Security Hubのセキュリティチェックのタイミングやワークフローステータス遷移等についてAWSサポートに確認したため、以下に回答を整理します。
セキュリティチェック動作と、スコアへの反映タイミング。
ワークフローステータスの遷移について
- 「Security Hubの指摘事項に対して実機修正後、コントロールの結果に反映されるタイミングはいつですか?コントロールごとに異なる場合、その確認方法も教えてください。」
-
Security Hubでは、各コントロールに対して「定期的なチェック」と「変更によってトリガーされるチェック」の2種類のスケジュールが存在します[1]。
- 定期的なチェック: 最後の実行から12時間または24時間以内に自動的に実行されます。
- 変更トリガーによるチェック: 関連リソースの状態が変化した際に実行されます。
スケジュールタイプはコントロールごとに異なりますので、確認したいコントロールを参考資料[2]からご選択いただき、「スケジュールタイプ」からご確認できます。
[1]セキュリティチェックの実行スケジュール – AWS Security Hub https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-schedule.html
[2]Security Hub コントロールのリファレンス – AWS Security Hub https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-controls-reference.html - 「Security Hubの修正結果を即座に反映させる方法はありますか?」
-
修正結果を迅速に反映させるには、コントロールに関連するConfigルールを手動で再評価することが効果的です。これにより、反映が比較的短時間で行われます。
- コントロールを無効化したり、抑止済とした場合スコアにはいつどのタイミングで反映されるか
-
最初のスコア生成の後、Security Hub はセキュリティスコアを 24 時間ごとに更新します。Security Hub には、セキュリティスコアが最後に更新されたときの時刻が表示されます。
参考)セキュリティスコアの決定 – AWS Security Hub https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/standards-security-score.html - 「ワークフローステータスの遷移条件は何ですか?例えば、NEWからNOTIFIEDに変わるタイミングなどを知りたいです。また、その他のステータスについても教えてください。」
-
ワークフローステータスは、検出結果の調査進行状況を追跡するために使われます。主なステータスとして「NEW」、「NOTIFIED」、「SUPPRESSED」、「RESOLVED」の4つがあります[3]。
- RESOLVED: Compliance.Status がPASSEDになった場合、Security Hubが自動的にRESOLVEDに設定します。
- NEWへのリセット: RecordStateがARCHIVEDからACTIVEに変更、またはCompliance.StatusがPASSEDからFAILED、WARNING、NOT_AVAILABLEに変わった場合、自動的にNEWにリセットされます。
なお、ワークフローステータスを「NEW」から「NOTIFIED」や「SUPPRESSED」へ自動的に遷移させる方法はなく、手動で変更する必要があります。ただし、オートメーションルールを設定することで一部の自動化が可能です[4]。
[3]結果のワークフローステータスを設定する – AWS Security Hub https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/finding-workflow-status.html
[4]自動化ルール – AWS Security Hub https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/automation-rules.html - 検出結果(Findings)の項目からコントロールIDを知るにはどうすればいいか
-
検出結果の対象項目を選択し、「アクション」から「JSON表示」で詳細を開く。
その中に、SecurityControlID という項目があるため、そこのIDがコントロールIDを示している。 - Security Hub の有効化後に AWS Config を有効化した場合いつConfigルールが作成されるのか
-
以下のスケジュールでConfig ルールが作成されます。
– 標準を有効にした当日
– 標準を有効にした翌日
– 標準を有効にしてから 3 日後
– 標準を有効にしてから 7 日後 (その後は 7 日ごとに継続的に)
参考)
https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-setup-prereqs.html#securityhub-prereq-config
検出結果(Findings)とは何なのか。コントロールとの関係性は?
検出結果に表示されているのは、Security Hubで有効化されたすべての基準におけるコントロール結果や、GuardDuty、Inspectorなどの検出結果も表示される。
そのため、位置づけとしては、あらゆる検出結果をすべてここで確認して、必要に応じてワークフローステータスを変更して管理する場所と考えられる。Inspectorについては、かるいのりで有効化するとかなりの量の脆弱性(CVE-XXX)が検出され、私の場合は検出結果がInspectorで埋め尽くされたため、ワークフローステータスをここで手動管理されている方は注意が必要。
