Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

必須の ASFF 最上位属性

フォーカスモード
必須の ASFF 最上位属性 - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub のすべての検出結果には、 AWS Security Finding 形式 (ASFF) の次の最上位属性が必要です。これらの必須属性の詳細については、「AWS Security Hub API リファレンス」の「AwsSecurityFinding」を参照してください。

AwsAccountId

検出結果が適用される AWS アカウント ID。

"AwsAccountId": "111111111111"

CreatedAt

検出結果によってキャプチャされた潜在的なセキュリティ問題がいつ作成されたかを示します。

"CreatedAt": "2017-03-22T13:22:13.933Z"
注記

Security Hub では、検出結果は、最新の更新から 90 日後、または更新が行われない場合は作成日から 90 日後に削除されます。検出結果を90 日間以上保存するには、検出結果を S3 バケットにルーティングするルールを Amazon EventBridge で設定することができます。

説明

検出結果の説明。このフィールドには、固有ではない定型テキスト、または検出結果のインスタンスに固有の詳細を指定できます。

Security Hub が生成するコントロール検出結果の場合、このフィールドにはコントロールの説明が表示されます。

[統合されたコントロールの検出結果] を有効にした場合、このフィールドは標準を参照しません。

"Description": "This AWS control checks whether AWS Config is enabled in the current account and Region."

GeneratorId

検出結果を生成したソリューションに固有のコンポーネント (個別のロジック単位) の識別子。

Security Hub が生成するコントロールの検出結果について、[統合されたコントロールの検出結果] を有効にした場合、このフィールドは標準を参照しません。

"GeneratorId": "security-control/Config.1"

ID

検出結果の製品に固有の識別子。Security Hub が生成するコントロール検出結果の場合、このフィールドには検出結果の Amazon リソースネーム (ARN) が表示されます。

[統合されたコントロールの検出結果] を有効にした場合、このフィールドは標準を参照しません。

"Id": "arn:aws:securityhub:eu-central-1:123456789012:security-control/iam.9/finding/ab6d6a26-a156-48f0-9403-115983e5a956 "

ProductArn

サードパーティーの検出製品が Security Hub に登録された後に、その製品を一意に識別するための Security Hub によって生成された Amazon リソースネーム (ARN)。

このフィールドの形式は arn:partition:securityhub:region:account-id:product/company-id/product-id です。

  • Security Hub と統合されている AWS サービスの場合、 はawscompany-id「」で、 は AWS パブリックサービス名product-idである必要があります。 AWS 製品およびサービスはアカウントに関連付けられていないため、ARN の account-idセクションは空です。Security Hub とまだ統合されていない AWS サービスはサードパーティー製品と見なされます。

  • パブリック製品の場合、company-id および product-id は登録時に指定された ID 値である必要があります。

  • プライベート製品の場合、company-id はアカウント ID である必要があります。product-id は、予約語の "default"、または登録時に指定された ID である必要があります。

// Private ARN "ProductArn": "arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default" // Public ARN "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty" "ProductArn": "arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro"

リソース

Resources オブジェクトは、 AWS 検出結果が参照するリソースを記述するリソースデータ型のセットを提供します。

"Resources": [ { "ApplicationArn": "arn:aws:resource-groups:us-west-2:123456789012:group/SampleApp/1234567890abcdef0", "ApplicationName": "SampleApp", "DataClassification": { "DetailedResultsLocation": "Path_to_Folder_Or_File", "Result": { "MimeType": "text/plain", "SizeClassified": 2966026, "AdditionalOccurrences": false, "Status": { "Code": "COMPLETE", "Reason": "Unsupportedfield" }, "SensitiveData": [ { "Category": "PERSONAL_INFORMATION", "Detections": [ { "Count": 34, "Type": "GE_PERSONAL_ID", "Occurrences": { "LineRanges": [ { "Start": 1, "End": 10, "StartColumn": 20 } ], "Pages": [], "Records": [], "Cells": [] } }, { "Count": 59, "Type": "EMAIL_ADDRESS", "Occurrences": { "Pages": [ { "PageNumber": 1, "OffsetRange": { "Start": 1, "End": 100, "StartColumn": 10 }, "LineRange": { "Start": 1, "End": 100, "StartColumn": 10 } } ] } }, { "Count": 2229, "Type": "URL", "Occurrences": { "LineRanges": [ { "Start": 1, "End": 13 } ] } }, { "Count": 13826, "Type": "NameDetection", "Occurrences": { "Records": [ { "RecordIndex": 1, "JsonPath": "$.ssn.value" } ] } }, { "Count": 32, "Type": "AddressDetection" } ], "TotalCount": 32 } ], "CustomDataIdentifiers": { "Detections": [ { "Arn": "1712be25e7c7f53c731fe464f1c869b8", "Name": "1712be25e7c7f53c731fe464f1c869b8", "Count": 2, } ], "TotalCount": 2 } } }, "Type": "AwsEc2Instance", "Id": "arn:aws:ec2:us-west-2:123456789012:instance/i-abcdef01234567890", "Partition": "aws", "Region": "us-west-2", "ResourceRole": "Target", "Tags": { "billingCode": "Lotus-1-2-3", "needsPatching": true }, "Details": { "IamInstanceProfileArn": "arn:aws:iam::123456789012:role/IamInstanceProfileArn", "ImageId": "ami-79fd7eee", "IpV4Addresses": ["1.1.1.1"], "IpV6Addresses": ["2001:db8:1234:1a2b::123"], "KeyName": "testkey", "LaunchedAt": "2018-09-29T01:25:54Z", "MetadataOptions": { "HttpEndpoint": "enabled", "HttpProtocolIpv6": "enabled", "HttpPutResponseHopLimit": 1, "HttpTokens": "optional", "InstanceMetadataTags": "disabled" } }, "NetworkInterfaces": [ { "NetworkInterfaceId": "eni-e5aa89a3" } ], "SubnetId": "PublicSubnet", "Type": "i3.xlarge", "VirtualizationType": "hvm", "VpcId": "TestVPCIpv6" } ]

