ユーザーとして Opsgenie の利用を開始する
プロフィールの設定、Opsgenie からの通知の取得、オンコール スケジュールの表示に関するすべての方法を説明します。
Opsgenie を Amazon Security Hub と統合する
Amazon Security Hub を使用すると、複数の AWS サービス (Amazon GuardDuty、Amazon Inspector、Amazon Macie などや AWS Partner ソリューション) からのセキュリティ アラートや調査結果を集約、整理、優先順位付けできます。
Opsgenie が Amazon Security Hub ユーザーに提供するもの
Opsgenie の Amazon Security Hub 統合を使用して、Amazon Security Hub の結果を Opsgenie に転送します。Opsgenie は、オンコール スケジュールに基づいて通知する適切な担当者を決定します。メール、テキスト メッセージ (SMS)、電話、iOS、Android のプッシュ通知によって通知し、アラートが確認されるかクローズされるまでアラートをエスカレートします。
統合の機能性
Amazon Security Hub は、対応する CloudWatch イベント ルールに一致する結果を CloudWatch に送信します。ターゲットの SNS トピックを選択すると、結果に関する関連イベント メッセージを SNS に公開して、最後に Opsgenie にこのメッセージを送信します。
また、Opsgenie は、Amazon Security Hub インテグレーションによって作成された Opsgenie アラートに対してこれらのアクションが実行された場合に、Amazon Security Hub に更新を返せます。
Opsgenie でアラートが承認された場合は、Amazon Security Hub でワークフローのステータス検索が通知済みに更新されます。
Opsgenie でアラートがクローズされた場合、Amazon Security Hub でワークフローのステータス検索が解決済みに更新されます。
Opsgenie でアラートにメモを追加したら、同じメモを Amazon Security Hub で結果にも追加します。
Opsgenie でアラートの優先度が更新されると、Amazon Security Hub における検索の重要度が更新されます。
Opsgenie に Amazon Security Hub インテグレーションを追加する
この統合はチーム ダッシュボードから追加可能
Opsgenie の Free または Essentials の各プランを使用している、または Jira Service Management の Standard プランで Opsgenie を使用している場合、このプランでは [設定] の [統合] ページが利用できないため、この統合はチーム ダッシュボードからのみ追加できます。
統合をチーム ダッシュボードから追加すると、そのチーム統合の所有者になります。Opsgenie では、この統合を通じて受信したアラートはそのチームのみに割り当てられます。
そのためには、次の手順に従います。
Teams からチーム ダッシュボードに移動します。
[統合] > [統合を追加] の順に選択します。
残りの手順に従って統合を完了します。
[設定] > [統合] の順に移動します。Amazon Security Hub を検索して [追加] を選択します。
Amazon Security Hub アラートの通知先となる応答者として、ユーザーを追加します。
統合エンドポイントの URL をコピーします。
[Save Integration (統合の保存)] を選択します。
Amazon Security Hub での設定
Security Hub に移動し、[設定] を選択して、[カスタム アクション] タブを選択します。
[Create custom action (カスタム アクションを作成)] を選択し、そのアクションの [名前]、[説明]、[Custom action ID (カスタム アクション ID)] を入力します。
CloudFormation テンプレートを使用して、CloudWatch イベント ルールおよび SNS トピックを作成できます。
Amazon SNS での設定
AWS SNS に移動し、[トピック] > [トピックを作成] を選択します。
[サブスクリプション] タブで、[サブスクリプションの作成] を選択します。これにより、SNS メッセージが Opsgenie に送信される方法を指定します。
[プロトコル] フィールドで、エンドポイント タイプとして [HTTPS] を選択します。
[エンドポイント] フィールドに、この統合の [Instructions (説明)] ページで Opsgenie から提供された API エンドポイントを入力します。
Amazon CloudWatch Events での設定
Amazon CloudWatch アカウントで、[イベント] > [ルール] を選択します。
次に、[ルールを作成] を選択します。
[イベント ソース] セクションで、[イベント パターン] オプションを選択します。
次に、ドロップダウン メニューから [Build event pattern to match all events (すべてのイベントに一致するようにイベント パターンを作成)] を選択します。
[Event Pattern Preview (イベント パターンのプレビュー)] で [編集] を選択し、このセクションで提供された以下のスクリプトを入力します。
[ターゲット] セクションで、ドロップダウン メニューから [SNS トピック] を選択し、以前に作成したトピックを選択します。
[Configure details (詳細の設定)] を選択し、名前、説明、その他の詳細情報を入力します。
入力が終わったら、[ルールを作成] を選択します。
イベント パターンのプレビューのスクリプト
[イベント ソース] の [Event pattern preview (イベント パターンのプレビュー)] セクションに以下のスクリプトを入力します。
JSON
1
2
3
4
5
6
7
8
9
10
11
