AWS Security Hub, GuardDuty 및 Slack 알림 스택 활성화

GuardDuty 및 Security Hub는 AWS 인프라를 안전하게 유지 관리할 수 있는 훌륭한 도구입니다.

보안 허브 활성화

Security Hub를 활성화하는 것은 매우 쉽습니다. Security Hub 콘솔로 이동하여 활성화하기만 하면 됩니다.
자세한 내용은 다음을 따르십시오.

GuardDuty 활성화

GuardDuty 콘솔로 이동하여 GuardDuty를 활성화합니다.
자세한 내용은 다음을 따르십시오.

Security Hub 및 GuardDuty 결과에서 슬랙 알림 구성

솔루션의 아키텍처 다이어그램:


위 다이어그램에 따라 Slack notification stack 및 SecurityHub 결과에 대한 DuardDuty를 만드는 데 도움이 되는 Terraform Module을 보여 드리겠습니다.

이제 다음과 같이 모듈을 정의합니다.

provider "aws" {
  region     = "eu-west-1"
  access_key = "AWS-ACCESS-KEY"
  secret_key = "AWS-SECRET-ACCESS-KEY"
}


module "security-hub-to-slack" {
  source             = "[email protected]:noyonict/Security-hub-to-slack.git"
  IncomingWebHookURL = "https://hooks.slack.com/services/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"
  SlackChannel       = "security_alerts"
}

IncomingWebHookURL*: Slack 앱에 대한 수신 Webhook URL입니다. 생성하려면 다음을 따르십시오Doc. 예: https://hooks.slack.com/services/T00000000/B00000000/XXXXXXXXXXXXXXXXXXXXXXXX
SlackChannel: 슬랙 채널 이름. 기본값: security_alerts

Note: Required Terraform version >= 0.12 and also you can provide the AWS access details or it will using the default configuration.

그런 다음 모듈 위치에서 터미널을 엽니다.
terraform initterraform plan계획: 추가하려면 12, 변경하려면 0, 파괴하려면 0.
terraform apply --auto-approve
다음 메시지가 표시됩니다.

Apply complete! Resources: 12 added, 0 changed, 0 destroyed.

IAM role , CloudWatch Log groups , GuardDuty 및 SecurityHub 에 대한 두 개의 EventBridge 규칙 및 Webhook URL을 사용하여 Slack 채널에 알림을 보내는 람다 함수를 생성합니다.

IAM 역할:



CloudWatch 로그 그룹:



EventBridge 규칙:



람다 함수:



이 람다 함수는 수신 웹 후크 URL을 사용하여 모든 SecurityHub 및 GuardDuty 결과를 Slack Chennel로 보냅니다.

그러면 Slack에서 SecurityHub 및 GuardDuty 조사 결과/경고가 표시됩니다.

요약

이 게시물에서는 "SecurityHub 및 GuardDuty Findings에서 Slack 알림 스택을 구성하는 데 도움이 되는 terraform 모듈"을 보여 주었습니다.

이 Slack 알림 스택을 구성하면 Slack에서 조직/계정 보안 상태를 볼 수 있습니다. 이를 바탕으로 조치를 취할 수 있습니다.
또한 SecurithHud Remediation은 문제를 해결하는 데 도움이 됩니다. 문제를 해결하려면 해당 단계를 따르기만 하면 됩니다.

자세히 알아보기

자세히 알아보기

읽어 주셔서 감사합니다! 행복한 클라우드 컴퓨팅!

나와 연결: