Security Hub の概念 - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub の概念

このトピックでは、 の主要な概念と用語について説明します。 AWS サービスの開始に役立つ Security Hub。

アカウント

標準 Amazon Web Services (AWSを含む ) アカウント AWS リソースの使用料金を見積もることができます。にサインインできます。 AWS アカウントで Security Hub を有効にします。

アカウントは他のアカウントを招待して、Security Hub を有効にし、Security Hub 内でそのアカウントと関連付けることができます。メンバーシップの招待の承諾はオプションです。招待が承諾されると、アカウントは管理者アカウントになり、追加されたアカウントはメンバーアカウントになります。管理者アカウントは、メンバーアカウントの結果を表示できます。

に登録されている場合 AWS Organizations、組織は組織の Security Hub 管理者アカウントを指定します。Security Hub 管理者アカウントは、他の組織アカウントをメンバーアカウントとして有効にできます。

アカウントは、同時に管理アカウントとメンバーアカウントの両方になることはできません。アカウントに付与される管理者アカウントは 1 つだけです。

詳細については、「Security Hub での管理者アカウントとメンバーアカウントの管理」を参照してください。

管理者アカウント

Security Hub のアカウントには、関連付けられたメンバーアカウントの結果を表示するためのアクセス権が付与されます。

アカウントには次のいずれかの方法で管理者アカウントが付与されます:

  • あるアカウントが他のアカウントを招待し、Security Hub で関連付けられます。このような招待されたアカウントが招待を承諾すると、そのアカウントはメンバーアカウントになり、招待したアカウントは管理者アカウントになります。

  • あるアカウントが、組織管理アカウントによって Security Hub 管理者アカウントとして指定されます。Security Hub 管理者アカウントは、任意の組織アカウントをメンバーアカウントとして有効にできます。また、他のアカウントをメンバーアカウントに招待することもできます。

アカウントに付与される管理者アカウントは 1 つだけです。アカウントは、同時に管理アカウントとメンバーアカウントの両方になることはできません。

集約リージョン

集約リージョンを設定すると、複数の からセキュリティ検出結果を表示できます。 AWS リージョン 1 つのペインにまとめられます。

集約リージョンは、結果の表示と管理を行うリージョンです。結果は、リンクされたリージョンから集約リージョンに集約されます。結果の更新は、リージョン全体で複製されます。

集約リージョンでは、[Security standards] (セキュリティ基準)、[Insights] (インサイト)、[Findings] (結果) の各ページに、リンクされたすべてのリージョンの結果が表示されます。

Security Hub でのクロスリージョン集約について」を参照してください。

アーカイブ済みの結果

RecordStateARCHIVED に設定されている結果。結果がアーカイブされる場合、結果プロバイダーでは結果の関連性がなくなったとみなしているということを意味します。レコードの状態には、結果の調査のステータスを追跡するワークフローステータスは含まれません。

検出結果プロバイダーは、Security Hub の BatchImportFindingsオペレーションAPIを使用して、作成した検出結果をアーカイブできます。Security Hub は、コントロールが無効化された場合、または関連付けられたリソースが削除された場合に、次のいずれかの基準に基づいて、コントロールの結果を自動的にアーカイブします。

  • 3〜5日間、結果が更新されていない (これはベストエフォートであり、保証されません)。

  • 関連付けられた AWS Config 評価は を返しますNOT_APPLICABLE

デフォルトでは、アーカイブされた結果は Security Hub コンソールの結果リストから除外されます。アーカイブされた結果を含めるようにフィルターを更新できます。

Security Hub の GetFindingsオペレーションは、アクティブな検出結果とアーカイブされた検出結果の両方APIを返します。レコード状態のフィルターを含めることができます。

"RecordState": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "ARCHIVED"
    }
],
AWS セキュリティ検出結果形式 (ASFF)

Security Hub によって集約または生成された結果の内容の標準化された形式。- AWS Security Finding 形式を使用すると、Security Hub を使用して、 によって生成された結果を表示および分析できます。 AWS セキュリティチェックを実行するための セキュリティサービス、サードパーティーソリューション、または Security Hub 自体。詳細については、「AWS セキュリティ検出結果形式 (ASFF)」を参照してください。

コントロール

情報の機密性、完全性、可用性を保護し、定義された一連のセキュリティ要件を満たすように設計された、情報システムまたは組織に対して規定された保護または対策。セキュリティ標準はコントロールのコレクションに関連付けられています。

セキュリティコントロールという用語は、標準全体でコントロール ID とタイトルが 1 つしかないコントロールを指します。標準コントロールという用語は、標準固有のコントロールIDsとタイトルを持つコントロールを指します。現在、Security Hub は の標準コントロールのみをサポートしています。 AWS GovCloud (US) Region および中国リージョン。セキュリティコントロールは、その他すべてのリージョンでサポートされています。

カスタムアクション

選択した結果を に送信するための Security Hub メカニズム EventBridge。カスタムアクションは Security Hub で作成されます。その後、 EventBridge ルールにリンクされます。このルールでは、カスタムアクション ID に関連付けられた結果を受け取ったときに実行する特定のアクションが定義されています。カスタムアクションを使用すると、例えば特定の結果や少数の一連の結果を応答または修復ワークフローに送信できます。詳細については、「カスタムアクションの作成」を参照してください。

委任管理者アカウント (Organizations)

Organizations では、サービスの委任管理者アカウントが組織のサービスの使用を管理できます。

Security Hub では、Security Hub 管理者アカウントが Security Hub の委任管理者アカウントとしての役割も担います。組織管理アカウントによって初めて Security Hub 管理者アカウントが指定されたとき、Security Hub では Organizations を呼び出して、そのアカウントを委任管理者アカウントに指定します。

