結果の詳細の表示

Security Hub コンソールの検出結果リストから、検出結果の詳細パネルを表示することができます。詳細パネルには、過去 90 日間の検出結果の履歴が表示されます。検出結果の詳細と検出結果の履歴をプログラムで取得することもできます。

結果の詳細を表示する (コンソール)

手順に従って、Security Hub コンソールで結果の詳細を表示します。

検出結果の詳細パネルを表示する (コンソール)

1. https://console.aws.amazon.com/securityhub/ AWS Security Hub でコンソールを開きます。

2. 結果リストを表示するには、以下のいずれかを実行します。

   • Security Hub ナビゲーションペインで、[Findings] (結果) を選択します。

   • Security Hub ナビゲーションペインで、[Insights] (インサイト) を選択します。インサイトを選択します。次に、検出結果リストで、インサイトの結果を選択します。

   • Security Hub ナビゲーションペインで、[Integrations] (統合) を選択します。統合の [See findings] (結果を表示) を選択します。

3. 結果のタイトルを選択します。

検出結果の詳細パネルの上部には、アカウント、重要度、日付、ステータスなどが含まれた、検出結果に関する概要情報が表示されます。 AWS Organizations 統合していて、サインインしているアカウントが組織のメンバーアカウントの場合、詳細パネルにはアカウント名が表示されます。Organizations 統合ではなく手動で招待されたメンバーアカウントの場合、詳細パネルにはアカウント ID のみが表示されます。検出結果の詳細パネルには、以下の情報も含まれています：

• [Detective の捜査] には、Detective での検出結果をさらに調査するためのリンクが含まれています。これは、他の AWS のサービスから受け取った Security Hub 検出結果にのみ含まれます。

• [脆弱性の詳細] には、脆弱性の原因と影響を受けるパッケージに関する情報が含まれています。これは、1 つの脆弱性については展開可能なセクションで、複数の脆弱性についてはページ分割されたセクションです。このセクションは、Amazon Inspector が Security Hub に送信する結果にのみ適用されます。

• [タイプと関連する検出結果] には、結果タイプに関する情報が含まれています。

• [パラメータ] には、セキュリティコントロールの現在のパラメータ値が表示されます。Security Hub は、コントロールのセキュリティチェックを行う際にこれらのパラメータ値を使用します。

• [リソース] には、検出結果に関連するリソースに関する情報が含まれます。このセクションには、検出結果に関連するアプリケーションの名前と Amazon リソースネーム (ARN) も含まれています。アプリケーションを作成し、その検出結果に関連するリソースにアプリケーションタグを追加した場合、検出結果にはアプリケーションメタデータのみが含まれます。AWS Service Catalog AppRegistry でアプリケーションを作成してタグを追加することをお勧めします。

• [Remediation] (修正) には、コントロールの検出結果が表示されます。結果をトリガーした問題を修正するための手順へのリンクも表示されます。

• [検出結果プロバイダーフィールド] には、信頼度、重大度、関連する結果、重要度、および結果タイプに対する結果プロバイダーからの値が表示されます。

検出結果の詳細パネルでは、より詳細な情報を表示したり、フィルターにフィールド値を追加したりできます。

• 結果の完全な JSON を表示するには、結果 ID を選択します。[Finding JSON] (結果結果 JSON) から、結果結果 JSONをファイルにダウンロードできます。

• 結果リストフィルターにフィールド値を追加するには、フィールドの横にある検索アイコンを選択します。

• ルールに基づく結果の場合、 AWS Config 該当するルールのリストを表示するには、[ルール] を選択します。

• [履歴] パネルを選択すると、最大 90 日間の検出結果の履歴が表示されます。

結果の詳細を取得する (プログラマティック)

お好みの方法を選択し、手順に従って Security Hub の結果のリストをプログラムで取得します。フィルタを指定して、結果のリストを特定のサブセットに絞り込むことができます。

次のタブには、結果を取得するための手順がいくつかの言語で記載されています。その他の言語でのサポートについては、構築に役立つツール AWSを参照してください。

注記

なお、CompanyName または ProductName でフィルタリングする場合、Security Hub は ProductFields にある値を使用するので注意が必要です。トップレベルの CompanyName および ProductName フィールドは使用されません。

