管理結果の生成と更新 - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

管理結果の生成と更新

有効なセキュリティ標準に対して有効なコントロールに対してチェックを実行すると、AWS Security Hub により結果が生成されます。これらの結果は、AWS Security Finding 形式 (ASFF) を使用します。検出サイズが最大240 KBを超える場合、Resource.Detailsオブジェクトが削除されます。使用するコントロールの結果についてはAWS Configルールを使用すると、リソースの詳細をAWS Configconsole.

Security Hub は、通常、コントロールのセキュリティチェックごとに課金します。ただし、複数のコントロールが同じAWS Configルールを適用した場合、Security Hub はAWS Configルール。これは、チェックに基づいて、各コントロールに対して個別の結果を生成します。

たとえば、AWS Configルールiam-password-policyは、CISの複数のコントロールで使用されていますAWS基礎ベンチマーク標準と IAM.7 基本セキュリティのベストプラクティス標準。Security Hub がそれに対してチェックを実行するたびにAWS Configルールを使用すると、関連する各コントロールに対して個別の結果を生成しますが、チェックに対して課金されるのは一度だけです。

Compliance

セキュリティチェックによって生成された結果については、Complianceフィールドには、コントロールに関連する結果の詳細が含まれます。Compliance フィールドには、次の情報が含まれます。

RelatedRequirements

コントロールに関連する要件のリスト。要件は、ペイメントカード業界データセキュリティ標準など、サードパーティのセキュリティフレームワークからのものです。

Status

特定のコントロールに対して Security Hub が実行した最新のチェックの結果。前のチェックの結果は 90 日間、アーカイブされた状態で保持されます。

StatusReasons

の値の理由のリストを含むCompliance.Status。各理由について、StatusReasons に理由コードと説明が含まれます。

次の表に、使用可能なステータス理由コードと説明を示します。

理由コード

Compliance.Status

説明

CLOUDTRAIL_METRIC_FILTER_NOT_VALID

FAILED

マルチリージョンの CloudTrail 証跡に、有効なメトリクスフィルターがありません。

CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT

FAILED

マルチリージョンの CloudTrail 証跡には、メトリクスフィルターが存在しません。

CLOUDTRAIL_MULTI_REGION_NOT_PRESENT

FAILED

アカウントには、必要な設定を使用したマルチリージョンの CloudTrail 証跡がありません。

CLOUDTRAIL_REGION_INVAILD

WARNING

マルチリージョンの CloudTrail 証跡は、現在のリージョンにありません。

CLOUDWATCH_ALARM_ACTIONS_NOT_VALID

FAILED

有効なアラームアクションが存在しません。

CLOUDWATCH_ALARMS_NOT_PRESENT

FAILED

CloudWatch アラームは、アカウントに存在しません。

CONFIG_ACCESS_DENIED

NOT_AVAILABLE

AWS Config ステータスが ConfigError である

AWS Config アクセスが拒否されました。

AWS Config が有効で、十分なアクセス許可が付与されていることを確認します。

CONFIG_EVALUATIONS_EMPTY

PASSED

AWS Configでルールに基づいてリソースが評価されました。

ルールがスコープ内の AWS リソースに適用されなかったか、指定したリソースが削除されたか、または評価結果が削除されました。

CONFIG_RETURNS_NOT_APPLICABLE

NOT_AVAILABLE

コンプライアンス状況がNOT_AVAILABLEなぜならAWS Configのステータスが返されました該当なし

AWS Configは、ステータスの理由を提供しません。考えられる理由は次のとおりです。該当なしstatus:

