Security Hub での検出結果の詳細と検出結果履歴の確認 - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub での検出結果の詳細と検出結果履歴の確認

In AWS Security Hub、検出結果は、セキュリティチェックまたはセキュリティ関連の検出の観測可能な記録です。Security Hub は、コントロールのセキュリティチェックを完了し、統合された から検出結果を取り込むときに検出結果を生成します。 AWS のサービス またはサードパーティー製品。各検出結果には、重要度評価や影響を受けるリソースに関する情報など、変更の履歴とその他の詳細が含まれます。

検出結果の履歴やその他の検出結果の詳細は、Security Hub コンソールで確認でき、Security Hub APIおよび を介してプログラムで確認することもできます。 AWS CLI.

分析を効率化するために、特定の結果を選択すると、Security Hub コンソールで結果パネルが開きます。パネルには、さまざまな検出結果の詳細を表示するためのさまざまなメニューとタブがあります。

アクションメニュー

このメニューから、検出結果JSONの完了を確認したり、メモを追加したりできます。結果には、一度に複数のメモをアタッチすることはできません。このメニューには、検出結果のワークフローステータスを設定したり、Amazon のカスタムアクションに検出結果を送信したりするためのオプションもあります EventBridge。

調査メニュー

このメニューから、Amazon Detective で検出結果を調査できます。Detective は、IP アドレスや などのエンティティを抽出します。 AWS は、検出結果から のユーザーとなり、そのアクティビティを視覚化します。エンティティアクティビティを開始点として使用して、検出結果の原因と影響を調査できます。

[Overview (概要)] タブ

このタブには、検出結果の概要が表示されます。例えば、検出結果がいつ作成され、最後に更新されたか、そのアカウントが存在するか、検出結果のソース (コントロールチェックや統合など)、および修復手順へのリンクは、Security Hub ドキュメントで確認できます。

概要タブ内のリソーススナップショットで、結果に関連するリソースの簡単な概要を確認できます。一部のリソースでは、リソースを開き、影響を受けるリソースを関連する に直接表示するオプションが含まれています。 AWS のサービス console。履歴スナップショットには、履歴が追跡されている最新の日付に検出結果に加えられた変更が最大 2 つ表示されます。日付は過去 90 日以内である必要があります。例えば、昨日 1 つの変更と今日 1 つの変更を行った場合、スナップショットには今日の変更のみが表示されます。以前のエントリを表示するには、履歴タブに切り替えます。

コンプライアンス行が展開され、詳細が表示されます。例えば、パラメータを含むコントロールの場合、セキュリティチェックを実行するときに Security Hub が使用する現在のパラメータ値を確認できます。

リソースタブ

このタブには、検出結果に関連するリソースの詳細が表示されます。リソースを所有するアカウントにサインインしている場合は、関連する でリソースを表示できます。 AWS のサービス console。リソースの所有者でない場合、コンソールに が表示されます。 AWS アカウント 所有者の ID。

詳細 行には、 を表示して、検出結果に関するリソース固有の詳細が表示されます。 ResourceDetails 検出結果の セクションJSON。

タグ行には、検出結果に関係するリソースのタグキーと値情報が表示されます。でサポートされているリソース GetResources の オペレーション AWS Resource Groups タグ付けはタグ付けAPIできます。Security Hub は、新規または更新された検出結果を処理するときにサービスにリンクされたロールを介してこのオペレーションを呼び出し、 AWS Security Finding Format (ASFF) Resource.Idフィールドには、 AWS リソース ARN。Security Hub は無効なリソース を無視しますIDs。検出結果にリソースタグを含める方法の詳細については、「」を参照してくださいタグ

検出結果の履歴タブ

このタブは、過去 90 日間の検出結果の履歴を追跡します。検出結果履歴は、アクティブおよびアーカイブされた検出結果で使用できます。何を含む、結果に対する経時的な変更の不変の証跡を提供します。 AWS Security Finding 形式 (ASFF) フィールドが変更されました。変更日時とユーザー。最新の変更が最初に表示されます。変更には、Security Hub オートメーションルール を通じてユーザーが手動で、自動的に行った変更が含まれます。Security Hub 管理者アカウントにサインインしている場合、表示される検出結果の履歴は管理者アカウントとすべてのメンバーアカウント用です。

脅威タブ

このタブには、 からのデータが含まれます。 Action, Malware、および ProcessDetails 脅威のタイプやASFF、リソースがターゲットかアクターかなど、 の オブジェクト。このオブジェクトは通常、Amazon で発生した検出結果に適用されます GuardDuty。

脆弱性タブ

このタブには、 からのデータが表示されます。 Vulnerability 検出結果に関連するエクスプロイトまたは利用可能な修正があるかどうかASFFを含む、 の オブジェクト。このオブジェクトは通常、Amazon Inspector で発生した検出結果に適用されます。

各タブの行には、コピーまたはフィルターオプションが含まれます。例えば、ワークフローステータスが Notified の結果のパネル上にある場合は、ワークフローステータス行の横にあるフィルターオプションを選択できます。この値ですべての結果を表示 を選択すると、結果リストがフィルタリングされ、同じワークフローステータスの結果のみが表示されます。

次のセクションを参照して、検出結果についてこれらの詳細にアクセスする方法を理解してください。

結果の詳細と履歴を確認する手順

任意の方法を選択し、手順に従って Security Hub で検出結果の詳細を表示します。

クロスリージョン集約を有効にして集約リージョンにサインインすると、結果データには集約リージョンとリンクされたリージョンのデータが含まれます。他のリージョンでは、検出結果はそのリージョンにのみ固有です。クロスリージョン集約の詳細については、「Security Hub でのクロスリージョン集約について」を参照してください。

Security Hub console
結果の詳細と履歴の確認 (コンソール)
  1. を開く AWS Security Hub の コンソールhttps://console.aws.amazon.com/securityhub/

  2. 結果リストを表示するには、次のいずれかのアクションを実行します。

    • Security Hub ナビゲーションペインで、[Findings] (結果) を選択します。必要に応じて検索フィルターを追加して、結果リストを絞り込みます。

    • Security Hub ナビゲーションペインで、[Insights] (インサイト) を選択します。インサイトを選択します。次に、検出結果リストで、インサイトの結果を選択します。

    • Security Hub ナビゲーションペインで、[Integrations] (統合) を選択します。統合の [See findings] (結果を表示) を選択します。

    • Security Hub ナビゲーションペインで、コントロール を選択します。

  3. 結果のタイトルを選択します。

  4. 検出結果パネルで、次のいずれかを実行します。

    • アクションメニューを選択して、結果に対してアクションを実行します。

    • 調査メニューを選択して、Amazon Detective の結果を調査します。

    • タブを選択すると、結果の詳細が表示されます。

注記

と統合する場合 AWS Organizations とサインインしているアカウントが組織メンバーアカウントである場合、検出結果パネルにはアカウント名が含まれます。Organizations ではなく手動で招待されたメンバーアカウントの場合、検出結果パネルにはアカウント ID のみが含まれます。

Security Hub API

結果の詳細と履歴の確認 (API)

を使用するGetFindings Security Hub の オペレーションAPI、または を使用している場合は AWS CLI、 を実行します。 get-findings コマンド。

Filters パラメータに 1 つ以上の値を指定して、取得する結果を絞り込むことができます。

結果の量が多すぎる場合は、 MaxResultsパラメータを使用して結果を指定された数に制限し、 NextTokenパラメータを使用して結果をページ分割できます。SortCriteria パラメータを使用して、結果を特定のフィールドでソートします。

クロスリージョン集約を有効にし、集約リージョンからこのオペレーションを呼び出すと、結果には集約リージョンとリンクされたリージョンの結果が含まれます。

次のCLIコマンドは、指定されたフィルターに一致する検出結果を取得し、LastObservedAtフィールドの降順でソートします。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

$ aws securityhub get-findings \ --filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100

結果履歴を確認するには、 を使用します。 GetFindingHistory オペレーション。を使用している場合 AWS CLI、 を実行します。 get-finding-history コマンド。

ProductArn および Id フィールドを使用して、履歴を取得する検出結果を特定します。これらのフィールドの詳細については、「」を参照してください。 AwsSecurityFindingIdentifier。 履歴は、リクエストごとに 1 つの結果に対してのみ取得できます。

次のCLIコマンドは、指定された結果の履歴を取得します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

$ aws securityhub get-finding-history \ --region us-west-2 \ --finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \ --max-results 2 \ --start-time "2021-09-30T15:53:35.573Z" \ --end-time "2021-09-31T15:53:35.573Z"
PowerShell

結果の詳細の確認 (PowerShell)

Get-SHUBFinding コマンドレットを使用します。

オプションで、Filter パラメータを入力して、取得したい結果を絞り込むこともできます。

次のコマンドレットは、提供されたフィルターに一致する検出結果を取得します。

Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
注記

CompanyName または で結果をフィルタリングするとProductName、Security Hub はProductFieldsASFFオブジェクトの一部である値を使用します。Security Hub では、最上位の フィールドCompanyNameProductNameフィールドは使用されません。