カスタムインサイトの管理 - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

カスタムインサイトの管理

加えてAWSSecurity Hub のインサイトを使用すると、カスタムインサイトを作成して、環境に固有の問題とリソースを追跡できます。

まったく新しいカスタムインサイトを作成するか、既存のカスタムインサイトまたはマネージド型インサイトから開始できます。

各インサイトは、以下のオプションで構成されます。

  • グループ化属性— グループ化属性によって、インサイト結果のリストに表示される項目が決まります。たとえば、グループ化属性が製品名の場合、インサイト結果には、検出結果の提供元別に検出結果の数が表示されます。

  • オプションのフィルタ— フィルターにより、インサイトの一致する検出結果が絞り込まれます。

    検出結果をクエリするとき、Security Hub はブール型 AND ロジックをフィルターのセットに適用します。つまり、検出結果は、提供されたすべてのフィルターに一致する場合にのみ一致となります。たとえば、フィルターが「製品名が GuardDuty」で「リソースタイプがAwsS3Bucket」と入力した場合、一致する結果はこの両方の基準に一致する必要があります。

    ただし、Security Hub は、同じ属性に異なる値を使用するフィルターにブール型 OR ロジックを適用します。たとえば、フィルターが「製品名が GuardDuty」で「製品名が Amazon Inspector である場合、検出結果は GuardDuty または Amazon インスペクタのいずれかによって生成されたときに一致となります。

リソース識別子またはリソースタイプをグループ化属性として使用する場合、インサイト結果には、一致する結果に含まれるすべてのリソースが含まれます。このリストは、リソースタイプフィルタに一致するリソースに限定されません。たとえば、インサイトは S3 バケットに関連付けられた調査結果を識別し、それらの調査結果をリソース ID でグループ化します。一致する結果には、S3 バケットリソースと IAM アクセスキーリソースの両方が含まれます。インサイトの結果には、両方のリソースが含まれます。

カスタムインサイトの作成 (コンソール)

コンソールから、まったく新しいインサイトを作成できます。

カスタムインサイトを作成するには

  1. を開くAWSSecurity Hub コンソールhttps://console.aws.amazon.com/securityhub/

  2. ナビゲーションペインで、[Insights] を選択します。

  3. [Create insight (インサイトの作成)] を選択します。

  4. インサイトのグループ化属性を選択するには:

    1. 検索ボックスを選択して、フィルタオプションを表示します。

    2. [グループ化の条件] を選択します。

    3. このインサイトに関連付けられている結果をグループ化するのに使用する属性を選択します。

    4. [Apply] を選択します。

  5. (オプション) このインサイトに使用する追加のフィルタを選択します。フィルタごとに、フィルタ条件を定義し、[] メニューから [] を選択します。適用

  6. [Create insight (インサイトの作成)] を選択します。

  7. [インサイトの名前] を入力し、[Create insight (インサイトの作成)] を選択します。

カスタムインサイトの作成 (Security Hub APIAWS CLI)

カスタムインサイトを作成するには、API 呼び出しまたはAWS Command Line Interface。

カスタムインサイト (Security Hub API、AWS CLI)

  • Security Hub API— を使用するCreateInsightオペレーション. カスタムインサイトを作成するときは、名前、フィルター、およびグループ化属性を指定する必要があります。

  • AWS CLI— コマンドラインで、create-insightコマンド。

    aws securityhub create-insight --name <insight name> --filters <filter values> --group-by-attribute <attribute name>

    aws securityhub create-insight --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' --group-by-attribute "ResourceId" --name "Critical role findings"

カスタムインサイトの変更 (コンソール)

既存のカスタムインサイトでグループ化値とフィルタを変更できます。変更を行った後、元のインサイトに更新内容を保存するか、更新されたバージョンを新しいインサイトとして保存できます。

インサイトを変更するには

  1. を開くAWSSecurity Hub コンソールhttps://console.aws.amazon.com/securityhub/

  2. ナビゲーションペインで、[Insights] を選択します。

  3. 変更するカスタムインサイトを選択します。

  4. 必要に応じてインサイト設定を編集します。

    • インサイトで検出結果のグループ化に使用される属性を変更するには:

