【小ネタ】Security Hubの各コントロールのチェック周期を確認する方法

はじめに

こんにちは、保守運用サービスの導入を担当している栩野です。

先日、Security Hubの各コントロールがどのような周期でチェックされているか調べる機会があったので確認方法をご紹介します。

確認方法

さっそく確認方法ですが、AWSマネジメントコンソールからはチェックの周期を確認できないため、AWS CLIで確認します。
方法は簡単で、CloudShellを立ち上げて下記コマンドを実行することで、チェック周期を一覧表示できます。

aws configservice describe-config-rules --query 'ConfigRules[*].[ConfigRuleName,MaximumExecutionFrequency]' --output table

下記がコマンド実行結果のサンプルになります。

[cloudshell-user@ip-10-130-38-4 ~]$ aws configservice describe-config-rules --query 'ConfigRules[*].[ConfigRuleName,MaximumExecutionFrequency]' --output table
------------------------------------------------------------------------------------------------------
|                                         DescribeConfigRules                                        |
+--------------------------------------------------------------------------------+-------------------+
|  securityhub-access-keys-rotated-b2b273bb                                      |  Twelve_Hours     |
|  securityhub-acm-certificate-expiration-check-5001c3ac                         |  Twelve_Hours     |
|  securityhub-acm-certificate-rsa-check-46369af9                                |  None             |
|  securityhub-acm-pca-root-ca-disabled-fd9a0cbb                                 |  TwentyFour_Hours |
|  securityhub-alb-desync-mode-check-f72b849f                                    |  None             |
|  securityhub-alb-http-drop-invalid-header-enabled-1a0654f2                     |  None             |
|  securityhub-alb-http-to-https-redirection-check-0fa27dde                      |  Twelve_Hours     |
.
.
.

コマンドの内容について

• configservice describe-config-rules
  Configルールの一覧と詳細を取得するコマンド

• --query 'ConfigRules[*].[ConfigRuleName,MaximumExecutionFrequency]'
  取得したデータから、Configルール名と実行周期のみを取り出すオプション

• -output table
  テーブル形式で見やすく出力してくれるオプション

内容解説

Security Hubのコントロール裏側では、Configルールが作成されています。
そのため、上記コマンドではConfigルールの一覧を取得し、実行周期の値を取り出して表示するようにしています。

Security Hugから作成されるConfigルールは、ルール名の先頭に[securityhub-]が入るようになっています。
また各コントロールに紐づくConfigルールは、下記画面の通りSecurity Hubの各コントロールの検出結果から確認出来ます。

実行周期の見方については、Configルールのチェック方法には2つのタイプがあり、定期的にチェックが走るルールと、リソースの変更時のみチェックが走るルールがあります。

先ほど取得した結果では、[Twelve_Hours]または[TwentyFour_Hours]の値のものは、12時間周期または24時間周期でチェックが実行されるルールになります。
値が[None]のものは、リソースの変更時のみチェックが走るようなルールになります。

おわりに

Security Hubの各コントロールのチェック周期を確認する方法をご紹介させてもらいました。
以上、小ネタでした。