Security Hub での結果の作成と更新

では AWS Security Hub、検出結果はセキュリティチェックまたはセキュリティ関連の検出の観測可能な記録です。

検出結果は、Security Hub の次のいずれかのソースから取得できます。

• Security Hub で有効になっているコントロールのセキュリティチェック

• 別の との有効な統合 AWS サービス

• サードパーティー製品との有効な統合

• カスタム統合

検出結果が作成されると、検出結果プロバイダーまたは Security Hub ユーザーは次のように更新できます。

• 検出結果プロバイダーは、Security Hub の BatchImportFindingsオペレーションAPIを使用して、検出結果に関する一般的な情報を更新できます。結果プロバイダーは、自身が作成した結果のみを更新できます。

• お客様は、Security Hub の BatchUpdateFindingsオペレーションを使用してAPI、検出結果の調査のステータスを更新BatchUpdateFindingsできます。 は、お客様に代わってチケット発行、インシデント管理、オーケストレーション、修復、またはSIEMツールでも使用できます。

  お客様は Security Hub コンソールで結果を更新することもできます。

Security Hub は、すべてのソースからの結果を AWS Security Finding 形式 () と呼ばれる標準の構文と形式に正規化しますASFF。の詳細については、ASFF「」を参照してくださいAWS セキュリティ検出結果形式 (ASFF）。

Security Hub は、過去 90 日間に更新されなかった検出結果を自動的に削除します。具体的には、Security Hub は、 UpdatedAtASFFフィールドの最新の値から 90 日間、アカウント内の既存の検出結果を保持します。Security Hub が無効になっていても、検出結果はこの日付から 90 日間保持されます。この 90 日間の終了時に、Security Hub はアカウントから検出結果を完全に削除します。検出結果プロバイダーは、Security Hub の BatchImportFindingsオペレーションを使用して検出結果APIを更新することで、 UpdatedAtフィールドの値を変更することができます。

クロスリージョン集約を有効にすると、Security Hub は、リンクされたリージョンから集約リージョンへの新規および更新された検出結果を自動的に集約します。詳細については、「Security Hub でのクロスリージョン集約について」を参照してください。