概要
SecurityHubで問題を検出生した場合、SecurityHubからAWS Config、Cloud Trailへと辿ることで誰が何をどのように変更して問題が発生したのか、わかります。
Security Hubとは
AWS Security Hub では、AWS のセキュリティ状態を包括的に把握することが可能で、セキュリティ業界標準およびベストプラクティスに照らした環境チェックを行うのに有効です。
Security Hub は、AWS アカウント、サービス、およびサポートされているサードパーティーパートナー製品からセキュリティデータを収集するため、セキュリティの傾向を分析し、最も優先度の高いセキュリティ問題を特定するのに役立てることができます。
AWS Configとは
AWS Config は、AWS アカウントにある AWS リソースの設定詳細ビューを提供します。これには、リソース間の関係と設定の履歴が含まれるため、時間の経過と共に設定と関係がどのように変わるかを確認できます。
Cloud Trailとは
AWS CloudTrail は、AWS アカウントの運用とリスクの監査、ガバナンス、コンプライアンスを行えるように支援する AWS のサービスです。ユーザー、ロール、または AWS のサービスによって実行されたアクションは、CloudTrail にイベントとして記録されます。
AWS アカウントアクティビティの可視性は、セキュリティと運用のベストプラクティスにおける重要な側面です。CloudTrail を使用することで、AWS インフラストラクチャ全体のアカウントアクティビティを表示、検索、ダウンロード、アーカイブ、分析し、それに対応できます。アクションを実行したユーザーやアプリケーション、対象のリソース、イベントの発生日時、およびその他の詳細情報を識別して、AWS アカウントのアクティビティの分析と対応に役立てることができます。必要に応じて、証跡上で AWS CloudTrail Insights を有効にして、異常なアクティビティを特定して対応することができます。
SecurityHubの操作
SecurityHubの検出結果で以下のように異常が検知されました。
検出項目のタイトルをクリックします。
右に詳細が表示されます。
詳細のFindingIDをクリックします。
検出結果のJSONが表示されます。
この中の、ProductFieldsのRelatedAWSResourcesを見ます。
AWS Configの操作
AWS Configのルールで、上記のRelatedAWSResourcesと同じルールがあります。
CloudTrailの操作
AWS ConfigからCloud Trailに到達する、を参考にCloudTrailに辿り着きます。