OPS

【AWS re:Invent 2023】AWS Security Hub を使用したセキュリティのリーダーボードを構築するハンズオン

2023.12.07

本記事のポイント

AWS Security Hubを使用したセキュリティポスチャーリーダーボードの構築のハンズオンをしてきましたのでご紹介します。
どのようにしてセキュリティ対策の可視性を高めるダッシュボードを構築するかについてこのセッションで学ぶことができました。


セッション情報

セッション名 Build a secueity posture leaderboard using AWS Security Hub
セッション概要(原文) This builders’ session introduces you to the possibilities of creating a robust and comprehensive leaderboard using AWS Security Hub findings to improve security and compliance visibility in your organization. Learn how to design and support various use cases, such as combining security and compliance data into a single, centralized dashboard that allows you to make more informed decisions; correlate Security Hub findings with operational data for deeper insights; build a security and compliance scorecard across various dimensions to share with different stakeholders; and support a decentralized organization structure with a centralized or shared security function. You must bring your laptop to participate.
セッション概要(翻訳) このビルダーズセッションでは、組織内のセキュリティとコンプライアンスの可視性を向上させるために、AWS Security Hub(以下、Security Hub)の調査結果を使用して堅牢で包括的なリーダーボードを作成する可能性を紹介します。セキュリティとコンプライアンスデータを単一の集中ダッシュボードに統合し、より多くの情報に基づいた意思決定を可能にする、Security Hubの調査結果を運用データと関連付けてより深い洞察を得る、さまざまなステークホルダーと共有するためのさまざまな次元にわたるセキュリティとコンプライアンスのスコアカードを構築する、集中または共有されたセキュリティ機能で分散化された組織構造をサポートするなど、さまざまなユースケースを設計しサポートする方法を学びます。参加にはノートパソコンが必要です。

リーダーボードの作成方法を学ぶ

このビルダーズセッションでは、組織内のセキュリティとコンプライアンスの可視性を向上させるために、AWS Security Hub(以下、Security Hub)の調査結果を使用して堅牢で包括的なリーダーボードを作成する方法を学びました。

AWSのセキュリティリーダーボードを作成することによって、以下の恩恵が受けられます。

  • セキュリティやコンプライアンスの問題を単一の画面で表示できる
  • チームで問題の共有をして理解と修正のスピードを促進する
  • 経営幹部レベルの優先順位とプログラムのスポンサーシップを確保する

  • リーダーボードの作成手順

    リーダーボードをビルドする大まかな手順を説明します。

  • Security Hubから検出
  • ビジネスの背景
  • データの長期保存
  • 結果をクエリし視覚化

  • アーキテクチャ

    アーキテクチャは以下のようになります。

    以下の部分は事前に構築済みとなっていました。

    ワークショップの範囲

    今回のセッションでは以下の部分のみ構築しました。

  • AWS Glue crawlerでAmazon S3(以下、S3)バケット内のセキュリティ検出結果データをクロールし、メタデータを生成します。
  • AWS Glue Data Catalogにメタデータ、つまりAWS Glue tablesを格納します。
  • AWS Glue tablesをAmazon Athena(以下、Athena)でクエリします。
  • Athenaを使用してAmazon QuickSightでセキュリティリーダーボードを構築します。

  • ワークショップ

    ワークショップは期間限定の詳細なドキュメントとデモ環境が与えられます。

    セキュリティリーダーボード構築

    AWS Glue Data Catalogにメタデータ、つまりAWS Glue tablesを格納します。

    手順に従ってAWS Glueのデータベースを構築することができました。

    また、Athenaを使ってAWS Glue Data Catalogデータベースのクエリができることを試しました。 クエリは全てコピー&ペーストで実行できるようになっていました。

    AWS Glueのデータベースの情報を、AWS Quicksight(以下、Quicksight)を使って可視化していきます。

    まずセキュリティスコアのテーブルを作成しました。 使用するデータは先ほど作成したAWS GlueのDBです。 セキュリティスコアを算出する式はコピーできるようになっていました。 簡単に説明すると、以下のような式となっています。

    セキュリティスコア = アクティブなレコードかつ、成功ステータスのレコード数 / アクティブなレコードの総数

    セキュリティスコアによって背景色を変更することで、見た目でわかりやすくしていきます。 ドキュメントに従って、スコアが0.5より小さい時は赤、0.75より小さい時は黄色、0.75以上の時は緑という条件にしました。

    これが完成した表です。


    次に作成したものは、環境ごとの検出結果の数を可視化したヒートマップです。 対象の数が多いほど色が明るくなります。

    ドキュメントを見ても作成の操作がいまいち分からず困ってしまったので、セッションのサポーターにヘルプを求めました。 わかりやすく伝えてくれ、無事にヒートマップを作成することができました。

    以下が私が作成したものです。nullはフィルターで除外すべきだったのですが、見落としておりそのままとなっています。

    これでQuicksightでダッシュボードを作成することができました。

    ここで1時間経ってしまい、セッション自体は終了しました。 セッション終了後も少しの間はこちらのデモ環境を触ることはできるので、近くの椅子に座って続きを行いました。

    Quicksightチャレンジ

    Quicksightチャレンジが3つ用意されていました。

    チャレンジ1

    チャレンジ1は検出結果をDepartmentでフィルターして検出リソース数の多い順に表示するテーブルを作成することでした。 各チャレンジには分からない人ためにヒントが用意されていました。 何をすればいいのか、最終的にどんなものができていればいいのかが書かれていました。

    見本です

    私はヒントを確認して以下のテーブルを作成することができました。

    見本より表示すべき情報が足りないことにブログ執筆中に気づきましたが、フィルター可能なテーブルを作成するという目標は達成できました。

    チャレンジ2

    チャレンジ2は重要度ラベルごとの検出結果をグラフ化するというものでした。 重要度でグループ化し、重要度ごとのラベルの色は自分で設定しました。

    以下が私の作成したグラフです。

    チャレンジ3

    チャレンジ3では重みつきセキュリティスコアを算出するというものでした、 前述のセキュリティスコアでは検出結果の重要度が考慮されていないため、重要度の重みづけをしたスコアを算出する方法を学びました。

    計算フィールドというものがあり、 カスタマイズした計算式を作成することができます。 以下のように計算フィールドを追加しました。

    passed_weighted, failed_weightedの計算式は、別の計算フィールドを作成すると可読性が上がります。

    重要度が高いほどスコアの影響が大きくなるように重み付けしました。 スコアの変化を確認することは残念ながら時間の都合でできませんでしたが、計算式を自作する方法は学ぶことができました。

    これで用意されていた内容は以上になります。

    まとめ

    Security Hubのデータを使用して、セキュリティリーダーボードをビルドする手順をワークショップ形式で学ぶことができました。 手順のドキュメントは丁寧に書かれていたので、初めて使うサービスが多くても問題なく最後まですることができました。 Security Hubを使う際は、こちらのアーキテクチャを参考にダッシュボードを作ってみると管理しやすくなって良さそうに感じました。 このワークショップのドキュメントはこちらから閲覧できます。