Security Hub 検出結果のワークフローステータスの設定 - AWS Security Hub

Security Hub 検出結果のワークフローステータスの設定

ワークフローステータスは、検出結果に対する調査の進行状況を追跡します。ワークフローステータスは、個々の結果に固有のものです。新しい検出結果の生成には影響しません。例えば、ワークフローステータスを SUPPRESSED または RESOLVED に設定しても、AWS Security Hub による同じ問題に対する新しい検出結果の生成が妨げられることはありません。

ワークフローステータスの値は以下のいずれかになります。

NEW

レビューする前の結果の初期の状態です。

AWS Config などの統合された AWS のサービス から取り込まれた検出結果の初期ステータスは NEWです。

また、Security Hub は以下の場合に、ワークフローステータス NOTIFIED または RESOLVEDNEW にリセットします。

  • RecordStateARCHIVED から ACTIVE に変更した場合。

  • Compliance.StatusPASSED から FAILEDWARNING、または NOT_AVAILABLE に変更した場合。

これらの変更は、追加の調査が必要であることを意味します。

NOTIFIED

セキュリティ問題についてリソース所有者に通知したことを示しています。このステータスは、自分がリソース所有者ではなく、セキュリティ問題を解決するためにリソース所有者からの介入が必要な場合に使用できます。

次のいずれかが発生すると、ワークフローステータスは NOTIFIED から NEW に自動的に変更されます。

  • RecordStateARCHIVED から ACTIVE に変更した場合。

  • Compliance.StatusPASSED から FAILEDWARNING、または NOT_AVAILABLE に変更した場合。

SUPPRESSED

結果をレビューし、アクションが必要だとは判断しなかったことを示しています。

RecordStateARCHIVED から ACTIVE に変更されても、SUPPRESSED 結果のワークフローステータスは変わりません。

RESOLVED

この結果はレビューおよび修正され、現在は解決済みと見なされていることを示しています。

以下のいずれかが発生しない限り、結果は RESOLVED を維持します。

  • RecordStateARCHIVED から ACTIVE に変更した場合。

  • Compliance.StatusPASSED から FAILEDWARNING、または NOT_AVAILABLE に変更した場合。

こういったケースでは、ワークフローステータスは自動的に NEW にリセットされます。

コントロールからの結果については、Compliance.StatusPASSED の場合には、Security Hub がワークフローのステータスを自動的に RESOLVED に設定します。

結果のワークフローステータスを設定する

希望する方法を選択し、手順に従って 1 つ以上の結果のワークフローステータスを設定します。

特定の結果のワークフローステータスを自動的に更新するには、Security Hub の自動化ルールについて を参照してください。

Security Hub console
結果のワークフローステータスを設定するには、以下を実行します。
  1. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。

  2. 結果リストを表示するには、以下のいずれかを実行します。

    • Security Hub ナビゲーションペインで、[Findings] (結果) を選択します。

    • Security Hub ナビゲーションペインで、[Insights] (インサイト) を選択します。インサイトを選択します。次に、検出結果リストで、インサイトの結果を選択します。

    • Security Hub ナビゲーションペインで、[Integrations] (統合) を選択します。統合の [See findings] (結果を表示) を選択します。

    • Security Hub ナビゲーションペインで、[Security standards] (セキュリティ標準) を選択します。[View results] (検出結果の表示) を選択して、コントロールのリストを表示します。次にコントロールを選択すると、そのコントロールの検出結果のリストが表示されます。

  3. 結果リストで、更新するそれぞれの結果のチェックボックスを選択します。

  4. リストの上部にある [Workflow status] (ワークフローステータス) で、ステータスを選択します。

  5. [ワークフローステータスの設定]ダイアログボックスで、ワークフローステータスを更新する理由の詳細を示すオプションのメモを指定します。[ステータスの設定] を選択します。

Security Hub API

BatchUpdateFindings API を呼び出します。検出結果を生成した製品の検出結果 ID と ARN の両方を提供します。これらの詳細は、GetFindingsAPI を呼び出すことで取得できます。

AWS CLI

batch-update-findings コマンドを実行します。検出結果を生成した製品の検出結果 ID と ARN の両方を提供します。これらの詳細は、get-findings コマンドを実行することで取得できます。

batch-update-findings --finding-identifiers Id="<findingID>",ProductArn="<productARN>" --workflow Status="<workflowStatus>"

aws securityhub batch-update-findings --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" --workflow Status="RESOLVED"