      1. 既存のグループを削除するには、Xの横にある[Group by] (グループ化の条件)設定

      2. 検索ボックスに「」と入力します。

      3. グループ化に使用する属性を選択します。

      4. [Apply] を選択します。

    • インサイトからフィルタを削除するには、丸で囲まれたX] をクリックします。

    • インサイトにフィルタを追加するには:

      1. 検索ボックスに「」と入力します。

      2. フィルタとして使用する属性と値を選択します。

      3. [Apply] を選択します。

  5. 更新が完了したら、[Save insight (インサイトの保存)] を選択します。

  6. プロンプトが表示されたら、以下のいずれかの操作を行います。

    • 既存のインサイトを更新して変更を反映するには、更新<Insight_Name>[] を選択してから、インサイトの保存

    • 更新内容を使用して新しいインサイトを作成するには、[Save new insight (新しいインサイトの保存)] を選択します。[インサイトの名前] に入力し、[Save insight (インサイトの保存)] を選択します。

カスタムインサイトの変更 (Security Hub APIAWS CLI)

カスタムインサイトを変更するには、API 呼び出しまたはAWS Command Line Interface。

カスタムインサイト (Security Hub API、AWS CLI)

  • Security Hub API— を使用するUpdateInsightオペレーション. カスタムインサイトを識別するには、インサイト ARN を指定します。カスタムインサイトのインサイト ARN を取得するには、GetInsightsオペレーション. その後、名前、フィルタ、およびグループ化の値を更新できます。

  • AWS CLI— コマンドラインで、update-insightコマンド。

    aws securityhub update-insight --insight-arn <insight ARN> [--name <new name>] [--filters <new filters>] [--group-by-attribute <new grouping attribute>]

    aws securityhub update-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' --name "High severity role findings"

マネージド型インサイトからの新しいカスタムインサイトの作成 (コンソール)

マネージド型インサイトに変更を保存したり、マネージド型インサイトを削除したりすることはできません。マネージド型インサイトを新しいカスタムインサイトの基礎として使用できます。

マネージド型インサイトから新しいカスタムインサイトを作成するには

  1. を開くAWSSecurity Hub コンソールhttps://console.aws.amazon.com/securityhub/

  2. ナビゲーションペインで、[Insights] を選択します。

  3. 作成元になるマネージド型インサイトを選択します。

  4. 必要に応じてインサイト設定を編集します。

    • インサイトで検出結果のグループ化に使用される属性を変更するには:

      1. 既存のグループを削除するには、Xの横にある[Group by] (グループ化の条件)設定

      2. 検索ボックスに「」と入力します。

      3. グループ化に使用する属性を選択します。

      4. [Apply] を選択します。

    • インサイトからフィルタを削除するには、丸で囲まれたX] をクリックします。

    • インサイトにフィルタを追加するには:

      1. 検索ボックスに「」と入力します。

      2. フィルタとして使用する属性と値を選択します。

      3. [Apply] を選択します。

  5. 更新が完了したら、[Create insight (インサイトの作成)] を選択します。

  6. プロンプトが表示されたら、インサイト名[] を選択して [] を選択します。インサイトを作成する

カスタムインサイトの削除 (コンソール)

カスタムインサイトが不要になった場合は、削除できます。マネージド型インサイトを削除することはできません。

カスタムインサイトを削除するには

  1. を開くAWSSecurity Hub コンソールhttps://console.aws.amazon.com/securityhub/

  2. ナビゲーションペインで、[Insights] を選択します。

  3. 削除するカスタムインサイトを見つけます。

  4. そのインサイトには、その他のオプションを表示するためのアイコン (カードの右上隅にある 3 つのドット) を選択します。

  5. [削除] を選択します。

カスタムインサイトの削除 (Security Hub APIAWS CLI)

カスタムインサイトを削除するには、API 呼び出しまたはAWS Command Line Interface。

カスタムインサイトを削除するには (Security Hub APIAWS CLI)

  • Security Hub API— を使用するDeleteInsightオペレーション. 削除するカスタムインサイトを特定するには、インサイト ARN を指定します。カスタムインサイトのインサイト ARN を取得するには、GetInsightsオペレーション.

  • AWS CLI— コマンドラインで、delete-insightコマンド。

    aws securityhub delete-insight --insight-arn <insight ARN>

    aws securityhub delete-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"