Security Hubのワークフローステータスで検出結果を運用しよう

記事タイトルとURLをコピーする

2020年4月16日、Security Hubにワークフローステータスという新しい機能が追加されました。
この機能により、Security Hubの検出結果に対し、NEW(新規)NOTIFIED(通知済み)SUPPRESSED(抑制済み)RESOLVED(解決済み)の4つのステータスのいずれかを割り当てることが可能になりました。

なお、従来はアーカイブという機能がありましたが、現在ではコンソールから消えて、このワークフローステータスに変わりました。

各ステータスの意味は以下のとおりです。

ステータス 説明
NEW レビュー前の検出結果の初期状態。
NOTIFIED セキュリティの問題についてリソース所有者に通知したことを示します。
初回レビュー者がリソース所有者ではなく、リソース所有者の介入が必要な場合に使用されます。
RESOLVED この検出結果はレビューおよび修正され、現在は解決済みと見なされています。
SUPPRESSED 検出結果はレビューされず、対処されません。

Security Hubで何か問題を検出すると、それをコンソールで見ることができますが、放っておくと増えるだけです。
ワークフローステータスを使えば、それがどのような状態にあるのかを整理しやすくなります。

参考ページ

では、やってみましょう。

今回の例では、Inspectorでの2つの検出結果をSecurity Hubに取り込んだものを処理します。

何らかの処理が必要な検出結果への対応

On instance i-0813dde2de2ac645d, TCP port 80 which is associated with 'HTTP' is reachable from the internet

インターネットからEC2インスタンスのポート番号80にアクセス可能という検出結果です。 これは意図していなかったので、塞ぐ必要があるとします。
調査の結果、セキュリティグループに問題があるとわかり修正しました。

問題を解決したので、「解決済み」に変更します。

そうすると、デフォルトのフィルタ条件(ワークフローのステータス EQUALS NEW、NOTIFIED)から外れるので、表面上は見えなくなります。
もし後で確認したくなったら、フィルタ条件でワークフローのステータス RESOLVED を追加すれば見れます。

処理が不要な検出結果への対応

On instance i-0813dde2de2ac645d, TCP port 443 which is associated with 'HTTPS' is reachable from the internet

インターネットからEC2インスタンスのポート番号443にアクセス可能という検出結果です。
しかし、このEC2インスタンスはWebサーバであり、HTTPS(443)で公開するのは意図したものだったとします。
何も対処する必要はありません。

このEC2インスタンスへのHTTPS(443)は問題ないと確認とれたので、今後は検出されないように「抑制済み」に変更します。

これで再度、Inspectorで検査したとしても「抑制済み」に関しては検出されなくなります。
やっぱり検出されるようにしたいなと思ったら、「抑制済み」から別のステータスに変更すれば、その後は検出対象となります。

感想

ワークフローステータスが付いたことで、Security Hubの運用がやりやすくなる気がしました。
アーカイブだけではやりにくかったので、大助かりです。

渡辺 信秀 (記事一覧)