AWS Security Hub との統合 - Amazon Inspector

これは、Amazon Inspector Classic のユーザーガイドです。新しい Amazon Inspector の詳細については、Amazon Inspector ユーザーガイド を参照してください。AAmazon Inspector Classic コンソールにアクセスするには、Amazon Inspector コンソール (https://console.aws.amazon.com/inspector/) を開き、ナビゲーションペインで Amazon Inspector Classic を選択します。

AWS Security Hub との統合

AWS Security Hub では、AWS のセキュリティ状態を包括的に把握し、セキュリティ業界標準およびベストプラクティスに照らして環境をチェックするのに役立ちます。Security Hub は、AWS アカウント、サービス、およびサポートされているサードパーティーパートナー製品からセキュリティデータを収集するため、セキュリティの傾向を分析し、最も優先度の高いセキュリティ問題を特定するのに役立てることができます。

Security Hub との統合により、Security Hub に結果を送信できます。Security Hub では、このような検出結果をセキュリティポスチャの分析に含めることができます。

から Security Hub に検出結果を送信する方法

Security Hub では、セキュリティの問題が検出結果として追跡されます。検出結果の中には、他の AWS のサービスやサードパーティーのパートナーが検出した問題に由来するものもあります。Security Hub には、セキュリティの問題を検出し、結果を生成するために使用する一連のルールもあります。

Security Hub には、これらすべてのソースからの検出結果を管理するためのツールが用意されています。検出結果の一覧を表示およびフィルタリングして、検出結果の詳細を表示できます。AWS Security Hub ユーザーガイドの「検出結果の表示」を参照してください。検出結果の調査状況を追跡することもできます AWS Security Hub ユーザーガイドの「検出結果に対するアクションの実行」を参照してください。

Security Hub のすべての検出結果で、AWS Security Finding Format (ASFF) と呼ばれる標準の JSON 形式が使用されます。ASFF には、問題のソース、影響を受けるリソース、および検出結果の現在のステータスに関する詳細が含まれます。 AWS Security Hub ユーザーガイド の「AWS Security Finding Format (ASFF)」を参照してください。

Security Hub に結果を送信する AWS サービスの1つです。

が送信する検出結果の種類

生成されたすべての結果を Security Hub に送信します。

AWS Security Finding Format (ASFF) を使用して結果を Security Hub に送信します。ASFF では、Types フィールドに検出結果のタイプが表示されます。 の検出結果には、 に対する次の値を指定できますTypes

  • ソフトウェアと設定のチェック/脆弱性/CVE

  • ソフトウェアと設定のチェック/AWS セキュリティのベストプラクティス/ネットワーク到達可能性

  • ソフトウェアと設定のチェック/業界および規制基準/CIS ホスト強化ベンチマーク

検出結果の送信待ち時間

新しい検出結果を作成すると、通常は 5 分以内に Security Hub へ送信されます。

Security Hub が使用できないときに再試行する

Security Hub が使用できない場合、結果が受信されるまでその結果を再送信し続けます。

Security Hub の既存の検出結果を更新する

結果を Security Hub に送信した後、検索アクティビティの追加の観測を反映する更新を送信します。これにより、Security Hub での結果がより少なくなります。

一般的な結果

AWS Security Finding Format (ASFF) を使用して結果を Security Hub に送信します。

以下に、 からの一般的な検出結果の例を示します。

{ "SchemaVersion": "2018-10-08", "Id": "inspector/us-east-1/111122223333/629ff13fbbb44c872f7bba3e7f79f60cb6d443d8", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector", "GeneratorId": "arn:aws:inspector:us-east-1:316112463485:rulespackage/0-PmNV0Tcd", "AwsAccountId": "111122223333", "Types": [ "Software and Configuration Checks/AWS Security Best Practices/Network Reachability - Recognized port reachable from internet" ], "CreatedAt": "2020-08-19T17:36:22.169Z", "UpdatedAt": "2020-11-04T16:36:06.064Z", "Severity": { "Label": "MEDIUM", "Normalized": 40, "Original": "6.0" }, "Confidence": 10, "Title": "On instance i-0c10c2c7863d1a356, TCP port 22 which is associated with 'SSH' is reachable from the internet", "Description": "On this instance, TCP port 22, which is associated with SSH, is reachable from the internet. You can install the Inspector agent on this instance and re-run the assessment to check for any process listening on this port. The instance i-0c10c2c7863d1a356 is located in VPC vpc-a0c2d7c7 and has an attached ENI eni-078eac9d6ad9b20d1 which uses network ACL acl-154b8273. The port is reachable from the internet through Security Group sg-0af64c8a5eb30ca75 and IGW igw-e209d785", "Remediation": { "Recommendation": { "Text": "You can edit the Security Group sg-0af64c8a5eb30ca75 to remove access from the internet on port 22" } }, "ProductFields": { "attributes/VPC": "vpc-a0c2d7c7", "aws/inspector/id": "Recognized port reachable from internet", "serviceAttributes/schemaVersion": "1", "aws/inspector/arn": "arn:aws:inspector:us-east-1:111122223333:target/0-8zh1cWkg/template/0-rqtRV0u0/run/0-Ck2F6tY9/finding/0-B458MQWe", "attributes/ACL": "acl-154b8273", "serviceAttributes/assessmentRunArn": "arn:aws:inspector:us-east-1:111122223333:target/0-8zh1cWkg/template/0-rqtRV0u0/run/0-Ck2F6tY9", "attributes/PROTOCOL": "TCP", "attributes/RULE_TYPE": "RecognizedPortNoAgent", "aws/inspector/RulesPackageName": "Network Reachability", "attributes/INSTANCE_ID": "i-0c10c2c7863d1a356", "attributes/PORT_GROUP_NAME": "SSH", "attributes/IGW": "igw-e209d785", "serviceAttributes/rulesPackageArn": "arn:aws:inspector:us-east-1:111122223333:rulespackage/0-PmNV0Tcd", "attributes/SECURITY_GROUP": "sg-0af64c8a5eb30ca75", "attributes/ENI": "eni-078eac9d6ad9b20d1", "attributes/REACHABILITY_TYPE": "Internet", "attributes/PORT": "22", "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/inspector/inspector/us-east-1/111122223333/629ff13fbbb44c872f7bba3e7f79f60cb6d443d8", "aws/securityhub/ProductName": "Inspector", "aws/securityhub/CompanyName": "Amazon" }, "Resources": [ { "Type": "AwsEc2Instance", "Id": "arn:aws:ec2:us-east-1:193043430472:instance/i-0c10c2c7863d1a356", "Partition": "aws", "Region": "us-east-1", "Tags": { "Name": "kubectl" }, "Details": { "AwsEc2Instance": { "ImageId": "ami-02354e95b39ca8dec", "IpV4Addresses": [ "172.31.43.6" ], "VpcId": "vpc-a0c2d7c7", "SubnetId": "subnet-4975b475" } } } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE" }

統合の有効化と構成

Security Hub との統合を利用するには、Security Hub を有効にする必要があります。Security Hub を有効にする方法については、 AWS Security Hub ユーザーガイドの「Security Hub の設定」を参照してください。

両方と Security Hub を有効にすると、統合は自動的に有効になり、結果を Security Hub へ送信し始めます。

検出結果の送信を停止する方法

Security Hub への検出結果の送信を停止するには、Security Hub コンソールまたは API を使用できます。

統合からの結果のフローの無効化と有効化 (コンソール)」または AWS Security Hub ユーザーガイドの「統合からの結果のフローの無効化 (Security Hub API、AWS CLI)」を参照してください。