Security Hub API

1. GetFindings を実行します。

2. オプションで、Filters パラメータを入力して、取得したい結果を絞り込むこともできます。

3. オプションで、結果を指定した数に制限する MaxResults パラメーターと、結果のページ分割を行う NextToken パラメーターを入力します。

4. オプションで、SortCriteria パラメータを入力して、特定のフィールドで調査結果を並べ替えます。

クロスリージョン集約を有効にすると、集約リージョンからこの API を呼び出す場合、集約リージョンとリンクされたリージョンからの検出結果が含まれます。

AWS CLI

1. コマンドラインで、get-findings コマンドを実行します。

2. オプションで、filters パラメータを入力して、取得したい結果を絞り込むこともできます。

3. オプションで、結果を指定した数に制限する max-items パラメーターと、結果のページ分割を行う page-size パラメーターを入力します。

4. オプションで、sort-criteria パラメータを入力して、特定のフィールドで結果を並べ替えます。

get-findings --filters <filter criteria JSON> --sort-criteria <sort criteria> --page-size <findings per page> --max-items <maximum number of results>

例

aws securityhub get-findings --filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100

クロスリージョン集約を有効にすると、集約リージョンからこの API を呼び出す場合、集約リージョンとリンクされたリージョンからの検出結果が含まれます。

PowerShell

1. Get-SHUBFinding コマンドレットを使用します。

2. オプションで、Filter パラメータを入力して、取得したい結果を絞り込むこともできます。

例

Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}

検出結果の履歴

検出結果の履歴は、過去 90 日間に検出結果に加えられた変更を追跡できる Security Hub の機能です。アクティブな検出結果とアーカイブされた検出結果に利用できます。検出結果の履歴は、変更内容、発生日時、どのユーザーによって行われたかなど、検出結果に対して加えられた変更の履歴を改変不能な形で記録します。

特に、AWS セキュリティ検索フォーマット (ASFF) のフィールドに加えられた変更を追跡できます。Security Hub は、手動で行った変更と自動化ルールによる変更を追跡します。

履歴の検索は、Security Hub コンソール、API、およびで使用できます AWS CLI。

Security Hub 管理者アカウントにサインインしている場合は、管理者アカウントとすべてのメンバーアカウントにおける検出結果の履歴を取得できます。

お好みの方法を選択し、手順に従って検出結果の履歴を取得します。

Security Hub console

検出結果の履歴の表示 (コンソール)

1. https://console.aws.amazon.com/securityhub/ AWS Security Hub でコンソールを開きます。

2. 左のナビゲーションペインで [検出結果] を選択します。

3. 検出結果を選択します。表示されるパネルで、[履歴] タブを選択します。

Security Hub API

1. 必要に応じて適切なフィルターを使用して GetFindings を実行し、履歴を表示する検出結果を特定します。API のレスポンスから検出結果の ProductArn と Id を取得できます。これらのフィールドの値は、3 番目のステップで必要になります。

2. GetFindingHistory を実行します。

3. ProductArn および Id フィールドを使用して、履歴を取得する検出結果を特定します。これらのフィールドの詳細については、を参照してくださいAwsSecurityFindingIdentifier。リクエストあたり 1 つの検出結果の履歴のみ取得できます。

4. StartTime と EndTime の値を提供すると、特定の期間に限定した検出結果の履歴を取得できます。

5. MaxResults の値を指定すると、特定の結果件数に限定した検出結果の履歴を取得できます。指定しない場合、API レスポンスによって最初の 100 件の結果が返されます。

6. NextToken の値を指定すると、次の 100 件の結果 (該当する場合) を表示できます。最初の API リクエストでは、NextToken の値は NULL でなければなりません。

API リクエストの例:

{
"FindingIdentifier": {
  "ProductArn": "arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default",
  "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
},
"MaxResults": 2,
"StartTime": "2021-09-30T15:53:35.573Z",
"EndTime": "2021-09-31T15:53:35.573Z"
}

AWS CLI

1. 必要に応じて適切なフィルターを使用して get-findings コマンドを実行し、履歴を表示する検出結果を特定します。レスポンスから検出結果の ProductArn と Id を取得できます。これらのフィールドの値は、3 番目のステップで必要になります。

2. get-finding-history コマンドを実行します。

3. ProductArn および Id フィールドを使用して、履歴を取得する検出結果を特定します。これらのフィールドの詳細については、を参照してくださいAwsSecurityFindingIdentifier。リクエストあたり 1 つの検出結果の履歴のみ取得できます。

4. start-time と end-time の値を提供すると、特定の期間に限定した検出結果の履歴を取得できます。

5. max-results の値を提供すると、特定の検出結果件数に限定した検出結果の履歴を取得できます。指定しない場合、コマンドは検出結果の履歴について最初の 100 件の結果を返します。

6. next-token の値を提供すると、次の 100 件分の検出結果 (該当する場合) を表示できます。最初のリクエストでは、next-token の値は NULL でなければなりません。

   コマンドの例:

   aws securityhub --region us-west-2 \
   get-finding-history
   --finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \
   --max-results 2 --start-time "2021-09-30T15:53:35.573Z" --end-time "2021-09-31T15:53:35.573Z"