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Custom Action"
],
"resources": [
<custom action arn you created in security hub>
]
}
Amazon EventBridge イベントでの設定
Amazon EventBridge に移動し、[ルール] を選択します。
[ルールを作成] を選択します。
[ステップ 1] に、そのルールの [名前] と [説明] を入力します。
[ルール タイプ] として [Rule with an event patterns (イベント パターンを持つルール)] を選択し、[次へ] を選択します。
[ステップ 2] で、[イベント ソース] として [AWS events and EventBrigde partner events (AWS イベントおよび EventBrigde パートナー イベント)] を選択します。
次に、[イベント ソース] として [AWS サービス] を選択します。
[AWS サービス] として [Security Hub] を選択します。
[イベント タイプ] セクションで、セキュリティ ハブで作成したカスタム アクションを選択します。
次へ をクリックします。
[ステップ 3] で、[ターゲット タイプ] のドロップダウン メニューから [SNS トピック] を選択し、[トピック] フィールドで以前に作成したトピックを選択します。
次へ をクリックします。
[ステップ 5] で、ルールを確認し、作成します。
Amazon Security Hub に更新を送信できるようにする
Opsgenie の [Amazon Security Hub 統合] ページで、[アラートの更新を AmazonSecurityHub に返送] チェックボックスを選択します。
Opsgenie が IAM ロールを使用してセキュリティ ハブ リソースにアクセスできるようにする必要があります。CloudFormation テンプレートを使用して、Opsgenie がセキュリティ ハブ リソースにアクセスできるようにするロールを作成できます。
Opsgenie SecurityHub 統合ページ (事前入力済み)、Opsgenie AWS AccountId (事前入力済み)、ロール名の API キーなど、cloudformation テンプレートに対するすべての入力パラメーターが正しいことを確認します。ロール名は opsgenieSecurityHubRole* 形式である必要があります。
上記で作成した IAM ロール ARN をコピーしてここに貼り付け、セキュリティ ハブが有効になっているリージョンを選択します。
[統合を保存] を選択して、アラート アクションの更新を Amazon Security Hub の結果に返信します。
Amazon Security Hub からのペイロードの例
JSON
1
2
3
4
5
6
7
8
9
10
11
{
"Type": "Notification",
"MessageId": "96d4c7c2-999e-57ab-aade",
"TopicArn": "arn:aws:sns:us-west-2:test",
"Message": "{\"version\":\"0\",\"id\":\"3ee38987-e0ce--91a1\",\"detail-type\":\"EC2 Instance State-change Notification\",\"source\":\"aws.ec2\",\"account\":\"abc\",\"time\":\"2017-09-11T10:49:41Z\",\"region\":\"us-west-2\",\"resources\":[\"arn:aws:ec2:us-west-2:asdf:instance/i-abc\"],\"detail\":{\"actionName\":\"custom-action-name\",\"actionDescription\":\"description of the action\",\"findings\":[{\"AwsAccountId\": \"abc\",\"Compliance\": {\"Status\": \"PASSED\"},\"Confidence\": 42,\"CreatedAt\": \"2017-03-22T13:22:13.933Z\",\"Criticality\": 99,\"Description\": \"The version of openssl found on instance i-abcd1234 is known to contain a vulnerability.\",\"FirstObservedAt\": \"2017-03-22T13:22:13.933Z\",\"GeneratorId\": \"acme-vuln-9ab348\",\"Id\": \"us-west-2/111111111111/98aebb2207407c87f51e89943f12b1ef\",\"LastObservedAt\": \"2017-03-23T13:22:13.933Z\",\"Malware\": [{\"Name\": \"Stringler\",\"Type\": \"COIN_MINER\",\"Path\": \"/usr/sbin/stringler\",\"State\": \"OBSERVED\"}],\"Network\": {\"Direction\": \"IN\",\"Protocol\": \"TCP\",\"SourceIpV4\": \"1.2.3.4\",\"SourceIpV6\": \"FE80:CD00:0000:0CDE:1257:0000:211E:729C\",\"SourcePort\": \"42\",\"SourceDomain\": \"here.com\",\"SourceMac\": \"00:0d:83:b1:c0:8e\",\"DestinationIpV4\": \"2.3.4.5\",\"DestinationIpV6\": \"FE80:CD00:0000:0CDE:1257:0000:211E:729C\",\"DestinationPort\": \"80\",\"DestinationDomain\": \"there.com\"},\"Note\": {\"Text\": \"Don't forget to check under the mat.