SchemaVersion

検出結果に使用されている形式のスキーマバージョン。このフィールドの値は、 AWSで識別される正式公開バージョンの 1 つである必要があります。現在のリリースでは、 AWS Security Finding 形式のスキーマバージョンは です2018-10-08

"SchemaVersion": "2018-10-08"

緊急度

検出結果の重要性を定義します。このオブジェクトの詳細については、AWS Security Hub API リファレンスの「Severity」を参照してください。

Severity は検索結果の最上位オブジェクトであり、FindingProviderFields オブジェクトの下にネストされています。

検出結果に含まれるトップレベルの Severity オブジェクトの値は、BatchUpdateFindings API によってのみ更新してください。

重要度情報を提供するには、BatchImportFindings API リクエストを行うときに検出結果プロバイダーが FindingProviderFields の下にある Severity オブジェクトを更新する必要があります。
 新しい検出結果に対する BatchImportFindings リクエストが Label または Normalized のみを提供する場合、Security Hub は他のフィールドの値を自動的に入力します。Product フィールドと Original フィールドも入力される場合があります。

最上位の Finding.Severity オブジェクトは存在するが Finding.FindingProviderFields は存在しない場合、Security Hub は FindingProviderFields.Severity オブジェクトを作成し、Finding.Severity object 全体をそこにコピーします。これにより、最上位の Severity オブジェクトが上書きされても、プロバイダーが提供する元の詳細が FindingProviderFields.Severity 構造内に保持されます。

検出結果の重要度には、関連するアセットまたは基になるリソースの重要度は考慮されません。重要度は、検出結果に関連付けられたリソースの重要度のレベルとして定義されます。例えば、ミッションクリティカルなアプリケーションに関連付けられているリソースは、非本番稼働用テストに関連付けられたリソースより重大度が高くなります。リソースの重要度に関する情報をキャプチャするには、Criticality フィールドを使用します。

検出結果のネイティブ重要度スコアを ASFF の Severity.Label の値に変換する際には、以下のガイダンスを使用することを推奨します。

  • INFORMATIONAL – このカテゴリには、PASSEDWARNINGNOT AVAILABLE チェック、または機密データの ID が含まれる場合があります。

  • LOW — 将来の侵害につながる可能性のある結果。例えば、このカテゴリには、脆弱性、設定の弱点、公開されたパスワードなどが含まれる場合があります。

  • MEDIUM – 現在進行中の侵害を示していても、攻撃者が目標を達成した兆候が見られない結果。例えば、このカテゴリには、マルウェアアクティビティ、ハッキングアクティビティ、異常な動作の検出などが含まれます。

  • HIGH または CRITICAL – 実際のデータ損失、漏洩、サービス拒否など、攻撃者が目標を達成したことを示す結果。

"Severity": { "Label": "CRITICAL", "Normalized": 90, "Original": "CRITICAL" }

タイトル

検出結果のタイトル。このフィールドには、固有ではない定型テキスト、または検出結果のインスタンスに固有の詳細を指定できます。

コントロール検出結果の場合、このフィールドにはコントロールのタイトルが表示されます。

[統合されたコントロールの検出結果] を有効にした場合、このフィールドは標準を参照しません。

"Title": "AWS Config should be enabled"

namespace/category/classifier の形式の 1 つ以上の検出結果タイプで、検出結果を分類します。[統合されたコントロールの検出結果] を有効にした場合、このフィールドは標準を参照しません。

