この記事について

AWS Security Hubを利用するとAWSサービスおよび3rd partyセキュリティツールの情報を集約することができます。Security HubがサポートするツールにはCloud Storage Security Antivirus for Amazon S3というツールがあります。このツールはS3にアップロードされるファイルに対してウィルススキャンを行います。

本記事ではCloud Storage Security Antivirus for Amazon S3にてウィルスを検出した結果をAWS Security Hubに集約する方法について記載します。

AWS Security Hubとは

AWSのセキュリティサービスや3rd-Partyセキュリティツールの結果データを集約することができるサービスです。Security Hubを利用することで、アカウント/リージョン/種類の異なるセキュリティサービス/ツールをSecurity Hubの画面にて統合的に管理することが可能になります。

Security Hubについてもっと知りたい方は以下の記事をご参考ください。

AWS Security Hubを導入したらめっちゃ便利だった件

Cloud Storage Security Antivirus for Amazon S3 とは

Cloud Storage Security社が提供するS3バケットに対するウィルススキャン製品です。

https://cloudstoragesec.com/aws-antivirus

S3バケットにファイルがアップロードされたタイミングでスキャンを実行して、ウィルスを検出した際には通知と該当ファイルの隔離(別のS3バケットに移動)が可能です。

導入方法については以下の記事をご参考ください。

Cloud Storage Security Antivirus for Amason S3 を使ってみた

この記事でやること

AWS Security HubはAWSのサービスおよび3rd partyのセキュリティツールと統合という形で、サービス/ツールの実行結果をSecurity Hubに集約することが可能です。

これを行えば、複数のセキュリティサービス/ツールを利用している場合でもSecurity Hubだけで結果を閲覧することが可能になります。

Security Hubは統合可能な3rd partyとして、Cloud Storage Security Antivirus for Amazon S3もサポートしています。

この記事では、実際にCloud Storage Security Antivirus for Amazon S3にてウィルスを検出した際に、その検出結果がSecurity Hubに連携されるように設定します。

前提

  • Cloud Storage Security Antivirus for Amazon S3のセットアップが完了している
  • スキャン対象のS3バケットが作成されている
  • AWS Security Hubが有効化されている

S3バケットをスキャン対象にする

Cloud Storage Security Antivirus for Amazon S3のコンソールにログインします。

左のタブにて「Protection」-> 「Buckets」をクリックします。

スキャン対象にしたいバケットを選択して、チェックを入れます。そして「Actrions」から「Turn On Event AV」をクリックします。

画面右のAV列が赤色から緑色に変わればOKです。

Security Hubとの連携を有効化する

「Configuration」-> 「Console Settings」をクリックします。

「AWS Security Hub Integration」の「Enabled」をチェックします。

Cloud Storage Security Antivirus for Amazon S3で必要な設定はこれだけです!

実際にウィルスを検出させる

EICARのテストファイルを利用して、実際にウィルスを検出させます。

EICARのテストファイルをダウンロードして、スキャン対象のバケットにアップロードします。

Cloud Storage Security Antivirus for Amazon S3にて「Problem Files」を確認すると、ウィルスが検出されたことを確認できます。

ではSecurity Hubを確認します。Security Hubの「検出結果」を表示します。

Cloud Storage Security Antivirus for Amazon S3の検出結果がSecurity Hubに連携されていることを確認することができました。

最後に

今回はCloud Storage Security Antivirus for Amazon S3の検出結果をSecurity Hubに集約させました。

見ていただいたように、Cloud Storage Security Antivirus for Amazon S3コンソールから少しポチポチしてあげるだけで、Security Hubに連携することが可能です。

Security Hubを利用すると3rd partyツールでも簡単に統合管理することが可能です。またSecurity Hubのイベント情報をEventBridgeルールで拾うことで、Security Hubからさらにエスカレーションも簡単です。

AWS上のシステム/アプリケーションに対して複数のセキュリティサービス/ツールを利用する際はぜひSecurity Hubを利用しましょう。