セキュリティ検出結果の評価と優先順位付け

効果的な脆弱性管理プログラムの重要な要素は、セキュリティ検出結果を評価して優先順位を付ける能力です。ここで、コンテキストのプルイン、組織履歴、および検出システムのチューニングが行われます。セキュリティ検出結果の優先順位付けは、対応レベルに適した速度を確立するのに役立ちます。

Amazon Inspector 、 AWS Security Hub、および Amazon の場合 GuardDuty、検出結果には重要度ラベルまたはスコアが含まれます。Foundational Security Best Practices (FSBP) 標準、Amazon Inspector 、および に関連する検出結果を含め、Security Hub でのすべての重大度および重要度の高い検出結果の調査に優先順位を付けることをお勧めします GuardDuty。検出結果の重要度ラベルはスコアであり、次のように決定されます。

• Amazon Inspector スコアは、各結果について高度にコンテキスト化されたスコアです。これは、共通脆弱性スコアリングシステム (CVSS) の基本スコア情報をネットワーク到達可能性の結果と悪用可能性データに関連付けることによって計算されます。このスコアを使用すると、検出結果に優先順位を付け、最も重要な検出結果と脆弱なリソースに集中できます。Amazon Inspector は、スコアに加えて、共通脆弱性識別子 (CVE) に関する強化された脆弱性インテリジェンスも提供します。これは、Amazon の CVE に関する利用可能なインテリジェンスと、Recorded Future and Cybersecurity and Infrastructure Security Agency (CISA) などの業界標準のセキュリティインテリジェンスソースの概要です。例えば、Amazon Inspector は、脆弱性の悪用に使用される既知のマルウェアキットの名前を提供できます。詳細については、「脆弱性インテリジェンス」を参照してください。

• 各 GuardDuty 検出結果には、環境に対する検出結果の潜在的なリスクを反映する重要度レベルと値が割り当てられます。このレベルと値は、セキュリティエンジニアによって AWS 決定されます。例えば、High重要度レベルは、リソースが侵害され、不正な目的でアクティブに使用されていることを示します。High 重要度 GuardDuty の検出結果を優先度として扱い、さらなる不正使用を防ぐためにすぐに修正することをお勧めします。

• Security Hub コントロールの検出結果の重要度は、悪用の難しさと侵害の可能性によって決まります。この難易度は、弱点を利用して脅威シナリオを実行するために必要な洗練度または複雑さの度合いによって決まります。侵害の可能性は、脅威シナリオが AWS のサービス または リソースの中断または侵害につながる可能性を示します。

検出結果を調整するには、特定の検出結果をそれぞれのサービスコンソールで直接、またはサービスの API を使用して抑制またはアーカイブできます。さらに、自動化ルール を使用して Security Hub で検出結果を変更することもできます。 GuardDuty および Amazon Inspector の検出結果は、Security Hub に自動的に送信されます。自動化ルールを使用して、定義した基準に基づいて、検出結果をほぼリアルタイムで自動的に更新 (重要度の変更など) または抑制できます。自動化ルールを作成するときは、作成日や変更日、作成者、ルールが必要な理由など、ルールの説明にコンテキストを追加することをお勧めします。この情報は、将来の参照に役立つことがよくあります。