用語と概念 - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

用語と概念

このトピックでは、の主な概念について説明します。AWSSecurity Hub を使用して、開始してください。

アカウント

AWS リソースを含む標準のアマゾン ウェブ サービス (AWS) アカウント。サインインするにはAWSアカウントを使用して Security Hub を有効にしてください。

アカウントは、他のアカウントを招待して Security Hub を有効にし、Security Hub でそのアカウントに関連付けることもできます。メンバーシップの招待の承諾はオプションです。招待が受け入れられると、そのアカウントはSecurity Hub になります。管理者アカウントであり、追加されたアカウントはmemberアカウント。管理者アカウントでは、メンバーアカウントの結果を表示できます。

あなたが登録している場合AWS Organizations組織の Security Hub 管理者アカウントを指定すると、組織の Security Hub 管理者アカウントが指定されます。管理者アカウントは、他の組織アカウントをメンバーアカウントとして有効にできます。

アカウントを Security Hub 管理者アカウントとメンバーアカウントの両方に同時に設定することはできません。1 つのアカウントに設定できる管理者アカウントは 1 つだけです。

詳細については、「管理者アカウントおよびメンバーアカウントの管理」を参照してください。

アーカイブされた検出結果

RecordStateARCHIVED に設定されている結果。解析結果をアーカイブすると、解析結果プロバイダが解析結果に関連性がなくなったと考えていることを示します。レコードの状態は、結果に調査のステータスを追跡するワークフローステータスとは異なります。

プロバイダーを検索するには、BatchImportFindings操作を使用して Security Hub 作成した結果をアーカイブします。Security Hub では、次のいずれかの基準に基づいて、コントロールの結果を自動的にアーカイブします。

  • 結果は 3 日間で更新されません。

  • 関連付けAWS Config評価の返品NOT_APPLICABLE

デフォルトでは、アーカイブされた結果は Security Hub コンソールにある結果リストから除外されます。アーカイブされた結果を含めるようにフィルターを更新できます。

-GetFindingsオペレーションは、アクティブな結果とアーカイブされた結果の両方を返します。レコード状態のフィルターを含めることができます。

"RecordState": [ { "Comparison": "EQUALS", "Value": "ARCHIVED" } ],
AWS Security Finding 形式

Security Hub が集計または生成する結果の内容の標準化された形式。-AWSSecurity Finding 形式では、Security Hub を使用して、AWSセキュリティチェックを実行し、Security Hub 自体に生成されるセキュリティチェックを実行します。詳細については、「AWS Security Finding 形式」を参照してください。

管理

情報の機密性、完全性、可用性を保護し、定義された一連のセキュリティ要件を満たすように設計された、情報システムまたは組織に対して規定された保護または対策。セキュリティ標準は、コントロールで構成されます。

カスタムアクション

選択した結果を EventBridge に送信するための Security Hub メカニズム。Security Hub にカスタムアクションが作成されます。その後、EventBridge ルールにリンクされます。このルールは、カスタムアクション ID に関連付けられた結果を受け取ったときに実行する特定のアクションを定義します。カスタムアクションを使用すると、たとえば特定の結果や少数の一連の結果を応答または修復ワークフローに送信できます。詳細については、「カスタムアクションの作成 (コンソール)」を参照してください。

検索

セキュリティチェックまたはセキュリティ関連の検出の監視可能なレコード。

Security Hub の結果についての詳細は、」の検出結果AWSセキュリティハブ

注記

検出結果は、最新の更新から 90 日後、または更新が行われない場合は作成日から 90 日後に削除されます。結果を 90 日間以上保存するには、結果を Amazon S3 バケットにルーティングする EventBridge でルールを設定できます。

取り込みの検出

結果を Security Hub にインポートするには、他のAWSサービスとサードパーティーパートナープロバイダーから。

取り込みイベントには、新しい結果と既存の結果の更新が含まれます。

インサイト

集計ステートメントおよびオプションのフィルターによって定義される関連する結果のコレクションです。インサイトは、注意と介入を要するセキュリティ領域を特定します。Security Hub では、変更できないいくつかのマネージド型 (デフォルト) インサイトを提供します。Security Hub のカスタムインサイトを作成して、独自のセキュリティ上の問題を追跡することもできますAWS環境および使用法。詳細については、「のインサイトAWSセキュリティハブ」を参照してください。

関連する要件

コントロールにマッピングされる一連の業界または規制要件。

ルール

コントロールが遵守されているかどうかを評価するために使用される一連の自動化条件。ルールが評価されると、合格または不合格になります。評価でルールが合格になったか不合格になったかを判断できない場合、ルールは警告状態になります。ルールを評価できない場合、そのルールは使用不可の状態になります。

セキュリティチェック

1 つのリソースに対するルールの特定のポイントインタイム評価。合格、不合格、警告、または使用不可の状態になります。セキュリティチェックを実行すると、検出結果が生成されます。

セキュリティ標準

特性を指定するトピックについてパブリッシュされたステートメント。通常は測定可能で、コントロールの形式であり、コンプライアンスを達成している必要があます。セキュリティ標準は規制の枠組みや、ベストプラクティス、社内のポリシーなどに基づいています。Security Hub のセキュリティ標準の詳細については、」のセキュリティ標準と制御AWSセキュリティハブ

ワークフローステータス

検出結果の調査ステータス。Workflow.Status 属性を使用して追跡します。

ワークフローステータスは、初期状態では NEW です。リソース所有者に結果に対するアクションを実行するように通知した場合は、ワークフローステータスを NOTIFIED に設定できます。結果の問題ではなく、アクションを必要としない場合は、ワークフローステータスを SUPPRESSED に設定します。結果を確認して修正したら、ワークフローステータスを RESOLVED に設定します。

デフォルトでは、ほとんどの結果リストには、ワークフローステータスが NEW または NOTIFIED である結果のみが含まれます。コントロールの結果リストには、RESOLVED の結果も含まれます。

GetFindings オペレーションでは、ワークフローステータスのフィルターを含めることができます。

"WorkflowStatus": [ { "Comparison": "EQUALS", "Value": "RESOLVED" } ],

Security Hub コンソールには、結果に対するワークフローステータスを設定するオプションがあります。お客様 (または SIEM、チケット発行、インシデント管理、または SOAR ツール) は、BatchUpdateFindings を使用してワークフローステータスを更新することもできます。