Amazon Inspector の「抑制ルール (suppression rules)」を使うと,条件に一致する検出結果を除外できる.また Amazon Inspector では FindingStatus: SUPPRESSEDとして AWS Security Hub に検出結果を統合するため,過剰に増えてしまう AWS Security Hub 側の通知を減らすこともできる👌
今回は Amazon Inspector の「抑制ルール」を AWS CLI で設定してみた❗️
aws inspector2 create-filterコマンド
aws inspector2 create-filterコマンドを使って設定できる.
今回はサンプルとして Amazon Linux 2023 Security Advisoriesに載っている CVE を適当にピックアップして抑制する.注意点としては vulnerabilityIdに設定できる CVE は API (FilterCriteria) 側で「最大10個まで」という仕様になっているところ.多くの CVE を抑制する場合は複数の抑制ルールを設定する必要がある📝(それはもう根本的な対応が必要な状況にも感じるけど...😇)
$ aws inspector2 create-filter \--name cve-suppression \--action SUPPRESS \--filter-criteria'{"vulnerabilityId": [ {"comparison": "EQUALS", "value": "CVE-2022-41723"}, {"comparison": "EQUALS", "value": "CVE-2023-39326"}, {"comparison": "EQUALS", "value": "CVE-2023-6597"} ] }'{"arn": "arn:aws:inspector2:ap-northeast-1:111111111111:owner/111111111111/filter/f1e2c67b2501b7b1"}
aws inspector2 update-filterコマンド
aws inspector2 update-filterコマンドを使って更新できる.更新するときは --filter-arnオプションに ARN を指定することを忘れずに👍
$ aws inspector2 update-filter \--filter-arn arn:aws:inspector2:ap-northeast-1:111111111111:owner/111111111111/filter/f1e2c67b2501b7b1 \--filter-criteria'{"vulnerabilityId": [ {"comparison": "EQUALS", "value": "CVE-2022-41723"}, {"comparison": "EQUALS", "value": "CVE-2023-39326"}, {"comparison": "EQUALS", "value": "CVE-2023-6597"}, {"comparison": "EQUALS", "value": "CVE-2024-20290"}, {"comparison": "EQUALS", "value": "CVE-2024-21506"} ] }'{"arn": "arn:aws:inspector2:ap-northeast-1:111111111111:owner/111111111111/filter/f1e2c67b2501b7b1"}
Terraform AWS Provider サポート外
現時点(2024年5月)だと Terraform AWS Provider では Amazon Inspector の抑制ルールを設定できないという制約がある💦