ログ記録AWSSecurity Hub API コールはAWS CloudTrail - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ログ記録AWSSecurity Hub API コールはAWS CloudTrail

AWSSecurity Hub はAWS CloudTrailは、ユーザー、ロール、またはAWSSecurity Hub のサービス。CloudTrail は、Security Hub の API 呼び出しをイベントとしてキャプチャします。キャプチャされた呼び出しには、Security Hub コンソールからの呼び出しと、Security Hub API オペレーションへのコード呼び出しが含まれます。証跡を作成する場合は、Security Hub のイベントなど、Amazon S3 バケットへの CloudTrail イベントの継続的な配信を有効にすることができます。証跡を設定しない場合でも、CloudTrail コンソールの [イベント履歴。CloudTrail によって収集される情報を使用すると、リクエストの作成元の IP アドレス、リクエストの実行者、リクエストの実行日時などの詳細を調べて、Security Hub に対してどのようなリクエストが行われたかを判断できます。

CloudTrail を設定して有効にする方法などの詳細については、『AWS CloudTrailユーザーガイド

CloudTrail でのSecurity Hub 情報

CloudTrail はAWSアカウントを作成すると、そのアカウントを作成できます。Security Hub でサポートされるイベントアクティビティが発生すると、そのアクティビティは CloudTrail イベントとともに CloudTrail イベントに記録されます。AWSのサービスイベントイベント履歴。最近のイベントは、 アカウントで表示、検索、ダウンロードできます。詳細については、CloudTrail イベント履歴でのイベントの表示を参照してください。

Security Hub のイベントなど、アカウントのイベントの継続的な記録については、証跡を作成します。証跡により、CloudTrail はログファイルを Amazon S3 バケットに配信できます。デフォルトでは、コンソールで証跡を作成すると、証跡がすべての AWS リージョンに適用されます。この証跡では、すべてのリージョンのイベントがログに記録されます。AWSパーティションを作成し、指定した Amazon S3 バケットにログファイルが渡されます。さらに、その他のAWSサービスを使用して、CloudTrail ログで収集されたデータをより詳細に分析し、それに基づく対応を行うことができます。詳細については、以下を参照してください。

Security Hub は、すべての Security Hub API アクションを CloudTrail ログでイベントとしてログ記録するのをサポートします。Security Hub オペレーションのリストを表示するには、『Security Hub API リファレンス

以下のアクションのアクティビティが CloudTrail に記録されると、responseElementsは、 に設定されます。null。これにより、CloudTrail ログに機密性の高い情報が含まれなくなります。

  • BatchImportFindings

  • GetFindings

  • GetInsights

  • GetMembers

  • UpdateFindings

各イベントまたはログエントリには、リクエストの生成者に関する情報が含まれます。この ID 情報は以下のことを確認するうえで役立ちます。

  • リクエストが、ルートと AWS Identity and Access Management (IAM) ユーザー認証情報のどちらを使用して送信されたか

  • リクエストが、ロールとフェデレーティッドユーザーのどちらの一時的なセキュリティ認証情報を使用して送信されたか

  • リクエストが、別の AWS サービスによって送信されたかどうか

詳細については、CloudTrail userIdentity エレメントを参照してください。

例: Security Hub のログファイルエントリ

証跡は、指定した Amazon S3 バケットにイベントをログファイルとして配信できる設定です。CloudTrail ログファイルには、1 つ以上のログエントリがあります。イベントは任意の発生元からの 1 つのリクエストを表し、リクエストされたアクション、アクションの日時、リクエストのパラメータなどに関する情報が含まれます。CloudTrail ログファイルは、パブリック API 呼び出しの順序付けられたスタックトレースではないため、特定の順序では表示されません。

以下の例は、CreateInsight アクションの CloudTrail ログエントリを示しています。この例では、Test Insight というインサイトが作成されます。ResourceId 属性は、[Group by (グループ化の条件)] アグリゲータとして指定され、このインサイトに対するオプションのフィルタは指定されません。インサイトの詳細については、「のインサイトAWSセキュリティハブ」を参照してください。

{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AIDAJK6U5DS22IAVUI7BW", "arn": "arn:aws:iam::012345678901:user/TestUser", "accountId": "012345678901", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "TestUser" }, "eventTime": "2018-11-25T01:02:18Z", "eventSource": "securityhub.amazonaws.com", "eventName": "CreateInsight", "awsRegion": "us-west-2", "sourceIPAddress": "205.251.233.179", "userAgent": "aws-cli/1.11.76 Python/2.7.10 Darwin/17.7.0 botocore/1.5.39", "requestParameters": { "Filters": {}, "ResultField": "ResourceId", "Name": "Test Insight" }, "responseElements": { "InsightArn": "arn:aws:securityhub:us-west-2:0123456789010:insight/custom/f4c4890b-ac6b-4c26-95f9-e62cc46f3055" }, "requestID": "c0fffccd-f04d-11e8-93fc-ddcd14710066", "eventID": "3dabcebf-35b0-443f-a1a2-26e186ce23bf", "readOnly": false, "eventType": "AwsApiCall", "recipientAccountId": "012345678901" }