Security Hub の検出結果のワークフローステータスの設定

ワークフローステータスは、検出結果に対する調査の進行状況を追跡します。ワークフローステータスは、個々の結果に固有のものです。新しい検出結果の生成には影響しません。例えば、検出結果のワークフローステータスを SUPPRESSEDまたはに設定RESOLVEDしても、 AWS Security Hub は、同じ問題に対する新しい検出結果を生成しなくなります。

ワークフローステータスの値は以下のいずれかになります。

NEW

レビューする前の結果の初期の状態です。

統合から取り込まれた結果 AWS のサービスまたは AWS Config、初期ステータスNEWとしてがあります。

また、Security Hub は以下の場合に、ワークフローステータス NOTIFIED または RESOLVED を NEW にリセットします。

RecordState が ARCHIVED から ACTIVE に変更した場合。
Compliance.Status が PASSED から FAILED 、WARNING、または NOT_AVAILABLE に変更した場合。

これらの変更は、追加の調査が必要であることを意味します。

NOTIFIED

セキュリティ問題についてリソース所有者に通知したことを示しています。このステータスは、自分がリソース所有者ではなく、セキュリティ問題を解決するためにリソース所有者からの介入が必要な場合に使用できます。

次のいずれかが発生すると、ワークフローステータスは NOTIFIED から NEW に自動的に変更されます。

RecordState が ARCHIVED から ACTIVE に変更した場合。
Compliance.Status が PASSED から FAILED 、WARNING、または NOT_AVAILABLE に変更した場合。

SUPPRESSED

結果をレビューし、アクションが必要だとは判断しなかったことを示しています。

RecordState が ARCHIVED から ACTIVE に変更されても、SUPPRESSED 結果のワークフローステータスは変わりません。

RESOLVED

この結果はレビューおよび修正され、現在は解決済みと見なされていることを示しています。

以下のいずれかが発生しない限り、結果は RESOLVED を維持します。

RecordState が ARCHIVED から ACTIVE に変更した場合。
Compliance.Status が PASSED から FAILED 、WARNING、または NOT_AVAILABLE に変更した場合。

こういったケースでは、ワークフローステータスは自動的に NEW にリセットされます。

コントロールからの結果については、Compliance.Status が PASSED の場合には、Security Hub がワークフローのステータスを自動的に RESOLVED に設定します。

結果のワークフローステータスを設定する

希望する方法を選択し、手順に従って 1 つ以上の結果のワークフローステータスを設定します。

特定の結果のワークフローステータスを自動的に更新するには、Security Hub のオートメーションルールについてを参照してください。

Security Hub console

結果のワークフローステータスを設定するには、以下を実行します。

を開く AWS Security Hub のコンソールhttps://console.aws.amazon.com/securityhub/。
結果リストを表示するには、以下のいずれかを実行します。
- Security Hub ナビゲーションペインで、[Findings] (結果) を選択します。
- Security Hub ナビゲーションペインで、[Insights] (インサイト) を選択します。インサイトを選択します。次に、検出結果リストで、インサイトの結果を選択します。
- Security Hub ナビゲーションペインで、[Integrations] (統合) を選択します。統合の [See findings] (結果を表示) を選択します。
- Security Hub ナビゲーションペインで、[Security standards] (セキュリティ標準) を選択します。[View results] (検出結果の表示) を選択して、コントロールのリストを表示します。次にコントロールを選択すると、そのコントロールの検出結果のリストが表示されます。
結果リストで、更新するそれぞれの結果のチェックボックスを選択します。
リストの上部にある [Workflow status] (ワークフローステータス) で、ステータスを選択します。
ワークフローステータスの設定ダイアログボックスで、ワークフローステータスを更新する理由の詳細を示すオプションのメモを入力します。ステータスの設定を選択します。

Security Hub API

を呼び出しますBatchUpdateFindingsAPI。検出結果を生成した製品の検出結果 ID と ARN の両方を指定します。これらの詳細は、 GetFindings を呼び出すことで取得できますAPI。

AWS CLI

batch-update-findings コマンドを実行します。結果 ID と、結果を生成した製品の ARN の両方を指定します。これらの詳細は、get-findings コマンドを実行することで取得できます。


batch-update-findings --finding-identifiers Id="<findingID>",ProductArn="<productARN>" --workflow Status="<workflowStatus>"

例


aws securityhub batch-update-findings --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" --workflow Status="RESOLVED"

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Security Hub での調査結果のフィルタリングとグループ化

カスタムアクションに結果を送信する