カスタム製品インテグレーションを使用して調査結果を AWS Security Hub に送信する

Security Hub は、 AWS 統合サービスやサードパーティ製品によって生成された結果に加えて、他のカスタムセキュリティ製品によって生成された結果も使用できます。

BatchImportFindingsAPI オペレーションを使用して、これらの結果を手動で Security Hub に送信できます。

カスタム統合を設定する場合は、「Security Hub パートナー統合ガイド」で提供される「ガイドラインとチェックリスト」を使用します。

カスタムセキュリティ製品からの結果の送信に関する要件と推奨事項

BatchImportFindings API オペレーションを正常に呼び出すには、あらかじめ Security Hub を有効にしておく必要があります。

AWS セキュリティ検索フォーマット (ASFF) を使用して結果の詳細を指定する必要があります。カスタム統合からの結果には、以下の要件と推奨事項を使用します。

製品 ARN の設定

Security Hub を有効にすると、Security Hub 用のデフォルトの製品 Amazon リソースネーム (ARN) が現在のアカウントで生成されます。

この製品 ARN の形式は、arn:aws:securityhub:<region>:<account-id>:product/<account-id>/default です。例えば、arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default です。

BatchImportFindings API オペレーションを呼び出すときに、この製品 ARN を ProductArn 属性の値として使用します。

会社名と製品名の定義

BatchImportFindings を使用して、Security Hub に結果を送信するカスタム統合の優先会社名と製品名を設定します。

事前設定された会社名と製品名 (個人名とデフォルト名) のそれぞれが指定した名前で置き換えられ、Security Hub コンソールと各結果の JSON に表示されます。「BatchImportFindings を使用して結果を作成および更新する」を参照してください。

結果 ID の設定

Id 属性を使用して、独自の結果の ID を提供、管理、および増分する必要があります。

新しい結果にはそれぞれ固有の結果 ID が必要です。カスタム製品が同じ結果 ID で複数の結果を送信した場合、Security Hub は最初の結果のみを処理します。

アカウント ID の設定

AwsAccountId 属性を使用して、自分のアカウント ID を指定する必要があります。

作成日と更新日の設定

CreatedAt および UpdatedAt 属性に独自のタイムスタンプを渡す必要があります。

カスタム製品からの結果の更新

カスタム製品から新しい結果を送信するだけでなく、BatchImportFindings API オペレーションを使用して、カスタム製品から既存の結果を更新することもできます。

既存の結果を更新するには、既存の結果 ID を (Id 属性を介して) 使用します。リクエストで更新された適切な情報 (変更された UpdatedAt タイムスタンプを含む) を使用して、完全な結果を再送信します。

カスタム統合の例

次のカスタム製品の統合例をガイドとして使用して、独自のカスタムソリューションを作成できます。

Chef InSpec スキャンからの結果を Security Hub に送信する

Chef InSpecコンプライアンススキャンを実行し、結果を Security Hub AWS CloudFormation に送信するテンプレートを作成できます。

詳細については、「Chef InSpec および AWS Security Hub の継続的なコンプライアンスモニタリング」を参照してください。

Trivy によって検出されたコンテナの脆弱性を Security Hub へ送信する

AWS CloudFormation AquaSecurity Trivyコンテナに脆弱性がないかスキャンするテンプレートを作成し、その脆弱性の検出結果を Security Hub に送信できます。

詳細については、「AWS Security Hub Trivy によるコンテナ脆弱性スキャンのための CI/CD パイプラインを構築する方法」を参照してください。