次に、組織管理アカウントは、すべてのリージョンで Security Hub 管理者アカウントとして委任管理者アカウントを選択する必要があります。

結果

セキュリティチェックまたはセキュリティ関連の検出の監視可能なレコード。Security Hub は、コントロールのセキュリティチェックが完了した後に検出結果を生成します。これらはコントロールの検出結果と呼ばれます。検出結果は、サードパーティ製品の統合から得られる場合もあります。

Security Hub での結果の詳細については、「Security Hub での調査結果の作成と更新」を参照してください。

注記

結果は、最新の更新から 90 日後、または更新が行われない場合は作成日から 90 日後に削除されます。検出結果を 90 日以上保存するには、検出結果を Amazon S3 バケットにルーティング EventBridge するルールを で設定できます。 Amazon S3

クロスリージョン集約

結果、インサイト、コントロールコンプライアンスのステータス、セキュリティスコアを、リンクされたリージョンから集約リージョンへ集約。次に、集約リージョンのすべてのデータを表示し、集約リージョンの結果とインサイトを更新できます。

Security Hub でのクロスリージョン集約について」を参照してください。

結果の取り込み

他の から Security Hub への検出結果のインポート AWS のサービスとサードパーティーパートナープロバイダーからのサービス。

結果取り込みイベントには、新しい結果と既存の結果の更新が含まれます。

インサイト

関連する結果のコレクションで、集約ステートメントとオプションのフィルターによって定義されます。インサイトは、注意と介入が必要なセキュリティ領域を特定します。Security Hub には、変更不能なマネージド (デフォルト) インサイトがいくつか用意されています。カスタム Security Hub インサイトを作成して、 に固有のセキュリティ問題を追跡することもできます。 AWS 環境と使用状況。詳細については、「Security Hub でのインサイトの表示」を参照してください。

リンクされたリージョン

クロスリージョン集約を有効にすると、リンクされたリージョンは、結果、インサイト、コントロールコンプライアンスのステータス、セキュリティスコアを、集約リージョンに集約するリージョンとなります。

リンクされたリージョンでは、[Findings] (結果) および [Insights] (インサイト) ページに、そのリージョンの結果のみが表示されます。

Security Hub でのクロスリージョン集約について」を参照してください。

メンバーアカウント

結果を確認してアクションを実行する許可を管理者アカウントに付与したアカウント。

アカウントは次のいずれかの方法でメンバーアカウントになります。

  • 別のアカウントからの招待を承諾する。

  • 組織アカウントの場合、Security Hub 管理者アカウントによってメンバーアカウントとして有効にされる。

関連する要件

コントロールにマッピングされる一連の業界または規制要件。

ルール

コントロールが遵守されているかどうかを評価するために使用される一連の自動条件。ルールは、評価されると、合格または不合格が指定されます。ルールは、評価によって合格または不合格を特定できなかった場合、警告状態になります。ルールを評価できない場合、そのルールは使用不可の状態になります。

セキュリティチェック

、、、WARNINGまたは NOT_AVAILABLE状態になる 1 つのリソースに対するルールPASSEDFAILEDの特定 point-in-time の評価。セキュリティチェックを実行すると、結果が生成されます。

Security Hub 管理者アカウント

組織の Security Hub メンバーシップを管理する組織アカウント。

組織管理アカウントが各リージョンの Security Hub 管理者アカウントを指定します。組織管理アカウントは、すべてのリージョンで同じ Security Hub 管理者アカウントを選択する必要があります。

Security Hub 管理者アカウントは、Organizations 内の Security Hub の委任管理者アカウントでもあります。

Security Hub 管理者アカウントは、任意の組織アカウントをメンバーアカウントとして有効にできます。また、他のアカウントをメンバーアカウントに招待することもできます。

セキュリティ標準

特性を指定するトピックについてパブリッシュされたステートメント。通常は測定可能で、コントロールの形式であり、コンプライアンスを満たしているか、達成している必要があます。セキュリティ標準は規制の枠組みや、ベストプラクティス、社内のポリシーなどに基づいています。コントロールは、Security Hub でサポートされている 1 つ以上の標準に関連付けることができます。Security Hub のセキュリティ標準の詳細については、「Security Hub のセキュリティ標準について」を参照してください。

重要度

Security Hub コントロールに割り当てられる重要度は、コントロールの重要性を特定します。コントロールの重要度は、[Critical] (重要)、[High] (高)、[Medium] (中)、[Low] (低) または [Informational] (情報) のいずれかです。コントロールの結果に割り当てられる重要度は、そのコントロール自体の重要度と同等です。Security Hub でコントロールに重要度を割り当てる方法については、「コントロール結果への重要度の割り当て」を参照してください。

ワークフローステータス

結果の調査ステータス。Workflow.Status 属性を使用して追跡します。

ワークフローステータスは、初期状態では NEW です。リソース所有者に結果に対するアクションを実行するように通知した場合は、ワークフローステータスを NOTIFIED に設定できます。結果に問題がなく、アクションが不要な場合は、ワークフローステータスを SUPPRESSED に設定します。結果を確認して修正したら、ワークフローステータスを RESOLVED に設定します。

デフォルトでは、ほとんどの結果リストに含まれている結果のワークフローステータスは、NEW または NOTIFIED のみです。コントロールの結果リストには、ステータスが RESOLVED の結果も含まれます。

GetFindings オペレーションでは、ワークフローステータスのフィルターを含めることができます。

"WorkflowStatus": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "RESOLVED"
    }
],

Security Hub コンソールには、結果のワークフローステータスを設定するオプションがあります。お客様 (または SIEM、チケット発行、インシデント管理、またはお客様に代わって検出結果プロバイダーからの検出結果の更新を行うSOARツール) は、 BatchUpdateFindingsを使用してワークフローステータスを更新することもできます。