AWS Security Hub の調査結果を New Relic にインポートして、脆弱性を単一の統合ビューで表示できます。このプロセスでは、EventBridge を使用して、AWS API 宛先経由で AWS セキュリティ レポート サービスからの検出結果を投稿します。
これらの手順を完了すると、AWS セキュリティ ツールによって検出された新しい脆弱性が New Relic アカウントでリアルタイムに表示され、分析ダッシュボードを構築して有効にすることができるようになります。 新たに検出された問題について。
AWS GuardDuty と Inspector の結果をインポートし、NRDB を使用してカスタム ダッシュボードまたはクエリを通じて表示することもできます。
前提条件
AWS セキュリティ データを New Relic に送信するには:
- AWS アカウントでAWS Security Hubを有効にします。
- データを報告するアカウントの New Relicライセンス キーを取得します。
取り込み用の API 宛先を作成する
API宛先の作成
AWS UI でEventBridge > Integrations > API destinations > Create API destinationに移動します。
プロンプトに入力します。
以下のパターンを使用してエンドポイントを構築し、それを API 宛先エンドポイントに入力します。
https://security-ingest-processor.service.newrelic.com/v1/security/webhooks/awssecurityhub?Api-Key=NEW_RELIC_LICENSE_KEY重要
EU ライセンス キーを使用している場合は、EU エンドポイントを使用します。
https://security-ingest-processor.service.eu.newrelic.com/v1/security/webhooks/awssecurityhub?Api-Key=NEW_RELIC_LICENSE_KEY
HTTP メソッドとしてPOST を選択します。
Create a new connection [新しい接続の作成]を選択します。
新しい接続を作成する
新しいプロンプトのフィールドに入力します。
[宛先]で [その他] を選択します。
Authorization typeにはAPI Keyを選択します。
API キー名 に
Api-Key
と入力し、New Relic を貼り付けます値として。
EventBridge ルールを作成する
取り込み用の API 宛先を作成したら、Eventbridge ルールを作成して、セキュリティ関連のイベントを New Relic の取り込み用の API 宛先に転送します。
ルールの詳細を定義する
- AWS UI で、 EventBridge > Rules > Create Ruleに移動します。
- 名前フィールドに名前を入力します (例:
SecurityEvent_NewRelicSIP_EventForwarder_Rule
。 Forwards Security Hub, GuardDuty, and Inspector events to the New Relic Security Ingest Processor (SIP)
などの説明を入力します。- イベント バスの場合は、
default
を選択します。 - ルールの種類として、
Rule with an event pattern
を選択します。 - Next [次へ]を選択します。
イベントパターンの構築
新しいペインで、 AWS イベントまたは EventBridge パートナー イベントをイベント ソースとして選択します。
オプション: ルールをテストするために、ドロップダウンから Security Hub サンプル イベントを選択します。
イベント パターンの場合は、[カスタム パターンの選択] ペインに入り、パターンを入力します。たとえば、以下のパターンは、Security Hub、Guard Duty、および Inspector からのイベントに一致します。
{"detail-type": [{"prefix": "Security Hub"},{"prefix": "GuardDuty Finding"},{"prefix": "Inspector2"}]}
API宛先をルールターゲットとして選択します
- Target types [ターゲット タイプ]で、 EventBridge API destination [EventBridge API 宛先]を選択します。
- API destination [API 宛先]で、 Use an existing API destination [既存の API 宛先を使用する] を選択します。
- ドロップダウンを使用して、ステップ 1 で作成した API 宛先を選択します。
- 実行ロールについては、 Create a new role for this specific resource [この特定のリソースの新しいロールを作成する]を選択します。
タグの構成 (オプション)
必要に応じてタグを構成します。
レビューと作成
すべての選択内容を確認し、必要に応じて変更を加えます。
NRDBでのレビュー
AWS Event Bridge 経由で取り込まれたログを確認するには、次の NRQL クエリを使用できます。
FROM Vulnerability SELECT * WHERE source LIKE 'AWS%' SINCE 3 MONTHS AGO
GuardDuty と Inspector の結果はこの方法でのみ表示されますが、SecurityHub の脆弱性は New Relic の脆弱性管理 (利用可能な場合) で表示されることに注意してください。