2020年4月16日、Security Hubにワークフローステータスという新しい機能が追加されました。 この機能により、Security Hubの検出結果に対し、NEW(新規)、NOTIFIED(通知済み)、 SUPPRESSED(抑制済み)、RESOLVED(解決済み)の4つのステータスのいずれかを割り当てることが可能になりました。
なお、従来はアーカイブという機能がありましたが、現在ではコンソールから消えて、このワークフローステータスに変わりました。
各ステータスの意味は以下のとおりです。
| ステータス | 説明 |
|---|---|
| NEW | レビュー前の検出結果の初期状態。 |
| NOTIFIED | セキュリティの問題についてリソース所有者に通知したことを示します。 初回レビュー者がリソース所有者ではなく、リソース所有者の介入が必要な場合に使用されます。 |
| RESOLVED | この検出結果はレビューおよび修正され、現在は解決済みと見なされています。 |
| SUPPRESSED | 検出結果はレビューされず、対処されません。 |
Security Hubで何か問題を検出すると、それをコンソールで見ることができますが、放っておくと増えるだけです。 ワークフローステータスを使えば、それがどのような状態にあるのかを整理しやすくなります。
参考ページ
- AWS Security Hub launches a new API called BatchUpdateFindings and new Workflow Statuses
- AWS Security Finding 形式
- Setting the workflow status for a finding
では、やってみましょう。
今回の例では、Inspectorでの2つの検出結果をSecurity Hubに取り込んだものを処理します。
何らかの処理が必要な検出結果への対応
On instance i-0813dde2de2ac645d, TCP port 80 which is associated with 'HTTP' is reachable from the internet
インターネットからEC2インスタンスのポート番号80にアクセス可能という検出結果です。 これは意図していなかったので、塞ぐ必要があるとします。 調査の結果、セキュリティグループに問題があるとわかり修正しました。
問題を解決したので、「解決済み」に変更します。
そうすると、デフォルトのフィルタ条件(ワークフローのステータス EQUALS NEW、NOTIFIED)から外れるので、表面上は見えなくなります。 もし後で確認したくなったら、フィルタ条件でワークフローのステータス RESOLVED を追加すれば見れます。
処理が不要な検出結果への対応
On instance i-0813dde2de2ac645d, TCP port 443 which is associated with 'HTTPS' is reachable from the internet
インターネットからEC2インスタンスのポート番号443にアクセス可能という検出結果です。 しかし、このEC2インスタンスはWebサーバであり、HTTPS(443)で公開するのは意図したものだったとします。 何も対処する必要はありません。
このEC2インスタンスへのHTTPS(443)は問題ないと確認とれたので、今後は検出されないように「抑制済み」に変更します。
これで再度、Inspectorで検査したとしても「抑制済み」に関しては検出されなくなります。 やっぱり検出されるようにしたいなと思ったら、「抑制済み」から別のステータスに変更すれば、その後は検出対象となります。
感想
ワークフローステータスが付いたことで、Security Hubの運用がやりやすくなる気がしました。 アーカイブだけではやりにくかったので、大助かりです。