  • リソースは、スコープから削除されました。AWS Configルール。

  • -AWS Configルールが削除されました。

  • リソースが削除されました。

  • -AWS Configルールロジックは、該当なしステータス。

CONFIG_RULE_EVALUATION_ERROR

NOT_AVAILABLE

AWS Config ステータスが ConfigError である

この理由コードは、いくつかの異なるタイプの評価エラーに使用されます。

説明には、具体的な理由情報が表示されます。

エラーのタイプは、次のいずれかになります。

  • アクセス許可が不足しているため、評価を実行できません。説明には、不足している特定のアクセス許可が表示されます。

  • パラメータの値がないか、無効です。説明には、パラメータとパラメータ値の要件が表示されます。

  • S3 バケットからの読み取り中にエラーが発生しました。説明では、バケットが識別され、特定のエラーが表示されます。

  • AWS サブスクリプションがありません。

  • 評価の一般的なタイムアウト。

  • 停止されたアカウント。

CONFIG_RULE_NOT_FOUND

NOT_AVAILABLE

AWS Config ステータスが ConfigError である

-AWS Configルールが作成過程にある場合。

INTERNAL_SERVICE_ERROR

NOT_AVAILABLE

不明なエラーが発生しました。

LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE

FAILED

Security Hub は、カスタム Lambda ランタイムに対してチェックを実行できません。

S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION

WARNING

この発見はWARNING状態になります。これは、このルールに関連付けられた S3 バケットが別のリージョンまたはアカウントにあるためです。

このルールは、クロスリージョンまたはクロスアカウントのチェックをサポートしていません。

このリージョンまたはアカウントでは、このコントロールを無効にすることをお勧めします。リソースがあるリージョンまたはアカウントでのみ実行します。

SNS_SUBSCRIPTION_NOT_PRESENT

FAILED

CloudWatch Logs メトリクスフィルターに、有効な Amazon SNS サブスクリプションがありません。

SNS_TOPIC_CROSS_ACCOUNT

WARNING

この発見はWARNING状態。

このルールに関連付けられた SNS トピックは、別のアカウントによって所有されます。現在のアカウントで、サブスクリプション情報を取得できません。

SNS トピックを所有するアカウントは、現在のアカウントにsns:ListSubscriptionsByTopic[SNS トピック] のアクセス許可です。

SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION

WARNING

この発見はWARNING状態は、このルールに関連付けられた SNS トピックが別のリージョンまたはアカウントにあるためです。

このルールは、クロスリージョンまたはクロスアカウントのチェックをサポートしていません。

このリージョンまたはアカウントでは、このコントロールを無効にすることをお勧めします。リソースがあるリージョンまたはアカウントでのみ実行します。

SNS_TOPIC_INVALID

FAILED

このルールに関連付けられている SNS トピックは無効です。

THROTTLING_ERROR

NOT_AVAILABLE

関連する API オペレーションが許可されたレートを超えました。

ProductFields

セキュリティチェックによって生成された調査結果については、ProductFieldsには、次のフィールドが含まれます。

StandardsGuideArn 、、または StandardsArn

コントロールに関連付けられた標準の ARN。

CISAWS基礎ベンチマーク標準、フィールドがありますStandardsGuideArn

PCI DSS およびAWSの基本的なセキュリティのベストプラクティス標準。フィールドはStandardsArn

StandardsGuideSubscriptionArn 、、または StandardsSubscriptionArn

標準へのアカウントのサブスクリプションの ARN。

CISAWS基礎ベンチマーク標準、フィールドがありますStandardsGuideSubscriptionArn

PCI DSS およびAWSの基本的なセキュリティのベストプラクティス標準。フィールドはStandardsSubscriptionArn

RuleId 、、または ControlId

コントロールの識別子です。

CISAWS基礎ベンチマーク標準、フィールドがありますRuleId

PCI DSS およびAWSの基本的なセキュリティのベストプラクティス標準。フィールドはControlId

RecommendationUrl

コントロールの修復情報への URL。

RelatedAWSResources:0/name

検出結果に関連付けられたリソースの名前。

RelatedAWSResource:0/type

コントロールに関連付けられたリソースのタイプ。

StandardsControlArn

コントロールの ARN。

aws/securityhub/ProductName

コントロールベースの調査結果の場合、製品名は Security Hub です。

aws/securityhub/CompanyName

コントロールベースの調査結果の場合、会社名はAWS。

aws/securityhub/annotation

コントロールによって検出された問題の説明。

aws/securityhub/FindingId

結果の ID。

Severity

Security Hub コントロールに割り当てられた重大度によって、コントロールの重要性が識別されます。これは、制御結果に割り当てられる重大度ラベルを決定します。

重大度基準

統制の重大度は、次の基準の評価に基づいて決定されます。

  • 脅威発生者が制御に関連する構成の弱点を活用することはどれほど困難ですか。

    難易度は、脅威シナリオを実行するために弱点を使用するために必要な洗練度または複雑さの量によって決定されます。

  • 弱点があなたの妥協につながる可能性はどれくらいですか?AWSアカウントまたはリソースについて教えてください。

    あなたの妥協点AWSアカウントまたはリソースとは、データの機密性、完全性、可用性、またはAWSインフラストラクチャは、何らかの方法で破損しています。

    侵害の可能性は、脅威のシナリオによってAWSサービスまたはリソース。

たとえば、次の設定の弱点を考えます。

  • IAM ユーザーアクセスキーは 90 日ごとに更新されません。

  • IAM ルートアクセスキーが存在します。

どちらの弱点も,敵対者が利用するのも同様に困難です。どちらの場合も、攻撃者は資格情報の盗難やその他の方法でユーザーキーを取得できます。その後、ユーザーはそれを使用して、無許可の方法でリソースにアクセスできます。

