AWS CloudTrail を使用した AWS Security Hub API コールのログ記録

AWS Security Hub は AWS CloudTrail という、Security Hub のユーザー、ロール、または AWS サービスによって実行されたアクションを記録するサービスと統合しています。CloudTrail は、Security Hub の API コールをイベントとしてキャプチャします。キャプチャされたコールには、Security Hub コンソールからのコールと、Security Hub API オペレーションへのコードコールが含まれます。追跡を作成すると、Security Hub のイベントなどを含んだ Amazon S3 バケットへの CloudTrail イベントの継続的な送信を有効にすることができます。追跡を設定しない場合でも、CloudTrail コンソールの [Event history] (イベント履歴) で最新のイベントを表示できます。CloudTrail で収集された情報を使用して、Security Hub に対して実行されたリクエストや、そのリクエストが発信された IP アドレス、リクエストの実行者、リクエストの実行日時、およびその他の詳細情報を特定できます。

設定や有効化の方法など、CloudTrail の詳細については、「AWS CloudTrail ユーザーガイド」を参照してください。

CloudTrail での Security Hub 情報

CloudTrail は、AWS アカウントを作成すると、その中で有効になります。サポートされているイベントアクティビティが Security Hub で発生すると、そのアクティビティは [Event history] (イベント履歴) の他の AWS サービスのイベントと共に、CloudTrail イベントに記録されます。最近のイベントは、アカウントで表示、検索、ダウンロードできます。詳細については、「CloudTrail イベント履歴でのイベントの表示」を参照してください。

Security Hub のイベントなど、アカウントのイベントを継続的に記録する場合は、追跡を作成します。追跡を有効にすることで、CloudTrail でログファイルを Amazon S3 バケットに送信できるようになります。デフォルトでは、コンソールで追跡を作成すると、すべての AWS リージョンに追跡が適用されます。追跡は、AWS パーティションのすべてのリージョンからのイベントをログに記録し、指定した Amazon S3 バケットにログファイルを配信します。さらに、CloudTrail ログで収集したイベントデータをより詳細に分析し、それに基づく対応するためにその他の AWS サービスを設定できます。詳細については、次を参照してください:

• 「証跡作成の概要」

• CloudTrail がサポートされているサービスと統合

• CloudTrail の Amazon SNS 通知の設定

• 「複数のリージョンから CloudTrail ログファイルを受け取る」および「複数のアカウントから CloudTrail ログファイルを受け取る」

Security Hub では、すべての Security Hub API アクションを CloudTrail ログのイベントとしてログ記録することができます。Security Hub オペレーションのリストを表示するには、「Security Hub API リファレンス」を参照してください。

次のアクションのアクティビティが CloudTrail にログ記録されると、responseElements の値は null に設定されます。これにより、機密性の高い情報が CloudTrail ログに含まれることがなくなります。

• BatchImportFindings

• GetFindings

• GetInsights

• GetMembers

• UpdateFindings

各イベントまたはログエントリには、リクエストの生成者に関する情報が含まれます。アイデンティティ情報から以下を判断することができます。

• リクエストが、ルートと AWS Identity and Access Management (IAM) ユーザー認証情報のどちらを使用して送信されたか

• リクエストの送信に使用された一時的なセキュリティ認証情報に、ロールとフェデレーティッドユーザーのどちらが使用されたか

• リクエストが、別の AWS のサービスによって送信されたかどうか

詳細については、「CloudTrail userIdentity 要素」を参照してください。

例: Security Hub ログファイルのエントリ

追跡は、指定した Amazon S3 バケットにイベントをログファイルとして配信するように設定できるものです。CloudTrail のログファイルは、単一か複数のログエントリを含みます。イベントは任意のソースからの単一のリクエストを表し、リクエストされたアクション、アクションの日時、リクエストのパラメータなどの情報が含まれます。CloudTrail ログファイルは、パブリック API コールの順序付けられたスタックトレースではないため、特定の順序では表示されません。

次の例は、CreateInsight アクションを示す CloudTrail ログエントリです。この例では、Test Insight というインサイトが作成されます。ResourceId 属性は、[Group by] (グループ化の条件) アグリゲータとして指定され、このインサイトに対するオプションのフィルターは指定されません。インサイトの詳細については、「AWS Security Hub のインサイト」を参照してください。

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAJK6U5DS22IAVUI7BW",
        "arn": "arn:aws:iam::012345678901:user/TestUser",
        "accountId": "012345678901",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "TestUser"
    },
    "eventTime": "2018-11-25T01:02:18Z",
    "eventSource": "securityhub.amazonaws.com",
    "eventName": "CreateInsight",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "205.251.233.179",
    "userAgent": "aws-cli/1.11.76 Python/2.7.10 Darwin/17.7.0 botocore/1.5.39",
    "requestParameters": {
        "Filters": {},
        "ResultField": "ResourceId",
        "Name": "Test Insight"
    },
    "responseElements": {
        "InsightArn": "arn:aws:securityhub:us-west-2:0123456789010:insight/custom/f4c4890b-ac6b-4c26-95f9-e62cc46f3055"
    },
    "requestID": "c0fffccd-f04d-11e8-93fc-ddcd14710066",
    "eventID": "3dabcebf-35b0-443f-a1a2-26e186ce23bf",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "recipientAccountId": "012345678901"
}