그냥 AWS Secure Hub 기사를 만지고 싶었어요.

첫날 고마워요.우리 또 만났어요.
dev.aoki입니다.
사내 툴에 대한 보안 대책을 상의할 때 AWS Secure Hub가 좋다고 들었어요.
나는 자신의 개인 계정을 이용해서 설정해 본 기록을 남기기로 했다.정말, 그저 그런 보도일 뿐이야.

AWS Secure Hub

어떻게 말해야 할지 모르겠지만 여러 가지 안전 위험을 알려줄 수 있는 대단한 녀석은 이런 지식밖에 없다.
자세한 내용은 공식 문서를 보십시오 (저도 읽겠습니다...)
https://aws.amazon.com/jp/security-hub/
보안 Hub 호스트는 기본적으로 계정 설정 등 모범 사례를 바탕으로 설정 내용의 부합 상황을 검사한다
문제점을 지적한 것 같습니다.
또한 GuardDuty 등 AWS 내부 서비스에서 감지되는 Security Hub 바디 컷과는 약간 다른 위험 요소
같은 계기판 안에서 합쳐져 위험을 가로로 측정할 수 있는 것 같다.
대충 들었지만 좋아 보여요.

AWS Config 활성화

그럼 바로 설정하세요.
그래서 웹 콘솔에서 AWS Secure Hub를 열면 이런 느낌이 든다
우선 AWS Config의 기록이 전제 조건이라고 말했습니다.

나는 이것을 사용해 보았다.

준비됐어요?

AWS Secure Hub 활성화

이 항목의 AWS Secure Hub 설정을 사용합니다.

설정이 적은데.가장 많은 것은 어떤 안전 기준을 사용하는가이다.
기본적으로 활성화된 경우AWS 基礎セキュリティのベストプラクティスv1.0.0 を有効化CIS AWS Foundations Benchmark v1.2.0 を有効化 아무것도 하기 싫으면 해봐.네.

다 된 것 같은데.. 뭐가 움직였는지 모르겠어요.아무것도 검출이 안 됐는데.
왜 이거...이렇게 몇 분 동안 놀고 있었어, 응?

실패열 1의 계수!실패한 것 같아!?
열어봐, 안 되는 곳을 자세히 말해줘.

RDS?
이 계좌는 개인 놀이용 계좌이기 때문에 대부분의 자원이 다 쓴 후에 정리되기 때문에 데이터가 없다
예전에 세워져 있던 RDS의 스냅이 좋지 않다고 하던데, 그렇군요.
이런 느낌은 자동으로 계좌 내의 안전상의 좋지 않은 부분을 가리키기 때문에 매우 편리하다!

항목을 클릭하면 자세한 설명이 나오고, 복구 절차도 링크에서 알려줄 거예요. 두꺼워요!
이렇게 욕을 먹는 부분을 천천히 고치면 최선의 실천에 가까워질 것 같다.
방치하면 여러 가지 검사가 이어질 것 같은데 24시간 정도 방치하면 이런 느낌이 든다.

와, 위험이 많군.. 잘 정비하고 싶어.

아무 생각 없이 공개하는 S3통은 어떨까요.

나는 욕을 먹을 수 있는 일을 해 보고 싶다. 그것의 동작을 봐라.
S3통 공개는 전형적인 안전불능 모드였는데 역시 욕을 먹었다.
개요적인 사이트에서 말이야, 눈에 띄는 위치야.

열면 이런 느낌이야.

네.

통합 테스트 결과 보기

Security Hub 콘솔Amazon GuardDuty 또는Amazon Inspector
다른 위협검측계 서비스의 검측 상황도 볼 수 있으니까 한번 해보고 싶어요.
설정이 없으면 처음에는 이런 느낌이었어요.

뭐, 아무것도 검출이 안 되잖아.

GuardDuty 통합 및 표시 시도

일단 설정GuardDuty을 해보자.
지금은 아무것도 설정이 없으니 링크로 날아가 보세요.
이것

이렇게

그렇구나!

이렇게 하면 거의 아무 생각 없이 설정된다.
그 다음엔 왜 아무것도 안 나와요?

보아하니 이런 방법인 것 같습니다.

그때 안전 Hub 대시보드를 얘기하면 대시보드에도 먼저 나와요.

검사 결과 화면에도 다양한 제품명設定이 나왔다.

검사 프로그램도 통일적으로 표시한다

웹 서비스에 대한 취약성 검사가 좋다고 하니 꼭 사용하세요.그래서

이것

이렇게 (겸사겸사 Weekly를 추천하기 때문에 이렇게)

그렇구나!
...움직였어?結果サンプルの生成 라벨 봤어요.

제 계좌에는nginx의 EC2 실례가 서 있지만 에이전트가 필요하다는 것을 잊어버려서 넣었습니다.
읽다
EC2 인스턴스에 로그인했습니다.

$ wget https://inspector-agent.amazonaws.com/linux/latest/install
(略)
$ sudo bash install
(略)
$ sudo /opt/aws/awsagent/bin/awsagent status
Configuration file path : /opt/aws/awsagent/etc/agent.cfg
Configuration status :
Proxy In Use: false
Agent version : 1.1.1657.0
System release : "Ubuntu 18.04.3 LTS" - 4.15.0-1051-aws
(略)

됐어.
평가를 다시 실행한 후에 좋은 기록을 추가했습니다.
여기
그나저나 완주하는 데 시간이 많이 걸렸어요.끝난 곳은 여기다(시행착오의 흔적이 있다...)

Security Hub의 관점에서 보면 이 또한 어떻게 변할 것인가

검사 결과에서도 제품명GuardDuty이 나왔다.

감상

몇 개의 서비스 사이에서 위험 자동 검출 결과를 횡단적으로 보는 것은 매우 편리하다.
나 자신을 돌아보고 개발에만 관심을 가지면 지식으로서 빠지기 쉬운 것은 안전 주위의 기술이다
자주 반성하다.
나 같은 유형을 사용하면 위험을 방지한다는 뜻 외에 자신의 지식을 향상시키고 배우는 의미에서도 좋은 점이 있다
기분이 좋아요.
설정도 간단하고 편리할 것 같으니 사용하세요!