翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Security Hub での検出結果の詳細と検出結果履歴の確認
In AWS Security Hub、検出結果は、セキュリティチェックまたはセキュリティ関連の検出の観測可能な記録です。Security Hub は、コントロールのセキュリティチェックを完了し、統合された から検出結果を取り込むときに検出結果を生成します。 AWS のサービス またはサードパーティー製品。各検出結果には、重要度評価や影響を受けるリソースに関する情報など、変更の履歴とその他の詳細が含まれます。
検出結果の履歴やその他の検出結果の詳細は、Security Hub コンソールで確認でき、Security Hub APIおよび を介してプログラムで確認することもできます。 AWS CLI.
分析を効率化するために、特定の結果を選択すると、Security Hub コンソールで結果パネルが開きます。パネルには、さまざまな検出結果の詳細を表示するためのさまざまなメニューとタブがあります。
- アクションメニュー
このメニューから、検出結果JSONの完了を確認したり、メモを追加したりできます。結果には、一度に複数のメモをアタッチすることはできません。このメニューには、検出結果のワークフローステータスを設定したり、Amazon のカスタムアクションに検出結果を送信したりするためのオプションもあります EventBridge。
- 調査メニュー
このメニューから、Amazon Detective で検出結果を調査できます。Detective は、IP アドレスや などのエンティティを抽出します。 AWS は、検出結果から のユーザーとなり、そのアクティビティを視覚化します。エンティティアクティビティを開始点として使用して、検出結果の原因と影響を調査できます。
- [Overview (概要)] タブ
このタブには、検出結果の概要が表示されます。例えば、検出結果がいつ作成され、最後に更新されたか、そのアカウントが存在するか、検出結果のソース (コントロールチェックや統合など)、および修復手順へのリンクは、Security Hub ドキュメントで確認できます。
概要タブ内のリソーススナップショットで、結果に関連するリソースの簡単な概要を確認できます。一部のリソースでは、リソースを開き、影響を受けるリソースを関連する に直接表示するオプションが含まれています。 AWS のサービス console。履歴スナップショットには、履歴が追跡されている最新の日付に検出結果に加えられた変更が最大 2 つ表示されます。日付は過去 90 日以内である必要があります。例えば、昨日 1 つの変更と今日 1 つの変更を行った場合、スナップショットには今日の変更のみが表示されます。以前のエントリを表示するには、履歴タブに切り替えます。
コンプライアンス行が展開され、詳細が表示されます。例えば、パラメータを含むコントロールの場合、セキュリティチェックを実行するときに Security Hub が使用する現在のパラメータ値を確認できます。
- リソースタブ
このタブには、検出結果に関連するリソースの詳細が表示されます。リソースを所有するアカウントにサインインしている場合は、関連する でリソースを表示できます。 AWS のサービス console。リソースの所有者でない場合、コンソールに が表示されます。 AWS アカウント 所有者の ID。
詳細 行には、 を表示して、検出結果に関するリソース固有の詳細が表示されます。 ResourceDetails 検出結果の セクションJSON。
タグ行には、検出結果に関係するリソースのタグキーと値情報が表示されます。でサポートされているリソース GetResources の オペレーション AWS Resource Groups タグ付けはタグ付けAPIできます。Security Hub は、新規または更新された検出結果を処理するときにサービスにリンクされたロールを介してこのオペレーションを呼び出し、 AWS Security Finding Format (ASFF)
Resource.Id
フィールドには、 AWS リソース ARN。Security Hub は無効なリソース を無視しますIDs。検出結果にリソースタグを含める方法の詳細については、「」を参照してくださいタグ。- 検出結果の履歴タブ
このタブは、過去 90 日間の検出結果の履歴を追跡します。検出結果履歴は、アクティブおよびアーカイブされた検出結果で使用できます。何を含む、結果に対する経時的な変更の不変の証跡を提供します。 AWS Security Finding 形式 (ASFF) フィールドが変更されました。変更日時とユーザー。最新の変更が最初に表示されます。変更には、Security Hub オートメーションルール を通じてユーザーが手動で、自動的に行った変更が含まれます。Security Hub 管理者アカウントにサインインしている場合、表示される検出結果の履歴は管理者アカウントとすべてのメンバーアカウント用です。
- 脅威タブ
このタブには、 からのデータが含まれます。 Action, Malware、および ProcessDetails 脅威のタイプやASFF、リソースがターゲットかアクターかなど、 の オブジェクト。このオブジェクトは通常、Amazon で発生した検出結果に適用されます GuardDuty。
- 脆弱性タブ
このタブには、 からのデータが表示されます。 Vulnerability 検出結果に関連するエクスプロイトまたは利用可能な修正があるかどうかASFFを含む、 の オブジェクト。このオブジェクトは通常、Amazon Inspector で発生した検出結果に適用されます。
各タブの行には、コピーまたはフィルターオプションが含まれます。例えば、ワークフローステータスが Notified の結果のパネル上にある場合は、ワークフローステータス行の横にあるフィルターオプションを選択できます。この値ですべての結果を表示 を選択すると、結果リストがフィルタリングされ、同じワークフローステータスの結果のみが表示されます。
次のセクションを参照して、検出結果についてこれらの詳細にアクセスする方法を理解してください。
結果の詳細と履歴を確認する手順
任意の方法を選択し、手順に従って Security Hub で検出結果の詳細を表示します。
クロスリージョン集約を有効にして集約リージョンにサインインすると、結果データには集約リージョンとリンクされたリージョンのデータが含まれます。他のリージョンでは、検出結果はそのリージョンにのみ固有です。クロスリージョン集約の詳細については、「Security Hub でのクロスリージョン集約について」を参照してください。
注記
CompanyName
または で結果をフィルタリングするとProductName
、Security Hub はProductFields
ASFFオブジェクトの一部である値を使用します。Security Hub では、最上位の フィールドCompanyName
と ProductName
フィールドは使用されません。