Amazon Inspector (もしくは Security Hub) 検出結果を Slack / E-mail に通知させる方法

記事タイトルとURLをコピーする

こんにちは!イーゴリです。

今日はAmazon Inspector (もしくは Security Hub) の検出結果を Slack / E-mail に通知させる方法を紹介したいと思います。

構成図

Inspector

Security Hub

Inspectorの検出結果をSlack / E-mail に通知させる方法

Amazon Inspectorの有効化

[Inspector] > [Inspector をアクティブ化]をクリックします。

Amazon Simple Notification Service (SNS) の設定

SNS トピックの作成

[SNS] > [トピック] > [トピックの作成]をクリックします。

[タイプ] > [スタンダード]を選択し、名前を入力します。他のパラメータは任意です。

「トピックの作成」をクリックします。

サブスクリプションの作成 (E-mail通知の場合、設定する)

[サブスクリプション] > [サブスクリプションの作成]をクリックします。

上記にて作成したトピックを選択します。

[プロトコル]で[E-mail]を選択し、[エンドポイント]でメールアドレスを入力し、[サブスクリプションの作成]をクリックします。

上記にて入力したメールに確認メールが届きましたので、[Confirm Subscription]をクリックし、コンソールから確認します。

AWS Chatbot の設定 (Slack通知の場合、設定する)

専用のSlackチャンネルを作成します。今回はプライベートチャンネルを作成します。

ChatbotをSlackと連携します。

SlackチャンネルIDをコピーします。

  • ロール設定: チャンネルロール
  • ロール名:任意の名前
  • ポリシーテンプレート:通知のアクセス許可
  • ポリシー名(チャネルガードレールポリシー):AmazonInspector2ReadOnlyAccess

SNSトピックを選択し、[設定]をクリックします。

プライベートチャンネルの場合、Slackチャンネルに @aws を招待しないと通知が届かないため、下記のコマンドを実行します。

/invite @aws

テスト通知を行います。

テスト通知が届きました。

注意点

AWS Chatbot エンドポイントが対象の Amazon SNS トピックのトピックサブスクリプションに表示されるようになります。

Amazon SNS トピックのトピックサブスクリプションから [ https://global.sns-api.chatbot.amazonaws.com ] というAWS Chatbot エンドポイントを削除してしまいますと、AWS Chatbot が Amazon SNS からメッセージを受信しなくなりますので、ご注意ください。

Amazon EventBridge ルールの作成

ルールタイプで「イベントパターンを持つルール」を選択し、「次へ」をクリックします。

[Inspector2] > [Inspector2 Finding]を選択します。

[パターンを編集]をクリックし、イベントパターンで下記のパターン(HighとCriticalの場合、通知する)を入力し、[次へ]をクリックします。

{
  "source": ["aws.inspector2"],  "detail-type": ["Inspector2 Finding"],
  "detail": {
    "severity": ["HIGH", "CRITICAL"],
    "status": ["ACTIVE"]
  }
}

例えば、MEDIUMやLOWなどのFindingsも入れたい場合、"MEDIUM"や"LOW"の形で追記する必要があります。

MEDIUMも追加したい場合の例:

{
  "source": ["aws.inspector2"],  "detail-type": ["Inspector2 Finding"],
  "detail": {
    "severity": ["MEDIUM", "HIGH", "CRITICAL"],
    "status": ["ACTIVE"]
  }
}

ターゲットとして、以前作成したSNSトピックを選択し、[次へ]をクリックします。

補足:今回は[次へ]をクリックし、次の画面をお見せいたしますが、次に設定する項目(タグ)がない場合、[レビューと作成 にスキップ]をクリックしても問題ありません。

結果確認

E-mailへの通知

Amazon Inspector 検出結果が下記の通り表示されます。

標準のフォーマットだと見づらいため、別の記事で改善方法をご紹介したいと思います。

EventBridgeの入力トランスフォーマーを使用することで簡単に整形できます。

Slackへの通知

Amazon Inspector 検出結果が下記の通り表示されます。

標準のフォーマットだとほしい情報がないため、別の記事でフォーマットを少し改善したいと思います。

Security Hubの検出結果をSlack / E-mail に通知させる方法

前提条件

  • Security Hubが有効化になっていること

Amazon EventBridge ルールの作成

Inspectorと全く同じ手順になりますので、変わる部分(EventBridge)のみ記載します。

Inspectorと違って、作成のメソッドが[Security Hub]となります。

結果確認

以上、御一読ありがとうございました。

本田 イーゴリ (記事一覧)

カスタマーサクセス部

・2024 Japan AWS Top Engineers (Security)
・AWS SAP, DOP, SCS, DBS, SAA, DVA, CLF
・Azure AZ-900
・EC-Council CCSE

趣味:日本国内旅行(47都道府県制覇)・ドライブ・音楽