Types は、BatchUpdateFindings のみを使用して更新する必要があります。

検出結果プロバイダーが Types に値を提供する場合は、FindingProviderFields にある Types 属性を使用する必要があります。

以下のリストでは、最上位の項目は名前空間、2 番目のレベルの項目はカテゴリ、3 番目のレベルの項目は分類子です。検出結果プロバイダーでは、定義済みの名前空間を使用して、検出結果の並べ替えおよびグループ化を行うことが推奨されます。定義済みのカテゴリおよび分類子を使用することが推奨される場合もありますが、必須ではありません。Software and Configuration Checks 名前空間でのみ、分類子が定義されています。

名前空間/カテゴリ/分類子の部分パスを定義することができます。例えば、以下の結果タイプはすべて有効です。

  • TTP

  • TTP/防衛回避

  • TTP/防衛回避/CloudTrailStopped

次のリストの tactics、techniques、procedures (TTP) カテゴリは、MITRE ATT&CK MatrixTM に対応しています。Unusual Behaviors (異常動作) の名前空間は、一般的な異常動作 (統計的異常など) を反映しており、特定の TTP とは一致していません。ただし、Unusual Behaviors と TTP の両方の結果で結果を分類することは可能です。

名前空間、カテゴリ、分類子のリスト:

  • ソフトウェアおよび設定チェック

    • 脆弱性

      • CVE

    • AWS セキュリティのベストプラクティス

      • ネットワーク到達可能性

      • ランタイム動作分析

    • 業界および規制の基準

      • AWS 基本的なセキュリティのベストプラクティス

      • CIS Host Hardening Benchmark

      • CIS AWS Foundations Benchmark

      • PCI-DSS

      • クラウドセキュリティアライアンス規制

      • ISO 90001 規制

      • ISO 27001 規制

      • ISO 27017 規制

      • ISO 27018 規制

      • SOC 1

      • SOC 2

      • HIPAA 規制 (米国)

      • NIST 800-53 規制 (米国)

      • NIST CSF 規制 (米国)

      • IRAP 規制 (オーストラリア)

      • K-ISMS 規制 (韓国)

      • MTCS 規制 (シンガポール)

      • FISC安全対策基準 (日本)

      • マイナンバー法 (日本)

      • ENS 規制 (スペイン)

      • Cyber Essentials Plus 規制 (英国)

      • G-Cloud 規制 (英国)

      • C5 規制 (ドイツ)

      • IT-Grundschutz 規制 (ドイツ)

      • GDPR 規制 (ヨーロッパ)

      • TISAX 規制 (ヨーロッパ)

    • パッチ管理

  • TTP

    • 初回アクセス

    • 実行

    • 永続的

    • 権限昇格

    • 防衛回避

    • 認証情報アクセス

    • 発見

    • 横方向への移動

    • 収集

    • コマンドアンドコントロール

  • 効果

    • データ流出

    • データ漏えい

    • データ破壊

    • サービス拒否

    • リソース消費

  • 異常な動作

    • アプリケーション

    • ネットワークフロー

    • IP アドレス

    • ユーザー

    • VM

    • コンテナ

    • サーバーレス

    • プロセス

    • データベース

    • データ

  • 機密データの識別

    • PII

    • パスワード

    • リーガル

    • 金融

    • セキュリティ

    • ビジネス

"Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]

UpdatedAt

検出結果プロバイダーが最後に結果レコードを更新した日時を示します。

このタイムスタンプは、検出結果レコードが最後または最も最近に更新された時刻を反映しています。したがって、イベントまたは脆弱性が最後または最も最近に検出された日時を反映する LastObservedAt タイムスタンプとは異なる可能性があります。

検出結果レコードを更新する際には、このタイムスタンプを現在のタイムスタンプに更新する必要があります。検出結果レコードの作成時には、CreatedAtUpdatedAt のタイムスタンプが同じである必要があります。検出結果レコードを更新した後は、このフィールドの値が、そのレコードに含まれる以前のすべての値よりも最近の値になる必要があります。

UpdatedAtBatchUpdateFindings API オペレーションを使用して更新できません。これは BatchImportFindings を使用してのみ更新できます。

"UpdatedAt": "2017-04-22T13:22:13.933Z"
注記

Security Hub では、検出結果は、最新の更新から 90 日後、または更新が行われない場合は作成日から 90 日後に削除されます。検出結果を90 日間以上保存するには、検出結果を S3 バケットにルーティングするルールを Amazon EventBridge で設定することができます。

プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.