カスタムインサイト - AWS Security Hub

カスタムインサイト

AWS Security Hub のマネージド型インサイトに加えて、Security Hub にカスタムインサイトを作成して、環境に固有の問題とリソースを追跡できます。カスタムインサイトでは、問題のキュレーションされたサブセットを追跡することができます。

以下に、設定に役立つカスタムインサイトの例をいくつか示します。

  • 管理者アカウントを所有している場合は、カスタムインサイトを設定して、メンバーアカウントに影響を与えているクリティカルな結果および重要度の高い結果を追跡できます。

  • 特定の統合されていますAWSサービスでは、カスタムインサイトを設定して、そのサービスからのクリティカルな結果および重大度が高い結果を追跡できます。

  • サードパーティー統合に依存する場合、カスタムインサイトを設定して、その統合された製品からクリティカルな結果と重大度が高い結果を追跡できます。

まったく新しいカスタムインサイトを作成するか、既存のカスタムインサイトまたはマネージド型インサイトから作成を開始できます。

各インサイトは、次のオプションを使用して設定できます。

  • Grouping attribute (グループ化属性) - グループ化属性によって、インサイト結果リストに表示される項目が決定します。例えば、グループ化属性が [Product name] (製品名) の場合、インサイト結果には、結果プロバイダー別に結果の数が表示されます。

  • Optional filters (オプションのフィルター) - フィルターにより、インサイトの一致する結果が絞り込まれます。

    結果をクエリするとき、Security Hub はブール AND 論理をフィルターのセットに適用します。つまり、結果は、指定されたすべてのフィルターに一致する場合にのみ一致となります。例えば、フィルターが「製品名が GuardDuty」と「リソースタイプが AwsS3Bucket」である場合、一致となる結果はこれらの両方の条件に一致する必要があります。

    ただし、Security Hub では、同じ属性に異なる値を使用するフィルターにはブール OR 論理を適用します。例えば、フィルターが「製品名が GuardDuty」と「製品名が Amazon Inspector」である場合、結果は、GuardDuty または Amazon Inspector のいずれかによって生成されていれば一致となります。

リソース識別子またはリソースタイプをグループ化属性として使用する場合、インサイト結果には、一致する結果内のすべてのリソースが含まれます。このリストは、リソースタイプフィルターに一致するリソースに限定されません。例えば、インサイトは S3 バケットに関連付けられている結果を特定し、それらの結果をリソース識別子でグループ化します。一致する結果には、S3 バケットリソースと IAM アクセスキーリソースの両方が含まれます。インサイト結果には、両方のリソースが含まれます。

カスタムインサイトの作成 (コンソール)

コンソールから、まったく新しいインサイトを作成できます。

カスタムインサイトを作成するには

  1. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。

  2. ナビゲーションペインで、[Insights] (インサイト) を選択します。

  3. [Create insight] (インサイトの作成) を選択します。

  4. インサイトのグループ化属性を選択するには:

    1. 検索ボックスを選択して、フィルターオプションを表示します。

    2. [Group by] (グループ化の条件) を選択します。

    3. このインサイトに関連付けられている結果をグループ化するのに使用する属性を選択します。

    4. [Apply] を選択します。

  5. (オプション) このインサイトに使用する追加のフィルターを選択します。フィルターごとに、フィルター条件を定義し、[Apply] (適用) を選択します。

  6. [Create insight] (インサイトの作成) を選択します。

  7. [Insight name] (インサイトの名前) を入力し、[Create insight] (インサイトの作成) を選択します。

カスタムインサイトの作成 (Security Hub API、AWS CLI)

カスタムインサイトを作成するには、API コールまたは AWS Command Line Interface を使用します。

カスタムインサイトを作成するには (Security Hub API、AWS CLI)

  • Security Hub API - CreateInsight オペレーションを使用します。カスタムインサイトを作成するとき、名前、フィルター、およびグループ化属性を指定する必要があります。

  • AWS CLI - コマンドラインで create-insight コマンドを実行します。

    aws securityhub create-insight --name <insight name> --filters <filter values> --group-by-attribute <attribute name>

    aws securityhub create-insight --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' --group-by-attribute "ResourceId" --name "Critical role findings"

カスタムインサイトの変更 (コンソール)

既存のカスタムインサイトのグループ化値とフィルターを変更できます。変更後、元のインサイトのまま更新内容を保存するか、新しいインサイトとして更新されたバージョンを保存できます。

