随着来自四面八方的警报和信息不断涌入,安全人员已经应接不暇了。如果没有适当的自动化响应和分级机制,不仅信息经常会丢失,而且也难以找回。而现在有了Postee,我们就能将安全人员的日常操作自动化,从而修复问题。
最近,我们增加了将Postee警报发送到AWS Security Hub的功能,以便进一步进行分级和管理。AWS Security Hub作为统一的监控面板,能够查看所有与安全相关的检查结果。
引入Trivy AWS
由于最近Trivy中引入了AWS的扫描功能,CSPM能力得到了进一步提升。现在,如果您的AWS账户中出现了问题,您不仅会收到警报,问题也会同时得到修复。
下面为您展示这类扫描的一个例子:
在本案例中,您可以看到,针对AWS账户里的多种IAM策略,Trivy AWS报告了若干个配置不当问题。由于安全人员有时间限制,因此要立即采取行动并非易事。
向Postee发送Trivy AWS结果
在遇到上述情况时,我们可以将扫描结果发送至Postee。我们可以利用Trivy Webhook Plugin插件来完成这一任务。这个插件可以将Trivy的结果发送至webhook端点。
您可以按照下图所示进行Trivy Webhook插件安装:
这次利用插件来运行上述扫描,如下所示:
在本案例中,Postee在8082端口上监听事件。我们还传入了Trivy参数,以此将模板定义为ASFF, 即Amazon Security Finding Format,符合 AWS Security Hub的接收要求。
Postee接收事件后传输至AWS Security Hub。
在本案例中,Postee配置了一个Route,用于监听所有Trivy事件并将它们发送给AWS Security Hub。
以下是一个YAML Postee配置样本:
在AWS Security Hub中进行分级
AWS Security Hub收到结果后,会将其在检查结果的监控面板上显示。
在对其中一个进行详细研究时,我们可以根据需要进行分级。
为了修复这一风险,您可以阅读Remediation Guide in AVD(AVD修复指南)。
即日可用
Postee和AWS Security Hub即日起可用。您可以访问github.com/aquasecurity/postee了解有关本项目的更多详情。