

メール通知の前提タスクとして、3つのサービスを有効化しておきます。

• AWS Config
• Amazon GuardDuty
• AWS Security Hub

Amazon Configの有効化

Configはリージョンリソースです。

「グローバルリソースを含めるかどうか」については検討項目になるかと思います。基本的には含めたほうがいい認識です。

コンソール AWS Config でのセットアップ - AWS Config

Amazon SNS を使用して設定変更を通知し、Amazon S3 を使用して履歴とスナップショット情報を保存する AWS Config ように を設定します。

docs.aws.amazon.com

Amazon GuardDutyの有効化

GuardDutyはリージョンリソースです。リージョンを指定してコンソールから有効化できます。

GuardDuty の開始方法 - Amazon GuardDuty

Amazon GuardDuty を有効にして、環境内の AWS 脅威を検出するための基本設定を開始します。

docs.aws.amazon.com

AWS Security Hubの有効化

Security Hubはリージョンリソースです（※）。リージョンを指定してコンソールから有効化できます。

AWS Security Hub

docs.aws.amazon.com

メール通知実装

メール通知するために、EventBridgeとSNSの設定をCFnテンプレートを活用して実装します。

実装テンプレート

AWSTemplateFormatVersion: "2010-09-09"
Description: "security hub notify template"
Parameters:
  NotifyEmailAddress:
    Type: String
    Default: "your email address"

  Severity:
    Type: String
    Default: "CRITICAL"
    AllowedValues:
      - "CRITICAL"
      - "HIGH"
      - "MEDIUM"
      - "LOW"
      - "INFORMATIONAL"

  EventType:
    Type: String
    Default: "SecurityHubNotify"

Resources:
# =====================================
# SNS
# =====================================
  EventTypeNotifyTopic:
    Type: AWS::SNS::Topic
    Properties: 
      DisplayName: !Sub "${EventType}-${AWS::AccountId}-${Severity}"
      TopicName: !Sub "Topic-${AWS::AccountId}-${EventType}-${Severity}"

  EventTypeNotifyTopicPolicy:
    Type: AWS::SNS::TopicPolicy
    Properties:
      PolicyDocument:
        Statement:
          - Effect: "Allow"
            Principal:
              Service: "events.amazonaws.com"
            Action: "sns:Publish"
            Resource: "*"
      Topics:
        - !Ref EventTypeNotifyTopic

  Subscription:
    Type: AWS::SNS::Subscription
    Properties: 
      Endpoint: !Ref NotifyEmailAddress
      Protocol: email
      TopicArn: !Ref EventTypeNotifyTopic

# =====================================
# EventBridge
# =====================================
  SecurityHubNotifyEventRule:
    Type: AWS::Events::Rule
    Properties: 
      Description: !Sub "Security notice : ${Severity}"
      EventPattern: 
        detail-type: 
        - "Security Hub Findings - Imported"
        source:
        - "aws.securityhub"
        detail:
          findings: 
            Compliance: 
              Status:   
                - "FAILED"
                - "WARNING"
            RecordState:
              - "ACTIVE"
            Workflow:
              Status: 
                - "NEW"
            Severity:
              Label:
                - !Sub "${Severity}"
      Name: !Sub "${EventType}-${Severity}-Rule"
      State: ENABLED
      Targets: 
      - Arn: !Ref EventTypeNotifyTopic
        Id: !Sub "${EventType}-${Severity}-SNS-Target"

実装テンプレートパラメータ

テンプレートに与えるパラメータは下記の通りです。

終わりに

メールを見やすくしたい場合は、LambdaをかましてSecurity HubイベントのJsonをパースしてSNSにパブリッシュしましょう。

今回は通知だけですが、自動修復まで含めたソリューションをAWSが提供されています。

AWS での自動化されたセキュリティ対応 | AWS ソリューション | AWS ソリューションライブラリ

AWS Security Hub で事前に定義された対応と修復アクションにより、セキュリティ脅威に自動的に対処する

aws.amazon.com

大量のアカウントを管理している場合では、検出した後の修復についても検討したいですね。