インサイトを変更するには

  1. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。

  2. ナビゲーションペインで、[Insights] (インサイト) を選択します。

  3. 変更するカスタムインサイトを選択します。

  4. 必要に応じてインサイト設定を編集します。

    • インサイトで結果のグループ化に使用される属性を変更するには:

      1. 既存のグループ化を削除するには、[Group by] (グループ化の条件) 設定の横にある X を選択します。

      2. 検索ボックスを選択します。

      3. グループ化に使用する属性を選択します。

      4. [Apply] を選択します。

    • インサイトからフィルターを削除するには、フィルターの横にある円で囲まれた X を選択します。

    • インサイトにフィルターを追加するには:

      1. 検索ボックスを選択します。

      2. フィルターとして使用する属性と値を選択します。

      3. [Apply] を選択します。

  5. 更新が完了したら、[Save insight] (インサイトの保存) を選択します。

  6. プロンプトが表示されたら、次のいずれかを実行します。

    • 既存のインサイトを更新して変更を反映させる場合は、[Update <Insight_Name>] (<Insight_Name> を更新) を選択してから、[Save insight] (インサイトの保存) を選択します。

    • 更新内容を使用して新しいインサイトを作成する場合は、[Save new insight] (新しいインサイトの保存) を選択します。[Insight name] (インサイトの名前) に入力して、[Save insight] (インサイトの保存) を選択します。

カスタムインサイトの変更 (Security Hub API、AWS CLI)

カスタムインサイトを変更するには、API 呼び出しを使用するか AWS Command Line Interface を使用します。

カスタムインサイトを変更するには (Security Hub API、AWS CLI)

  • Security Hub API - UpdateInsight オペレーションを使用します。カスタムインサイトを特定するには、インサイト ARN を指定します。カスタムインサイトのインサイト ARN を取得するには、GetInsights オペレーションを使用します。その後、名前、フィルター、およびグループ化値を更新できます。

  • AWS CLI - コマンドラインで update-insight コマンドを実行します。

    aws securityhub update-insight --insight-arn <insight ARN> [--name <new name>] [--filters <new filters>] [--group-by-attribute <new grouping attribute>]

    aws securityhub update-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' --name "High severity role findings"

マネージド型インサイトからの新しいカスタムインサイトの作成 (コンソール)

マネージド型インサイトに変更を保存したり、マネージド型インサイトを削除したりすることはできません。マネージド型インサイトを新しいカスタムインサイトのベースとして使用することはできます。

マネージド型インサイトから新しいカスタムインサイトを作成するには

  1. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。

  2. ナビゲーションペインで、[Insights] (インサイト) を選択します。

  3. 作成元になるマネージド型インサイトを選択します。

  4. 必要に応じてインサイト設定を編集します。

    • インサイトで結果のグループ化に使用される属性を変更するには:

      1. 既存のグループ化を削除するには、[Group by] (グループ化の条件) 設定の横にある X を選択します。

      2. 検索ボックスを選択します。

      3. グループ化に使用する属性を選択します。

      4. [Apply] を選択します。

    • インサイトからフィルターを削除するには、フィルターの横にある円で囲まれた X を選択します。

    • インサイトにフィルターを追加するには:

      1. 検索ボックスを選択します。

      2. フィルターとして使用する属性と値を選択します。

      3. [Apply] を選択します。

  5. 更新が完了したら、[Create insight] (インサイトの作成) を選択します。

  6. プロンプトが表示されたら、[Insight name] (インサイト名) に入力し、[Create insight] (インサイトの作成) を選択します。

カスタムインサイトの削除 (コンソール)

カスタムインサイトは、不要になった場合、削除できます。マネージド型インサイトは、削除することはできません。

カスタムインサイトを削除するには

  1. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。

  2. ナビゲーションペインで、[Insights] (インサイト) を選択します。

  3. 削除するカスタムインサイトを見つけます。

  4. そのインサイトで、その他のオプションを表示するためのアイコン (カードの右上隅にある 3 つのドット) を選択します。

  5. [削除] を選択します。

カスタムインサイトの削除 (Security Hub API、AWS CLI)

カスタムインサイトを削除するには、APIコールまたは AWS Command Line Interface を使用します。

カスタムインサイトを削除するには (Security Hub API、AWS CLI)

  • Security Hub API - DeleteInsight オペレーションを使用します。削除するカスタムインサイトを特定するには、インサイト ARN を指定します。カスタムインサイトのインサイト ARN を取得するには、GetInsights オペレーションを使用します。

  • AWS CLI - コマンドラインで delete-insight コマンドを実行します。

    aws securityhub delete-insight --insight-arn <insight ARN>

    aws securityhub delete-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"