カスタムインサイト - AWS Security Hub
カスタムインサイトの作成 (コンソール)カスタムインサイトの作成 (プログラマティック)カスタムインサイトの変更 (コンソール)カスタムインサイトの変更 (プログラマティック)マネージド型インサイトからの新しいカスタムインサイトの作成 (コンソール)カスタムインサイトの削除 (コンソール)カスタムインサイトの削除 (プログラマティック)

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

カスタムインサイト

AWS Security Hub のマネージド型インサイトに加えて、Security Hub にカスタムインサイトを作成して、環境に固有の問題とリソースを追跡できます。カスタムインサイトでは、問題のキュレーションされたサブセットを追跡することができます。

以下に、設定に役立つカスタムインサイトの例をいくつか示します。

  • 管理者アカウントを所有している場合は、カスタムインサイトを設定して、メンバーアカウントに影響を与えているクリティカルな結果および重要度の高い結果を追跡できます。

  • 特定の統合されていますAWSサービスでは、カスタムインサイトを設定して、そのサービスからのクリティカルな結果および重大度が高い結果を追跡できます。

  • サードパーティー統合に依存する場合、カスタムインサイトを設定して、その統合された製品からクリティカルな結果と重大度が高い結果を追跡できます。

まったく新しいカスタムインサイトを作成するか、既存のカスタムインサイトまたはマネージド型インサイトから作成を開始できます。

各インサイトは、次のオプションを使用して設定できます。

  • Grouping attribute (グループ化属性) - グループ化属性によって、インサイト結果リストに表示される項目が決定します。例えば、グループ化属性が [Product name] (製品名) の場合、インサイト結果には、結果プロバイダー別に結果の数が表示されます。

  • Optional filters (オプションのフィルター) - フィルターにより、インサイトの一致する結果が絞り込まれます。

    結果をクエリするとき、Security Hub はブール AND 論理をフィルターのセットに適用します。つまり、結果は、指定されたすべてのフィルターに一致する場合にのみ一致となります。例えば、フィルターが「製品名が GuardDuty」と「リソースタイプが AwsS3Bucket」である場合、一致となる結果はこれらの両方の条件に一致する必要があります。

    ただし、Security Hub では、同じ属性に異なる値を使用するフィルターにはブール OR 論理を適用します。例えば、フィルターが「製品名が GuardDuty」と「製品名が Amazon Inspector」である場合、結果は、GuardDuty または Amazon Inspector のいずれかによって生成されていれば一致となります。

リソース識別子またはリソースタイプをグループ化属性として使用する場合、インサイト結果には、一致する結果内のすべてのリソースが含まれます。このリストは、リソースタイプフィルターに一致するリソースに限定されません。例えば、インサイトは S3 バケットに関連付けられている結果を特定し、それらの結果をリソース識別子でグループ化します。一致する結果には、S3 バケットリソースと IAM アクセスキーリソースの両方が含まれます。インサイト結果には、両方のリソースが含まれます。

カスタムインサイトの作成 (コンソール)

コンソールから、まったく新しいインサイトを作成できます。

カスタムインサイトを作成するには

  1. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。

  2. ナビゲーションペインで、[Insights] (インサイト) を選択します。

  3. [Create insight] (インサイトの作成) を選択します。

  4. インサイトのグループ化属性を選択するには:

    1. 検索ボックスを選択して、フィルターオプションを表示します。

    2. [Group by] (グループ化の条件) を選択します。

    3. このインサイトに関連付けられている結果をグループ化するのに使用する属性を選択します。

    4. [Apply] (適用) を選択します。

  5. (オプション) このインサイトに使用する追加のフィルターを選択します。フィルターごとに、フィルター条件を定義し、[Apply] (適用) を選択します。

  6. [Create insight] (インサイトの作成) を選択します。

  7. [Insight name] (インサイトの名前) を入力し、[Create insight] (インサイトの作成) を選択します。

カスタムインサイトの作成 (プログラマティック)

お好みの方法を選択し、手順に従って Security Hub でプログラムに従ってカスタムインサイトを作成します。フィルターを指定して、インサイト内の結果のコレクションを特定のサブセットに絞り込むことができます。

