こんにちは。X(クロス)イノベーション本部 ソフトウェアデザインセンター セキュリティグループの耿です。
AWS Security Hubのコントロールには、「変更によってトリガーされるチェック」と「定期的なチェック」があります。
それぞれのチェックスケジュールについてはこちらに記載があり、「定期的なチェック」は次のように書かれています。
定期的なチェックは、最後の実行から 12 時間または 24 時間以内に自動的に実行されます。周期は Security Hub によって決定され、変更はできません。定期的なコントロールは、実行時の評価をキャプチャします。
すなわち、リソース作成・変更後にすぐにチェックが行われない場合があり、最大で24時間待たなければなりません。コントロールの動きを調査をするときなどに不便だと感じていましたが、「定期的なチェック」に対してもすぐに実行する方法を見つけたのでご紹介します。
定期的なチェックをすぐに実行する方法
1. コントロールに対応する Config ルールを特定する
Security Hubのセキュリティチェックは AWS Config ルールを利用しており、ドキュメントにはそれぞれのコントロールが利用している Config ルールが記載されています。
まずはAWSの公式ドキュメントから、すぐにチェックを実行したいコントロールの Config ルールを特定しましょう。
https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-controls-reference.html
2. AWS Config コンソールでルールを見つける
AWS Configのコンソールにて、該当するルールを見つけます。ルールによっては名前が少し異なる場合があるようです。
3. 「アクション」>「再評価」を実行する
ルール右上の「アクション」>「再評価」をクリックすると、すぐにチェックを再実行してくれます。
しばらくしてリロードすると、最後に評価した日時とルールに非準拠なリソースが更新されました。
Security Hubのコンソールでも、すぐにチェックの結果が反映されていました。
コマンドラインでチェックをすぐに実行する方法
ルール名を特定した後の「再評価」操作は、コマンドラインのstart-config-rules-evaluation コマンドで実行することもできます。
aws configservice start-config-rules-evaluation --config-rule-name <ルール名>
私たちは同じチームで働いてくれる仲間を大募集しています!たくさんのご応募をお待ちしています。
セキュリティエンジニア(セキュリティ設計)執筆:@kou.kinyo、レビュー:@yamada.y
(Shodoで執筆されました)
