翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Security Hub は AWS CloudTrail、Security Hub のユーザー、ロール、または AWS サービスによって実行されたアクションを記録するサービスである と統合されています。 CloudTrail は、Security Hub をイベントとしてAPI呼び出します。キャプチャされた呼び出しには、Security Hub コンソールからの呼び出しと、Security Hub APIオペレーションへのコード呼び出しが含まれます。証跡を作成する場合は、Security Hub の CloudTrail イベントなど、Amazon S3 バケットへのイベントの継続的な配信を有効にすることができます。証跡を設定しない場合でも、 CloudTrail コンソールのイベント履歴で最新のイベントを表示できます。が CloudTrail 収集する情報を使用して、Security Hub に対するリクエスト、リクエスト元の IP アドレス、リクエスト者、リクエスト日時などの詳細を確認できます。
設定と有効化の方法などの詳細については CloudTrail、「 AWS CloudTrail ユーザーガイド」を参照してください。
の Security Hub 情報 CloudTrail
CloudTrail アカウントを作成する AWS アカウント と、 は で有効になります。Security Hub でサポートされているイベントアクティビティが発生すると、そのアクティビティは CloudTrail イベント履歴の他の AWS サービスイベントとともにイベントに記録されます。 アカウントで最近のイベントを表示、検索、ダウンロードできます。詳細については、「イベント履歴を含む CloudTrail イベントの表示」を参照してください。
Security Hub のイベントなど、アカウントのイベントを継続的に記録する場合は、追跡を作成します。証跡により CloudTrail 、 はログファイルを Amazon S3 バケットに配信できます。デフォルトでは、コンソールで追跡を作成すると、すべての AWS リージョンに追跡が適用されます。証跡は、 AWS パーティション内のすべてのリージョンからのイベントをログに記録し、指定した Amazon S3 バケットにログファイルを配信します。さらに、 CloudTrail ログで収集されたイベントデータをさらに分析してそれに基づいて行動するように、他の AWS サービスを設定できます。詳細については、次を参照してください:
Security Hub は、すべての Security Hub APIアクションをイベントとして CloudTrail ログに記録することをサポートしています。Security Hub オペレーションのリストを表示するには、「Security Hub APIリファレンス」を参照してください。
次のアクションのアクティビティが にログ記録されると CloudTrail、 responseElementsの値は に設定されますnull。これにより、機密情報が CloudTrail ログに含まれなくなります。
-
BatchImportFindings -
GetFindings -
GetInsights -
GetMembers -
UpdateFindings
各イベントまたはログエントリには、誰がリクエストを生成したかという情報が含まれます。アイデンティティ情報は、以下を判別するのに役立ちます。
-
リクエストが root または AWS Identity and Access Management (IAM) ユーザー認証情報を使用して行われたかどうか
-
リクエストが、ロールとフェデレーティッドユーザーのどちらの一時的なセキュリティ認証情報を使用して送信されたか
-
リクエストが別の AWS サービスによって行われたかどうか
詳細については、 CloudTrail userIdentity 要素を参照してください。
例: Security Hub ログファイルのエントリ
証跡は、指定した Amazon S3 バケットにイベントをログファイルとして配信できるようにする設定です。 CloudTrail ログファイルには 1 つ以上のログエントリが含まれます。イベントは任意のソースからの単一のリクエストを表し、リクエストされたアクション、アクションの日時、リクエストパラメータなどに関する情報が含まれます。 CloudTrail ログファイルはパブリックAPIコールの順序付けられたスタックトレースではないため、特定の順序では表示されません。
次の例は、 CreateInsightアクションを示す CloudTrail ログエントリを示しています。この例では、Test
Insight というインサイトが作成されます。ResourceId 属性は、[Group by] (グループ化の条件) アグリゲータとして指定され、このインサイトに対するオプションのフィルターは指定されません。インサイトの詳細については、「Security Hub のインサイトの表示」を参照してください。
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAJK6U5DS22IAVUI7BW",
"arn": "arn:aws:iam::012345678901:user/TestUser",
"accountId": "012345678901",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "TestUser"
},
"eventTime": "2018-11-25T01:02:18Z",
"eventSource": "securityhub.amazonaws.com",
"eventName": "CreateInsight",
"awsRegion": "us-west-2",
"sourceIPAddress": "205.251.233.179",
"userAgent": "aws-cli/1.11.76 Python/2.7.10 Darwin/17.7.0 botocore/1.5.39",
"requestParameters": {
"Filters": {},
"ResultField": "ResourceId",
"Name": "Test Insight"
},
"responseElements": {
"InsightArn": "arn:aws:securityhub:us-west-2:0123456789010:insight/custom/f4c4890b-ac6b-4c26-95f9-e62cc46f3055"
},
"requestID": "c0fffccd-f04d-11e8-93fc-ddcd14710066",
"eventID": "3dabcebf-35b0-443f-a1a2-26e186ce23bf",
"readOnly": false,
"eventType": "AwsApiCall",
"recipientAccountId": "012345678901"
}