こんにちは！イーゴリです。

今日はAmazon Inspector (もしくは Security Hub) の検出結果を Slack / E-mail に通知させる方法を紹介したいと思います。

構成図

Inspector

Security Hub

Inspectorの検出結果をSlack / E-mail に通知させる方法

Amazon Inspectorの有効化

[Inspector] > [Inspector をアクティブ化]をクリックします。

[SNS] > [トピック] > [トピックの作成]をクリックします。

[タイプ] > [スタンダード]を選択し、名前を入力します。他のパラメータは任意です。

「トピックの作成」をクリックします。

サブスクリプションの作成 (E-mail通知の場合、設定する)

[サブスクリプション] > [サブスクリプションの作成]をクリックします。

上記にて作成したトピックを選択します。

[プロトコル]で[E-mail]を選択し、[エンドポイント]でメールアドレスを入力し、[サブスクリプションの作成]をクリックします。

上記にて入力したメールに確認メールが届きましたので、[Confirm Subscription]をクリックし、コンソールから確認します。

AWS Chatbot の設定 (Slack通知の場合、設定する)

専用のSlackチャンネルを作成します。今回はプライベートチャンネルを作成します。

ChatbotをSlackと連携します。

SlackチャンネルIDをコピーします。

ロール設定：チャンネルロール
ロール名：任意の名前
ポリシーテンプレート：通知のアクセス許可
ポリシー名（チャネルガードレールポリシー）：AmazonInspector2ReadOnlyAccess

SNSトピックを選択し、[設定]をクリックします。

プライベートチャンネルの場合、Slackチャンネルに @aws を招待しないと通知が届かないため、下記のコマンドを実行します。

/invite @aws

テスト通知を行います。

テスト通知が届きました。

注意点

AWS Chatbot エンドポイントが対象の Amazon SNS トピックのトピックサブスクリプションに表示されるようになります。

Amazon SNS トピックのトピックサブスクリプションから [ https://global.sns-api.chatbot.amazonaws.com ] というAWS Chatbot エンドポイントを削除してしまいますと、AWS Chatbot が Amazon SNS からメッセージを受信しなくなりますので、ご注意ください。

Amazon EventBridge ルールの作成

ルールタイプで「イベントパターンを持つルール」を選択し、「次へ」をクリックします。

[Inspector2] > [Inspector2 Finding]を選択します。

[パターンを編集]をクリックし、イベントパターンで下記のパターン（HighとCriticalの場合、通知する）を入力し、[次へ]をクリックします。

{
  "source": ["aws.inspector2"],  "detail-type": ["Inspector2 Finding"],
  "detail": {
    "severity": ["HIGH", "CRITICAL"],
    "status": ["ACTIVE"]
  }
}

例えば、MEDIUMやLOWなどのFindingsも入れたい場合、"MEDIUM"や"LOW"の形で追記する必要があります。

MEDIUMも追加したい場合の例：

{
  "source": ["aws.inspector2"],  "detail-type": ["Inspector2 Finding"],
  "detail": {
    "severity": ["MEDIUM", "HIGH", "CRITICAL"],
    "status": ["ACTIVE"]
  }
}

ターゲットとして、以前作成したSNSトピックを選択し、[次へ]をクリックします。