Amazon Inspector와 AWS Security Hub 통합
AWS Security Hub에서는 AWS에서 보안 상태를 포괄적으로 파악할 수 있으며 보안 업계 표준 및 모범 사례와 비교하여 환경을 점검할 수 있습니다. Security Hub는 AWS 계정, 서비스 및 지원되는 제품에서 보안 데이터를 수집합니다. Security Hub에서 제공하는 정보를 사용하여 보안 추세를 분석하고 우선 순위가 가장 높은 보안 문제를 식별할 수 있습니다. 통합을 활성화하면 Amazon Inspector의 조사 결과를 Security Hub로 보낼 수 있으며, Security Hub는 이러한 조사 결과를 보안 태세 분석에 포함할 수 있습니다.
Security Hub는 보안 문제를 결과로 추적합니다. 이러한 조사 결과 중 일부는 다른 AWS 서비스 또는 타사 제품에서 탐지한 문제에서 비롯될 수 있습니다. Security Hub는 일련의 규칙을 사용하여 보안 문제를 탐지하고 조사 결과를 생성합니다. Security Hub는 조사 결과를 관리하는 데 도움이 되는 도구를 제공합니다. Amazon Inspector에서 조사 결과가 종결되면 Security Hub는 Amazon Inspector 조사 결과를 보관합니다. 또한 조사 결과의 기록과 조사 결과 세부 정보를 볼 수 있으며, 조사 결과에 대한 조사 상태를 추적할 수 있습니다.
Security Hub 조사 결과는 AWS Security Finding Format(ASFF)이라는 표준 JSON 형식을 사용합니다. ASFF에는 문제의 원인, 영향을 받은 리소스, 조사 결과의 현재 상태에 대한 세부 정보가 포함되어 있습니다.
주제
AWS Security Hub에서 Amazon Inspector 결과 보기
Security Hub에서는 Amazon Inspector Classic 및 Amazon Inspector 조사 결과를 볼 수 있습니다.
참고
Amazon Inspector 조사 결과만 필터링하려면 필터 표시줄에 "aws/inspector/ProductVersion": "2"를 추가합니다. 이 필터는 Security Hub 대시보드에서 Amazon Inspector Classic 조사 결과를 제외합니다.
Amazon Inspector 결과 예제
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:inspector2:us-east-1:123456789012:finding/FINDING_ID", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector", "ProductName": "Inspector", "CompanyName": "Amazon", "Region": "us-east-1", "GeneratorId": "AWSInspector", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ], "FirstObservedAt": "2023-01-31T20:25:38Z", "LastObservedAt": "2023-05-04T18:18:43Z", "CreatedAt": "2023-01-31T20:25:38Z", "UpdatedAt": "2023-05-04T18:18:43Z", "Severity": { "Label": "HIGH", "Normalized": 70 }, "Title": "CVE-2022-34918 - kernel", "Description": "An issue was discovered in the Linux kernel through 5.18.9. A type confusion bug in nft_set_elem_init (leading to a buffer overflow) could be used by a local attacker to escalate privileges, a different vulnerability than CVE-2022-32250. (The attacker can obtain root access, but must start with an unprivileged user namespace to obtain CAP_NET_ADMIN access.) This can be fixed in nft_setelem_parse_data in net/netfilter/nf_tables_api.c.", "Remediation": { "Recommendation": { "Text": "Remediation is available. Please refer to the Fixed version in the vulnerability details section above. For detailed remediation guidance for each of the affected packages, refer to the vulnerabilities section of the detailed finding JSON." } }, "ProductFields": { "aws/inspector/FindingStatus": "ACTIVE", "aws/inspector/inspectorScore": "7.8", "aws/inspector/resources/1/resourceDetails/awsEc2InstanceDetails/platform": "AMAZON_LINUX_2", "aws/inspector/ProductVersion": "2", "aws/inspector/instanceId": "i-0f1ed287081bdf0fb", "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/inspector/arn:aws:inspector2:us-east-1:123456789012:finding/FINDING_ID", "aws/securityhub/ProductName": "Inspector", "aws/securityhub/CompanyName": "Amazon" }, "Resources": [ { "Type": "AwsEc2Instance", "Id": "arn:aws:ec2:us-east-1:123456789012:i-0f1ed287081bdf0fb", "Partition": "aws", "Region": "us-east-1", "Tags": { "Patch Group": "SSM", "Name": "High-SEv-Test" }, "Details": { "AwsEc2Instance": { "Type": "t2.micro", "ImageId": "ami-0cff7528ff583bf9a", "IpV4Addresses": [ "52.87.229.97", "172.31.57.162" ], "KeyName": "ACloudGuru", "IamInstanceProfileArn": "arn:aws:iam::123456789012:instance-profile/AmazonSSMRoleForInstancesQuickSetup", "VpcId": "vpc-a0c2d7c7", "SubnetId": "subnet-9c934cb1", "LaunchedAt": "2022-07-26T21:49:46Z" } } } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "Vulnerabilities": [ { "Id": "CVE-2022-34918", "VulnerablePackages": [ { "Name": "kernel", "Version": "5.10.118", "Epoch": "0", "Release": "111.515.amzn2", "Architecture": "X86_64", "PackageManager": "OS", "FixedInVersion": "0:5.10.130-118.517.amzn2", "Remediation": "yum update kernel" } ], "Cvss": [ { "Version": "2.0", "BaseScore": 7.2, "BaseVector": "AV:L/AC:L/Au:N/C:C/I:C/A:C", "Source": "NVD" }, { "Version": "3.1", "BaseScore": 7.8, "BaseVector": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H", "Source": "NVD" }, { "Version": "3.1", "BaseScore": 7.8, "BaseVector": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H", "Source": "NVD", "Adjustments": [] } ], "Vendor": { "Name": "NVD", "Url": "https://nvd.nist.gov/vuln/detail/CVE-2022-34918", "VendorSeverity": "HIGH", "VendorCreatedAt": "2022-07-04T21:15:00Z", "VendorUpdatedAt": "2022-10-26T17:05:00Z" }, "ReferenceUrls": [ "https://git.kernel.org/pub/scm/linux/kernel/git/netdev/net.git/commit/?id=7e6bc1f6cabcd30aba0b11219d8e01b952eacbb6", "https://lore.kernel.org/netfilter-devel/cd9428b6-7ffb-dd22-d949-d86f4869f452@randorisec.fr/T/", "https://www.debian.org/security/2022/dsa-5191" ], "FixAvailable": "YES" } ], "FindingProviderFields": { "Severity": { "Label": "HIGH" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }, "ProcessedAt": "2023-05-05T20:28:38.822Z" }
Security Hub와 Amazon Inspector 통합 활성화 및 구성
Security Hub를 활성화하여 Amazon Inspector와 AWS Security Hub의 통합을 활성화할 수 있습니다. Security Hub를 활성화하면 Amazon Inspector와 AWS Security Hub의 통합이 자동으로 활성화되며, Amazon Inspector는 AWS Security Finding Format(ASFF)을 사용하여 모든 조사 결과를 Security Hub로 보내기 시작합니다.
통합에서 조사 결과의 흐름 비활성화
Amazon Inspector에서 조사 결과를 Security Hub로 보내지 않도록 하려면 Security Hub 콘솔 또는 API 및 AWS CLI를 사용하면 됩니다.
Security Hub에서 Amazon Inspector에 대한 보안 제어 보기
Security Hub는 지원되는 AWS 및 타사 제품의 조사 결과를 분석하고 규칙과 대조하여 자동화된 지속적인 보안 검사를 실행하여 자체 조사 결과를 생성합니다. 규칙은 보안 제어로 표시되며, 표준의 요구 사항이 충족되고 있는지 여부를 판단하는 데 도움이 됩니다.
Amazon Inspector는 보안 제어를 사용하여 Amazon Inspector 기능이 활성화되어 있는지 또는 활성화해야 하는지 여부를 확인합니다. 이러한 기능은 다음과 같습니다.
-
Amazon EC2 스캔
-
Amazon ECR 스캔
-
Lambda 표준 스캔
-
Lambda 코드 스캔
자세한 내용은 AWS Security Hub 사용 설명서에서 Amazon Inspector 제어를 참조하세요.