\",\"UpdatedBy\": \"jsmith\",\"UpdatedAt\": \"2018-08-31T00:15:09Z\"},\"Process\": {\"Name\": \"syslogd\",\"Path\": \"/usr/sbin/syslogd\",\"Pid\": 12345,\"ParentPid\": 56789,\"LaunchedAt\": \"2018-09-27T22:37:31Z\",\"TerminatedAt\": \"2018-09-27T23:37:31Z\"},\"ProductArn\": \"arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default\",\"ProductFields\": {\"generico/secure-pro/Count\": \"6\",\"Service_Name\": \"cloudtrail.amazonaws.com\",\"aws/inspector/AssessmentTemplateName\": \"My daily CVE assessment\",\"aws/inspector/AssessmentTargetName\": \"My prod env\",\"aws/inspector/RulesPackageName\": \"Common Vulnerabilities and Exposures\"},\"RecordState\": \"ACTIVE\",\"RelatedFindings\": [{ \"ProductArn\": \"arn:aws:securityhub:us-west-2::product/aws/guardduty\",\"Id\": \"123e4567-e89b-12d3-a456-426655440000\" },{ \"ProductArn\": \"arn:aws:securityhub:us-west-2::product/aws/guardduty\",\"Id\": \"AcmeNerfHerder--x189dx7824\" }],\"Remediation\": {\"Recommendation\": {\"Text\": \"Run sudo yum update and cross your fingers and toes.\",\"Url\": \"http://myfp.com/recommendations/dangerous_things_and_how_to_fix_them.html\"}},\"Resources\": [{\"Type\": \"AwsEc2Instance\",\"Id\": \"i-cafebabe\",\"Partition\": \"aws\",\"Region\": \"us-west-2\",\"Tags\": {\"billingCode\": \"Lotus-1-2-3\",\"needsPatching\": \"true\"},\"Details\": {\"AwsEc2Instance\": {\"Type\": \"i3.xlarge\",\"ImageId\": \"ami-abcd1234\",\"IpV4Addresses\": [ \"54.194.252.215\", \"192.168.1.88\" ],\"IpV6Addresses\": [ \"2001:db8:1234:1a2b::123\" ],\"KeyName\": \"my_keypair\",\"IamInstanceProfileArn\": \"arn:aws:iam:::instance-profile/AdminRole\",\"VpcId\": \"vpc-11112222\",\"SubnetId\": \"subnet-56f5f633\",\"LaunchedAt\": \"2018-05-08T16:46:19.000Z\"}}}],\"SchemaVersion\": \"2018-10-08\",\"Severity\": {\"Product\": 8.3,\"Normalized\": 25},\"SourceUrl\": \"string\",\"ThreatIntelIndicators\": [{\"Type\": \"IPV4_ADDRESS\",\"Value\": \"8.8.8.8\",\"Category\": \"BACKDOOR\",\"LastObservedAt\": \"2018-09-27T23:37:31Z\",\"Source\": \"Threat Intel Weekly\",\"SourceUrl\": \"http://threatintelweekly.org/backdoors/8888\"}],\"Title\": \"title\",\"Types\": [\"Software and Configuration Checks/Vulnerabilities/CVE\"],\"UpdatedAt\": \"123578964332\",\"UserDefinedFields\": {\"reviewedByCio\": \"true\",\"comeBackToLater\": \"Check this again on Monday\"},\"VerificationState\": \"string\",\"WorkflowState\": \"NEW\"}]}}",
"Timestamp": "2017-09-11T10:49:42.630Z",
"SignatureVersion": "1",
"Signature": "sign",
"SigningCertURL": "https://sns.us-west-2.amazonaws.com/SimpleNotification.pem",
"UnsubscribeURL": "https://sns.us-west-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-west-2:"
}
この内容はお役に立ちましたか?