ただし、脅威アクターがルートユーザーアクセスキーを取得すると、ルートキーによりアクセスしやすくなるため、侵害の可能性ははるかに高くなります。その結果、rootユーザーキーの弱点はより重大度が高くなります。

重大度は、基になるリソースの重要度は考慮されていません。重要度は、検出結果に関連付けられたリソースの重要度のレベルです。たとえば、ミッションクリティカルなアプリケーションに関連付けられたリソースは、非本番稼働用テストに関連付けられたリソースもあれば、クリティカルなアプリケーションに関連付けられたリソースもあります。リソースの重要度情報をキャプチャするには、CriticalityフィールドがAWSSecurity Finding 形式 (ASFF)。

次の表は、セキュリティラベルに対する不正利用の難しさと侵害の可能性を示しています。

妥協の可能性が高い

妥協の可能性が

妥協はまずない

妥協可能性は低いです

非常に搾取しやすい

非常事態

非常事態

ミディアム

やや搾取しやすい

非常事態

ミディアム

ミディアム

やや悪用しにくい

ミディアム

ミディアム

悪用するのは非常に困難

ミディアム

ミディアム

重大度の定義

重大度ラベルは次のように定義されます。

重要 — この問題はエスカレートしないようにすぐに修正する必要があります。

たとえば、公開された S3 バケットは重大な重要度の検出結果と見なされます。非常に多くの行為者は、公開された S3 バケットをスキャンするため、公開された S3 バケット内のデータは、他者によって発見され、アクセスされる可能性があります。

一般に、パブリックにアクセス可能なリソースは、セキュリティ上の重要な問題と見なされます。重大な所見は、最大限の緊急性をもって扱うべきです。また、リソースの重要度も考慮する必要があります。

高 — この問題は短期的な優先事項として対処する必要があります。

たとえば、デフォルトの VPC セキュリティグループがインバウンドトラフィックとアウトバウンドトラフィックに対して開かれている場合、重大度は高いと見なされます。脅威アクターがこの方法を使用して VPC を侵害するのはやや簡単です。また、脅威アクターがリソースを VPC 内に配置すると、リソースを中断または侵入できる可能性もあります。

Security Hub では、重大度の高い結果を、短期的な優先順位として扱うことをお勧めします。直ちに修復手順を実行する必要があります。また、リソースの重要度も考慮する必要があります。

「中」(Medium) — この問題は、中期的な優先事項として対処する必要があります。

たとえば、転送中のデータの暗号化の欠如は、重大度が中程度の検出結果と見なされます。この弱点を利用するには、洗練された中間者(MITM)攻撃が必要です。つまり、やや難しいです。脅威のシナリオが成功すると、一部のデータが侵害される可能性があります。

Security Hub は、できるだけ早く、関連するリソースを調査することをお勧めします。また、リソースの重要度も考慮する必要があります。

低 — この問題は単独で対処する必要はありません。

たとえば、フォレンジック情報を収集できなかった場合は、重大度が低いと見なされます。この制御は、将来の妥協を防ぐのに役立ちますが、フォレンジックがないと直接妥協につながるわけではありません。

重要度の低い結果に対して即座に対処する必要はありませんが、他の問題と相関関係がある場合は、コンテキストが提供されます。

情報:構成の弱点は見つかりませんでした。

つまり、ステータスは PASSED です。

推奨されるアクションはありません。通知目的の検出結果は、顧客が準拠状態にあることを示すのに便利です。

管理結果を更新するためのルール

特定のルールに対するその後のチェックでは、新しい結果が生成される可能性があります。たとえば、「ルートアカウントの使用を避ける」の状態がFAILEDPASSED。その場合、最新の結果を含む新しい結果が生成されます。

指定されたルールに対するそれ以降のチェックが現在の結果と同じ結果を生成する場合は、既存の検出結果が更新されます。新しい検出結果は生成されません。

Security Hub は、関連付けられたリソースが削除されたか、リソースが存在しないか、コントロールが無効になっている場合に、コントロールから結果を自動的にアーカイブします。関連付けられたサービスが現在使用されていないため、リソースが存在しない可能性があります。検出結果は、次のいずれかの基準に基づいて、自動的にアーカイブされます。

  • 結果は 3 日間で更新されませんでした。

  • 関連付けられた AWS Config 評価が NOT_APPLICABLE を返しました。