次のタブには、カスタムインサイトを作成するための手順がいくつかの言語で記載されています。その他の言語でのサポートについては、構築に役立つツールAWSを参照してください。

Security Hub API

  1. CreateInsight オペレーションを実行します。

  2. Name パラメータにカスタムインサイトの名前を指定します。

  3. Filters パラメーターを入力して、インサイトに含める結果を指定します。

  4. GroupByAttribute パラメーターを入力して、インサイトに含まれる結果をグループ化するために使用する属性を指定します。

  5. オプションで、特定のフィールドで調査結果をソートする SortCriteria パラメーターを指定します。

クロスリージョン集約 を有効にしていて、集約リージョンからこの API を呼び出すと、インサイトは集約とリンクされたリージョンでの一致する結果に適用されます。

AWS CLI

  1. コマンドラインで、create-insight コマンドを実行します。

  2. name パラメータにカスタムインサイトの名前を指定します。

  3. filters パラメーターを入力して、インサイトに含める結果を指定します。

  4. group-by-attribute パラメーターを入力して、インサイトに含まれる結果をグループ化するために使用する属性を指定します。

クロスリージョン集計を有効にして、このコマンドを集約リージョンから実行した場合、インサイトは集約とリンクされたリージョンでの一致する結果に適用されます。

aws securityhub create-insight --name <insight name> --filters <filter values> --group-by-attribute <attribute name>

aws securityhub create-insight --name "Critical role findings" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' --group-by-attribute "ResourceId"
PowerShell

  1. New-SHUBInsight コマンドレットを使用します。

  2. Name パラメータにカスタムインサイトの名前を指定します。

  3. Filter パラメーターを入力して、インサイトに含める結果を指定します。

  4. GroupByAttribute パラメーターを入力して、インサイトに含まれる結果をグループ化するために使用する属性を指定します。

クロスリージョン集約を有効にしていて、集約リージョンからこのコマンドレットを使用すると、インサイトは集約とリンクされたリージョンでの一致する結果に適用されます。

$Filter = @{
    AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "XXX"
    }
    ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = 'FAILED'
    }
}
New-SHUBInsight -Filter $Filter -Name TestInsight -GroupByAttribute ResourceId

カスタムインサイトの変更 (コンソール)

既存のカスタムインサイトのグループ化値とフィルターを変更できます。変更後、元のインサイトのまま更新内容を保存するか、新しいインサイトとして更新されたバージョンを保存できます。

インサイトを変更するには

  1. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。

  2. ナビゲーションペインで、[Insights] (インサイト) を選択します。

  3. 変更するカスタムインサイトを選択します。

  4. 必要に応じてインサイト設定を編集します。

    • インサイトで結果のグループ化に使用される属性を変更するには:

      1. 既存のグループ化を削除するには、[Group by] (グループ化の条件) 設定の横にある X を選択します。

      2. 検索ボックスを選択します。

      3. グループ化に使用する属性を選択します。

      4. [Apply] (適用) を選択します。

    • インサイトからフィルターを削除するには、フィルターの横にある円で囲まれた X を選択します。

    • インサイトにフィルターを追加するには:

      1. 検索ボックスを選択します。

      2. フィルターとして使用する属性と値を選択します。

      3. [Apply] (適用) を選択します。

  5. 更新が完了したら、[Save insight] (インサイトの保存) を選択します。

  6. プロンプトが表示されたら、次のいずれかを実行します。

    • 既存のインサイトを更新して変更を反映させる場合は、[Update <Insight_Name>] (<Insight_Name> を更新) を選択してから、[Save insight] (インサイトの保存) を選択します。

    • 更新内容を使用して新しいインサイトを作成する場合は、[Save new insight] (新しいインサイトの保存) を選択します。[Insight name] (インサイトの名前) に入力して、[Save insight] (インサイトの保存) を選択します。

カスタムインサイトの変更 (プログラマティック)

カスタムインサイトを変更するには、希望の方法を選択し、手順に従います。

Security Hub API

  1. UpdateInsight オペレーションを実行します。

  2. カスタムインサイトを特定するには、インサイトの Amazon リソースネーム (ARN) を指定します。カスタムインサイトの ARN を取得するには、GetInsightsオペレーションを実行します。

