Security Hub CSPM での検出結果の詳細と履歴の確認 - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub CSPM での検出結果の詳細と履歴の確認

AWS Security Hub Cloud Security Posture Management (CSPM) では、検出結果はセキュリティチェックまたはセキュリティ関連の検出の観測可能なレコードです。Security Hub CSPM は、コントロールのセキュリティチェックを完了し、統合 AWS のサービス 製品またはサードパーティー製品から検出結果を取り込むときに検出結果を生成します。各検出結果には、変更の履歴や、重要度の評価や影響を受けるリソースに関する情報など、その他の詳細が含まれます。

Security Hub CSPM コンソールで、または Security Hub CSPM API または を使用してプログラムで、個々の検出結果の履歴やその他の詳細を確認できます AWS CLI。

分析を合理化するために、特定の検出結果を選択すると、Security Hub CSPM コンソールに検出結果パネルが表示されます。パネルには、検出結果の特定の詳細を確認するためのさまざまなメニューとタブが含まれています。

アクションメニュー

このメニューから、検出結果の完全な JSON を確認したり、メモを追加したりできます。結果にアタッチできるメモは一度に 1 つだけです。このメニューには、検出結果のワークフローステータスを設定したり、Amazon EventBridge のカスタムアクションに検出結果を送信したりするためのオプションもあります。

調査メニュー

このメニューから、Amazon Detective で検出結果を調査できます。Detective は、検出結果から IP アドレスや AWS ユーザーなどのエンティティを抽出し、アクティビティを視覚化します。エンティティアクティビティを出発点として使用して、検出結果の原因と影響を調べることができます。

[Overview (概要)] タブ

このタブには、検出結果の概要が表示されます。たとえば、検出結果がいつ作成され、最後に更新されたか、そのアカウントが存在するか、検出結果のソースを判断できます。コントロールの検出結果については、このタブには、関連する AWS Config ルールの名前と、Security Hub CSPM ドキュメントの修復ガイダンスへのリンクも表示されます。

概要タブのリソーススナップショットでは、検出結果に関連するリソースの概要を確認できます。一部のリソースでは、これには Open resource オプションが含まれており、関連する AWS のサービス コンソールの影響を受けるリソースに直接リンクされます。履歴スナップショットには、履歴が追跡されている最新の日付に検出結果に加えられた最大 2 つの変更が表示されます。たとえば、昨日 1 つの変更を行い、今日別の変更を行った場合、スナップショットには今日の変更が表示されます。以前のエントリを確認するには、履歴タブに切り替えます。

コンプライアンス行が展開され、詳細が表示されます。たとえば、コントロールにパラメータが含まれている場合、コントロールのセキュリティチェックを実行するときに Security Hub CSPM が現在使用しているパラメータ値を確認できます。

[リソース] タブ

このタブには、検出結果に関連するリソースの詳細が表示されます。リソースを所有するアカウントにサインインしている場合は、該当する AWS のサービス コンソールでリソースを確認できます。リソースの所有者でない場合、このタブには所有者の AWS アカウント ID が表示されます。

詳細行には、検出結果のリソース固有の詳細が表示されます。検出結果ResourceDetailsのセクションが JSON 形式で表示されます。

タグ行には、検出結果に関連するリソースに割り当てられたタグキーと値が表示されます。 AWS Resource Groups タグ付け API の GetResources オペレーションでサポートされているリソースはタグ付けできます。Security Hub CSPM は、新規または更新された検出結果を処理するときにサービスにリンクされたロールを使用してこのオペレーションを呼び出し、 AWS Security Finding Format (ASFF) Resource.Idフィールドにリソースの ARN が入力されている場合はリソースタグを取得します。Security Hub CSPM は無効なリソース IDs。検出結果にリソースタグを含める方法の詳細については、「[タグ]」を参照してください。

履歴タブ

このタブは、検出結果の履歴を追跡します。検出結果履歴は、アクティブな検出結果とアーカイブされた検出結果に利用できます。時間の経過とともに結果に加えられた変更のイミュータブルな証跡を提供します。これには、ASFF フィールドの変更、変更の発生日時、ユーザーが含まれます。タブの各ページには、最大 20 個の変更が表示されます。最新の変更が最初に表示されます。

アクティブな検出結果の場合、検出結果履歴は最大 90 日間使用できます。アーカイブされた検出結果の場合、検出結果履歴は最大 30 日間使用できます。検出結果の履歴には、手動で行われた変更、または Security Hub CSPM オートメーションルールによって自動的に行われた変更が含まれます。CreatedAt フィールドや フィールドなど、最上位のタイムスタンプUpdatedAtフィールドへの変更は含まれません。

