fu3ak1's tech days

何事もシンプルに。主にAWS関連の記事を書いています

SecurityHubのレベル別通知が飛んでこなくなった

SecurityHub、使ってますか?細かい内容なのですが、SecurityHubの通知部分のパラメータが変更されていたのでその情報共有です。

f:id:fu3ak1:20201002142545p:plain
AWS Security Hub

Security Hubとは?

Security Hubは、AWSアカウント内のセキュリティ状況やコンプライアンスの準拠状況を1ヵ所で確認できるサービスです。 GuardDutyやMacieなど他のセキュリティサービスで検知した情報もSecurity Hub上で確認ができます。 使ったことのない方は是非一度有効にして確認してみてください。

aws.amazon.com

Security Hubの通知について

Security Hubを有効にすることで画面上で状況は確認できるのですが、セキュリティイベントが発生した場合の検知は別途設定する必要があります。 私は以前Security-JAWSで以下のようなお話をしていました。 「Security Hubの通知を全て行うとたくさん飛んでしまうのでフィルタを検討しましょう」

その中で、レベルがHIGHとMEDIUMのみ通知する設定例を紹介していました。

※CloudWatch Events または EventBridgeの設定です。

とある新しいAWSアカウントでこの通知を検証していたところ、この設定では通知が飛んでこないことが判明しました。

サポートに確認したところ、 AWSのフォーラムで案内があったとのことでした。

通知設定の変更内容

今現在HIGHとMEDIUMのみ通知を行う場合は以下の通り記載を変更する必要があります。

変更前(古い内容)

{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Findings - Imported"
  ],
  "detail": {
    "findings": {
      "ProductFields": {
        "aws/securityhub/SeverityLabel": [
          "HIGH",
          "MEDIUM"
        ]
      }
    }
  }
}

変更後(新しい内容)

{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Findings - Imported"
  ],
  "detail": {
    "findings": {
      "Severity": {
        "Label": [
          "HIGH",
          "MEDIUM"
        ]
      }
    }
  }
}

「ProductFields.aws/securityhub/SeverityLabel」にあった項目が、「Severity.Label」に移ったようです。

登壇資料も更新いたしました。

こっちはダメよ!

こっちで!

もし私の資料を参考に通知設定をされている方がいましたら、更新よろしくお願いしますm(__)m

下記の記事にも同様の記載があり、まだ古い状態ですので近いうちに更新予定です。

www.nri-net.com

ちなみに、上記HIGHとMEDIUMの設定はあくまで例なので、通知の状況や要件に合わせて設定はカスタマイズするようお願いします。

今後の変更に気付くには

現状はAWSのフォーラムを定期的に確認していくしか方法が無いようです。 メール通知は無いとのこと。ちょっと設定がマニアックで影響のあるユーザーが少ないかもしれないですね。

フォーラムのRSSがあるのでそこを登録して見るようにしたいと思います。

こういった細かいところも気を付けないとなーと反省した出来事でした。