  3. 必要に応じて、Name, FiltersGroupByAttribute パラメータを更新します。

AWS CLI

  1. コマンドラインで、update-insight コマンドを実行します。

  2. カスタムインサイトを特定するには、インサイトの Amazon リソースネーム (ARN) を指定します。カスタムインサイトの ARN を取得するには、get-insightsコマンドを実行します。

  3. 必要に応じて、name, filtersgroup-by-attribute パラメータを更新します。

aws securityhub update-insight --insight-arn <insight ARN> [--name <new name>] [--filters <new filters>] [--group-by-attribute <new grouping attribute>]

aws securityhub update-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' --name "High severity role findings"
PowerShell

  1. Update-SHUBInsight コマンドレットを使用します。

  2. カスタムインサイトを特定するには、インサイトの Amazon リソースネーム (ARN) を指定します。カスタムインサイトの ARN を取得するには、Get-SHUBInsightコマンドレットを使用します。

  3. 必要に応じて、Name, FilterGroupByAttribute パラメータを更新します。

$Filter = @{
    ResourceType = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "AwsIamRole"
    }
    SeverityLabel = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "HIGH"
    }
}

Update-SHUBInsight -InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" -Filter $Filter -Name "High severity role findings"

マネージド型インサイトからの新しいカスタムインサイトの作成 (コンソール)

マネージド型インサイトに変更を保存したり、マネージド型インサイトを削除したりすることはできません。マネージド型インサイトを新しいカスタムインサイトのベースとして使用することはできます。

マネージド型インサイトから新しいカスタムインサイトを作成するには

  1. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。

  2. ナビゲーションペインで、[Insights] (インサイト) を選択します。

  3. 作成元になるマネージド型インサイトを選択します。

  4. 必要に応じてインサイト設定を編集します。

    • インサイトで結果のグループ化に使用される属性を変更するには:

      1. 既存のグループ化を削除するには、[Group by] (グループ化の条件) 設定の横にある X を選択します。

      2. 検索ボックスを選択します。

      3. グループ化に使用する属性を選択します。

      4. [Apply] (適用) を選択します。

    • インサイトからフィルターを削除するには、フィルターの横にある円で囲まれた X を選択します。

    • インサイトにフィルターを追加するには:

      1. 検索ボックスを選択します。

      2. フィルターとして使用する属性と値を選択します。

      3. [Apply] (適用) を選択します。

  5. 更新が完了したら、[Create insight] (インサイトの作成) を選択します。

  6. プロンプトが表示されたら、[Insight name] (インサイト名) に入力し、[Create insight] (インサイトの作成) を選択します。

カスタムインサイトの削除 (コンソール)

カスタムインサイトは、不要になった場合、削除できます。マネージド型インサイトは、削除することはできません。

カスタムインサイトを削除するには

  1. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。

  2. ナビゲーションペインで、[Insights] (インサイト) を選択します。

  3. 削除するカスタムインサイトを見つけます。

  4. そのインサイトで、その他のオプションを表示するためのアイコン (カードの右上隅にある 3 つのドット) を選択します。

  5. [Delete] (削除) をクリックします。

カスタムインサイトの削除 (プログラマティック)

カスタムインサイトの削除は、希望の方法を選択し、手順に従います。

Security Hub API

  1. DeleteInsight オペレーションを実行します。

  2. 削除するカスタムインサイトを特定するには、インサイト ARN を指定します。カスタムインサイトの ARN を取得するには、GetInsightsオペレーションを実行します。

AWS CLI

  1. コマンドラインで、delete-insight コマンドを実行します。

  2. カスタムインサイトを特定するには、インサイト ARN を指定します。カスタムインサイトの ARN を取得するには、get-insightsコマンドを実行します。

aws securityhub delete-insight --insight-arn <insight ARN>

aws securityhub delete-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
PowerShell

  1. Remove-SHUBInsight コマンドレットを使用します。

  2. カスタムインサイトを特定するには、インサイト ARN を指定します。カスタムインサイトの ARN を取得するには、Get-SHUBInsightコマンドレットを使用します。

-InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"