- はじめに
- New Relic Vulnerability Managementとは
- AWS Security HubとVulnerability Managementの連携方法
- アラート通知
- 運用面について
- まとめ
- 宣伝
はじめに
こんにちは、マネージドサービス部の福田です。
以前AWS Security Hubの可視化に関する以下ブログを投稿しました。
今回は前回のブログでは紹介しなかったVulnerability Managementについて紹介しようと思います。
内容としてはVulnerability Managementの概要及びAWS Security Hub情報と連携するための基本的な設定内容になります。
New Relic Vulnerability Managementとは
概要
New Relic Vulnerability Managementは、ソフトウェアやインフラストラクチャのセキュリティ情報を一元管理し、脆弱性を特定・評価・管理するための機能です。
主な特徴は以下の通りです
- AWS Security Hubなど外部機能やツール、New Relic APMと連携
- New RelicAPMと組み合わせることでアプリケーションの脆弱性自動検知
基本機能の紹介
New Relic Vulnerability Managementには主に3つの機能があります
脆弱性の検出と評価
- 脆弱性の種類と重要度の識別
- 影響を受けるAWSリソースの特定
- CVE情報と修復アクションの提供
ダッシュボードによる可視化
- 脆弱性の検出日時と最終確認日時の記録
- 関連するコンプライアンス基準の表示
アラート通知
- 主な通知経路: SlackとWebhook
- 脆弱性の重要度カテゴリ:
- Critical vulnerabilities
- High vulnerabilities
- Other vulnerabilities (Medium, Lowなど)
Vulnerability Management画面の参考情報
導入メリット
New Relic Vulnerability Managementは効率的なセキュリティ管理と迅速な問題解決が可能になります。
また、比較的簡単に脆弱性管理が実現可能になります。
トラブルシューティングが直感的
- 異なるサービスのログやセキュリティ情報を1つの画面で確認できます
- フィールド名が統一されているため、異なるソースからのデータを簡単に比較・分析できます
導入が簡単
- AWS Security Hubと簡単な統合
- APMエージェントをインストールするだけで、アプリケーションの脆弱性の自動検知
可視化が容易
- データを取り込むと同時に、New Relicが自動的にチャートやダッシュボードを生成します
AWS Security HubとVulnerability Managementの連携方法
- 以下ドキュメントを参考にVulnerability Managementの設定をします
設定概要
アラート通知
New RelicのVulnerability Management機能の主な通知経路は以下の2つです
- Slack
- Webhook
また以下のように脆弱性の重要度がカテゴリ化されております。
- Critical vulnerabilities
- High vulnerabilities
- Other vulnerabilities(中程度(Medium)や低(Low)が該当)
もしOther vulnerabilitiesを詳細に分類してアラート通知をしたい場合は
NRQLを使用したカスタムアラート条件を作成することで通知が可能になります。
Vulnerability Managementの通知設定の流れ
実際に通知された内容
なお、Webhook経由であれば通知内容のカスタマイズも可能なようです。
NRQLを用いた詳細なアラート設定について
Vulnerability Managementの情報は「Metrics & Events」の「Vulnerability」というデータとして収集されているようです。
なので「Vulnerability」の情報をNRQLで使用することができます
実際にCriticalやHigh以外の通知を飛ばせるか確認
Workflowsでカスタマイズしたアラートメッセージ案
- Slackスレッドに、特定のリソースとイベント重要度に関連する情報をまとめて表示
- 詳細情報は、Slackメッセージ内に記載されているNew Relicのダッシュボードリンクから参照可能
- イベント重要度(リソース重要度)でグループ化。
- 各重要度グループ内で、イベント種別(リソース種別)ごとに別々の通知が生成。
使用するNRQL
SELECT Count(*) FROM Vulnerability FACET source,severity WHERE severity = MEDIUM' OR severity ='CRITICAL'
Workflowsの設定画面
実際に通知された内容
上記通知内容に記載のダッシュボード内容
発生中のイベント数のダッシュボード(重要度別)
発生したイベント一覧のダッシュボード
Workflowsでのアラート文面カスタマイズが不要な場合の例
- MEDIUMのイベントが発生したら通知
- Workflowsの設定はデフォルト設定
- アラートコンディションのカスタムディスクリプションにVulnerability Managementのpermalinkを記載
- アラートメール通知内からVulnerability Managementの画面にアクセスできる
実際に通知された内容
運用面について
Vulnerability Managementを少し触ってみた感想になりますが運用活用するとしたら
NRQLで運用機能を補完しつつVulnerability Managementを中心とした運用がいいのではと思います。
特に分析面では、カスタムダッシュボード作成よりもVulnerability Managementの機能を活用することで、より効率的な運用が可能になります。
アラート通知について
| 通知方法 | 使用場面と特徴 |
|---|---|
| Vulnerability Managementからの通知 | ・ 重要度の高い脆弱性(HighやCritical)に焦点 - アラート疲れを防ぐため、最重要な脆弱性のみを通知 |
| NRQLの使用 | ・ Vulnerability ManagementでカバーできないHighやCritical以外を明示的にアラート通知可能 ・イベント名を指定する等カスタマイズ通知可能 |
分析について
| 分析方法 | 特徴と使用場面 |
|---|---|
| Vulnerability Managementによる分析 | Vulnerability Managementの画面のみで分析可能 |
| NRQLによる分析 | ・カスタムダッシュボードが必要だがその分カスタマイズ性は高い ・発生した事象の可視化は可能だが、詳細な分析は難しい |
まとめ
New Relic Vulnerability Managementは、AWS Security HubやNew Relic APMと連携し、インフラからアプリケーションレベルまでの包括的な脆弱性管理を実現する機能になります。
- AWS Security Hubとの簡単な統合
- 脆弱性情報の効率的な収集と管理
- SlackやWebhookを通じたカスタマイズ可能なアラート通知
脆弱性管理は一度きりの取り組みではなく、継続的なプロセスとして維持することが求められ導入は難しいですが
脆弱性管理の方法の一つとしてVulnerability Managementを知ってもらえばと思います。
本記事がVulnerability Managementの設定と運用の参考になれば幸いです。
宣伝
弊社では、お客様環境のオブザーバビリティを加速するための伴走型のNew Relic導入支援サービスなどもご提供しております。 もしご興味をお持ちの方は、こちらのサービスご紹介ページの一番下にあるお問合せフォームよりお問合せ頂けましたら幸いでございます。