Security Hub CSPM 管理者アカウントにサインインしている場合、検出履歴は管理者アカウントとすべてのメンバーアカウントのものです。

[脅威] タブ

このタブには、脅威のタイプやリソースがターゲットかアクターかなど、ASFF の ActionMalware、および ProcessDetails オブジェクトのデータが含まれます。これらの詳細は、通常、Amazon GuardDuty で発生した検出結果に適用されます。

[脆弱性] タブ

このタブには、検出結果に関連するエクスプロイトや利用可能な修正があるかどうかなど、ASFF の Vulnerability オブジェクトからのデータが表示されます。これらの詳細は、通常、Amazon Inspector で発生した検出結果に適用されます。

各タブの行には、コピーまたはフィルターオプションが含まれます。たとえば、ワークフローステータスが Notified の結果のパネルを開くと、ワークフローステータス行の横にあるフィルターオプションを選択できます。この値を持つすべての検出結果を表示するを選択すると、Security Hub CSPM は検出結果テーブルをフィルタリングし、同じワークフローステータスの検出結果のみを表示します。

検出結果の詳細と履歴の確認

任意の方法を選択し、手順に従って Security Hub CSPM で検出結果の詳細を確認します。

クロスリージョン集約を有効にし、集約リージョンにサイインすると、集約リージョンとリンクされたリージョンからの検出結果が含まれます。他のリージョンでは、検出結果はそのリージョンにのみ固有です。クロスリージョン集約の詳細については、「Security Hub CSPM でのクロスリージョン集約について」を参照してください。

Security Hub CSPM console
検出結果の詳細と履歴の確認
  1. https://console.aws.amazon.com/securityhub/ で AWS Security Hub Cloud Security Posture Management (CSPM) コンソールを開きます。

  2. 結果リストを表示するには、以下のいずれかを実行します。

    • ナビゲーションペインで 調査結果を選択します。必要に応じて検索フィルターを追加して、検出結果リストを絞り込みます。

    • ナビゲーションペインで、[Insights] を選択します。インサイトを選択します。次に、結果リストでインサイト結果を選択します。

    • ナビゲーションペインで、[統合] を選択します。統合の [検出結果を表示] を選択します。

    • ナビゲーションペインで [コントロール] を選択します。

  3. 検出結果を選択します。検出結果パネルには、検出結果の詳細が表示されます。

  4. 検出結果パネルで、次のいずれかを実行します。

    • 検出結果の特定の詳細を確認するには、タブを選択します。

    • 検出結果に対してアクションを実行するには、アクションメニューからオプションを選択します

    • Amazon Detective で検出結果を調査するには、調査オプションを選択します。

注記

と統合 AWS Organizations し、メンバーアカウントにサインインしている場合、検出結果パネルにはアカウント名が含まれます。Organizations ではなく手動で招待されたメンバーアカウントの場合、検出結果パネルにはアカウント ID のみが含まれます。

Security Hub CSPM API

Security Hub CSPM API の GetFindingsオペレーションを使用するか、 を使用している場合は get-findings コマンド AWS CLIを実行します。Filters パラメータに 1 つ以上の値を指定して、取得する結果を絞り込むことができます。

検出結果の量が多すぎる場合は、MaxResults パラメータを使用して結果を指定された数に制限し、NextToken パラメータを使用して検出結果をページ分割できます。SortCriteria パラメータを使用して、特定のフィールドで検出結果を並べ替えます。

たとえば、次の AWS CLI コマンドは、指定されたフィルター条件に一致する検出結果を取得し、 LastObservedAtフィールドで結果を降順でソートします。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

$ aws securityhub get-findings \ --filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100

検出結果の履歴を確認するには、GetFindingHistory オペレーションを使用します。を使用している場合は AWS CLI、 get-finding-history コマンドを実行します。ProductArn および Id フィールドを使用して、履歴を取得する検出結果を特定します。これらのフィールドの詳細については、「AwsSecurityFindingIdentifier」を参照してください。各リクエストは、1 つの結果のみの履歴を取得できます。

たとえば、次の AWS CLI コマンドは、指定された結果の履歴を取得します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

$ aws securityhub get-finding-history \ --region us-west-2 \ --finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \ --max-results 2 \ --start-time "2021-09-30T15:53:35.573Z" \ --end-time "2021-09-31T15:53:35.573Z"
PowerShell

Get-SHUBFinding コマンドレットを使用します。必要に応じて、 Filterパラメータを入力して、取得する結果を絞り込みます。

たとえば、次の コマンドレットは、指定されたフィルターに一致する検出結果を取得します。

Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
注記

CompanyName または で結果をフィルタリングする場合ProductName、Security Hub CSPM は ProductFields ASFF オブジェクトの一部である値を使用します。Security Hub CSPM は、最上位の フィールドCompanyNameProductNameフィールドを使用しません。