[セキュアアカウント]Security Hub通知の重要度のフィルタリング設定を編集して維持したままにする

[セキュアアカウント]Security Hub通知の重要度のフィルタリング設定を編集して維持したままにする

弊社サービスの「セキュアアカウント」を利用していて、Security Hubの通知を重要度でフィルタリングしても設定が元に戻ってしまう方向け
Clock Icon2023.11.27

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、洲崎です。
セキュアアカウントでSecurity Hubの通知を重要度でフィルタリングした後に、そのままの設定で維持する方法を紹介します。

セキュアアカウントとは

セキュアアカウントとは、弊社が提供しているAWSを利用する上で推奨されるセキュリティ設定が自動で適用されたアカウントです。
弊社のAWS請求代行サービスをご利用いただいているお客様が利用できます。

セキュアアカウントはセキュアな設定を有効化・維持します。
そのため、例えばSecurity Hubを重要度でフィルタリングの設定を編集しても、毎週土曜日にメンテナンスが入り、セキュア設定の状態が維持(上書き)されます。
状況によっては、毎日メールやSlack通知が大量に飛んでしまう可能性があるため、重要度が高いものだけ通知を行いたい(例:HIGH,CRITICALのみ等)ケースもあると思います。
今回はSecurity Hubのフィルタリングの設定を編集してから、その設定を維持する方法を記載します。

設定方法

Event Bridgeのルール編集

AWSマネジメントコンソールからEventBridgeの「ルール」を開き、cm-securityhub-alert-ruleを開きます。

イベントパターンのところの「編集」をクリックします。

デフォルトの設定はこちらです。

{
  "source": ["aws.securityhub"],
  "detail-type": ["Security Hub Findings - Imported"],
  "detail": {
    "findings": {
      "Compliance": {
        "Status": ["FAILED", "WARNING", "NOT_AVAILABLE"]
      },
      "RecordState": ["ACTIVE"],
      "Workflow": {
        "Status": ["NEW"]
      },
      "ProductFields": {
        "StandardsArn": ["arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"]
      },
      "Severity": {
        "Label": ["LOW", "MEDIUM", "HIGH", "CRITICAL", "INFORMATIONAL"]
      }
    }
  }
}

重要度におけるフィルタリングを行いたい場合、JSONの中にあるSeverity.Labelのところを編集します。
たとえば、HIGH(高)とCRITICAL(重要)のみに絞ると以下の形です。

{
  "source": ["aws.securityhub"],
  "detail-type": ["Security Hub Findings - Imported"],
  "detail": {
    "findings": {
      "Compliance": {
        "Status": ["FAILED", "WARNING", "NOT_AVAILABLE"]
      },
      "RecordState": ["ACTIVE"],
      "Workflow": {
        "Status": ["NEW"]
      },
      "ProductFields": {
        "StandardsArn": ["arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"]
      },
      "Severity": {
        "Label": ["HIGH", "CRITICAL"]
      }
    }
  }
}

編集が完了したら、その他の設定は変えずに「ルールの更新」をクリックします。

メンバーズポータルサイトで設定変更

セキュアアカウントはデフォルトだと全ての設定についてオプトインが有効化されています。
オプトインが有効化されている状態だと毎週土曜日にメンテナンスが入りセキュア設定が上書きされ、重要度も全てを対象とした形で再設定されます。
そのため、オプトインを無効化する必要があります。

メンバーズポータルサイトに入り、「メンバーズサービス設定」を開きます。

セキュリティ設定の「セキュア設定」で「Amazon EventBridge通知設定」をオフにします。

※通知のフィルタリング設定はEventBridge側の設定のため、EventBridgeの設定をオフにします。例えばAWS Security Hubの設定を無効化にしても、メンテナンス時に通知のフィルタリング設定は元の状態に戻りますのでご留意ください。

これで設定は完了です。

最後に

弊社サービス「セキュアアカウント」のSecurity Hubの通知を重要度をフィルタリングしたまま維持する方法について記載しました。
状況によってフィルタリングしつつSecurity Hubを運用してみてください。

ではまた!コンサルティング部の洲崎でした。

参考

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.