タダです.
先日SecurityHub を運用していて違反しているリソースを通知することはやっていてアラートを放置してしまっていたので,その違反の修正を方針を決めてやりました.その際に,違反してるリソースを一覧で出す時の方法を実践して学んだのでまとめておきます.
AWS マネジメントコンソールから出力する場合
マネジメントコンソールから出力する場合は検出ルールの詳細からDownload
ボタンを押すと CSV ファイルをダウンロードできます.Compliance Status,Severity,ID, Title, Failed checks , Unknown checks , Not available checks , Passed checks , Custom parameters
の順番のカラムで出力されます.
ただ,この段階ではどの AWS リソースで違反が発生しているかはわからないため,個別のチェックツールを詳細で見て Failed
ステータスのルールを確認すると違反したリソース一覧を確認できるため,これで修正対応をしていくことができました.
AWS CLI から出力する場合
既に検索したら多くの記事が公開されていたのですが,下記の記事を参照させてもらいました.「5. 以下の条件に合致したコントロール数を取得」で利用しているコマンド
の部分のコマンドでほしい結果を得られました.
まとめ
SecurityHub の違反してるリソースを一覧で出す時の方法をまとめました.