Amazon Inspector の「抑制ルール (suppression rules)」を使うと,条件に一致する検出結果を除外できる.また Amazon Inspector では FindingStatus: SUPPRESSED として AWS Security Hub に検出結果を統合するため,過剰に増えてしまう AWS Security Hub 側の通知を減らすこともできる👌
今回は Amazon Inspector の「抑制ルール」を AWS CLI で設定してみた❗️
aws inspector2 create-filter コマンド
aws inspector2 create-filter コマンドを使って設定できる.
今回はサンプルとして Amazon Linux 2023 Security Advisories に載っている CVE を適当にピックアップして抑制する.注意点としては vulnerabilityId に設定できる CVE は API (FilterCriteria) 側で「最大10個まで」という仕様になっているところ.多くの CVE を抑制する場合は複数の抑制ルールを設定する必要がある📝(それはもう根本的な対応が必要な状況にも感じるけど...😇)
$ aws inspector2 create-filter \ --name cve-suppression \ --action SUPPRESS \ --filter-criteria '{ "vulnerabilityId": [ {"comparison": "EQUALS", "value": "CVE-2022-41723"}, {"comparison": "EQUALS", "value": "CVE-2023-39326"}, {"comparison": "EQUALS", "value": "CVE-2023-6597"} ] }' { "arn": "arn:aws:inspector2:ap-northeast-1:111111111111:owner/111111111111/filter/f1e2c67b2501b7b1" }
aws inspector2 update-filter コマンド
aws inspector2 update-filter コマンドを使って更新できる.更新するときは --filter-arn オプションに ARN を指定することを忘れずに👍
$ aws inspector2 update-filter \ --filter-arn arn:aws:inspector2:ap-northeast-1:111111111111:owner/111111111111/filter/f1e2c67b2501b7b1 \ --filter-criteria '{ "vulnerabilityId": [ {"comparison": "EQUALS", "value": "CVE-2022-41723"}, {"comparison": "EQUALS", "value": "CVE-2023-39326"}, {"comparison": "EQUALS", "value": "CVE-2023-6597"}, {"comparison": "EQUALS", "value": "CVE-2024-20290"}, {"comparison": "EQUALS", "value": "CVE-2024-21506"} ] }' { "arn": "arn:aws:inspector2:ap-northeast-1:111111111111:owner/111111111111/filter/f1e2c67b2501b7b1" }
Terraform AWS Provider サポート外
現時点(2024年5月)だと Terraform AWS Provider では Amazon Inspector の抑制ルールを設定できないという制約がある💦
