翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Security Hub CSPM での検出結果の詳細と履歴の確認
AWS Security Hub Cloud Security Posture Management (CSPM) では、検出結果はセキュリティチェックまたはセキュリティ関連の検出の観測可能なレコードです。Security Hub CSPM は、コントロールのセキュリティチェックを完了し、統合 AWS のサービス 製品またはサードパーティー製品から検出結果を取り込むときに検出結果を生成します。各検出結果には、変更の履歴や、重要度の評価や影響を受けるリソースに関する情報など、その他の詳細が含まれます。
Security Hub CSPM コンソールで、または Security Hub CSPM API または を使用してプログラムで、個々の検出結果の履歴やその他の詳細を確認できます AWS CLI。
分析を合理化するために、特定の検出結果を選択すると、Security Hub CSPM コンソールに検出結果パネルが表示されます。パネルには、検出結果の特定の詳細を確認するためのさまざまなメニューとタブが含まれています。
- アクションメニュー
このメニューから、検出結果の完全な JSON を確認したり、メモを追加したりできます。結果にアタッチできるメモは一度に 1 つだけです。このメニューには、検出結果のワークフローステータスを設定したり、Amazon EventBridge のカスタムアクションに検出結果を送信したりするためのオプションもあります。
- 調査メニュー
このメニューから、Amazon Detective で検出結果を調査できます。Detective は、検出結果から IP アドレスや AWS ユーザーなどのエンティティを抽出し、アクティビティを視覚化します。エンティティアクティビティを出発点として使用して、検出結果の原因と影響を調べることができます。
- [Overview (概要)] タブ
このタブには、検出結果の概要が表示されます。たとえば、検出結果がいつ作成され、最後に更新されたか、そのアカウントが存在するか、検出結果のソースを判断できます。コントロールの検出結果については、このタブには、関連する AWS Config ルールの名前と、Security Hub CSPM ドキュメントの修復ガイダンスへのリンクも表示されます。
概要タブのリソーススナップショットでは、検出結果に関連するリソースの概要を確認できます。一部のリソースでは、これには Open resource オプションが含まれており、関連する AWS のサービス コンソールの影響を受けるリソースに直接リンクされます。履歴スナップショットには、履歴が追跡されている最新の日付に検出結果に加えられた最大 2 つの変更が表示されます。たとえば、昨日 1 つの変更を行い、今日別の変更を行った場合、スナップショットには今日の変更が表示されます。以前のエントリを確認するには、履歴タブに切り替えます。
コンプライアンス行が展開され、詳細が表示されます。たとえば、コントロールにパラメータが含まれている場合、コントロールのセキュリティチェックを実行するときに Security Hub CSPM が現在使用しているパラメータ値を確認できます。
- [リソース] タブ
-
このタブには、検出結果に関連するリソースの詳細が表示されます。リソースを所有するアカウントにサインインしている場合は、該当する AWS のサービス コンソールでリソースを確認できます。リソースの所有者でない場合、このタブには所有者の AWS アカウント ID が表示されます。
詳細行には、検出結果のリソース固有の詳細が表示されます。検出結果ResourceDetailsのセクションが JSON 形式で表示されます。
タグ行には、検出結果に関連するリソースに割り当てられたタグキーと値が表示されます。 AWS Resource Groups タグ付け API の GetResources オペレーションでサポートされているリソースはタグ付けできます。Security Hub CSPM は、新規または更新された検出結果を処理するときにサービスにリンクされたロールを使用してこのオペレーションを呼び出し、 AWS Security Finding Format (ASFF)
Resource.Id
フィールドにリソースの ARN が入力されている場合はリソースタグを取得します。Security Hub CSPM は無効なリソース IDs。検出結果にリソースタグを含める方法の詳細については、「[タグ]」を参照してください。 - 履歴タブ
-
このタブは、検出結果の履歴を追跡します。検出結果履歴は、アクティブな検出結果とアーカイブされた検出結果に利用できます。時間の経過とともに結果に加えられた変更のイミュータブルな証跡を提供します。これには、ASFF フィールドの変更、変更の発生日時、ユーザーが含まれます。タブの各ページには、最大 20 個の変更が表示されます。最新の変更が最初に表示されます。
アクティブな検出結果の場合、検出結果履歴は最大 90 日間使用できます。アーカイブされた検出結果の場合、検出結果履歴は最大 30 日間使用できます。検出結果の履歴には、手動で行われた変更、または Security Hub CSPM オートメーションルールによって自動的に行われた変更が含まれます。
CreatedAt
フィールドや フィールドなど、最上位のタイムスタンプUpdatedAt
フィールドへの変更は含まれません。Security Hub CSPM 管理者アカウントにサインインしている場合、検出履歴は管理者アカウントとすべてのメンバーアカウントのものです。
- [脅威] タブ
-
このタブには、脅威のタイプやリソースがターゲットかアクターかなど、ASFF の Action、Malware、および ProcessDetails オブジェクトのデータが含まれます。これらの詳細は、通常、Amazon GuardDuty で発生した検出結果に適用されます。
- [脆弱性] タブ
-
このタブには、検出結果に関連するエクスプロイトや利用可能な修正があるかどうかなど、ASFF の Vulnerability オブジェクトからのデータが表示されます。これらの詳細は、通常、Amazon Inspector で発生した検出結果に適用されます。
各タブの行には、コピーまたはフィルターオプションが含まれます。たとえば、ワークフローステータスが Notified の結果のパネルを開くと、ワークフローステータス行の横にあるフィルターオプションを選択できます。この値を持つすべての検出結果を表示するを選択すると、Security Hub CSPM は検出結果テーブルをフィルタリングし、同じワークフローステータスの検出結果のみを表示します。
検出結果の詳細と履歴の確認
任意の方法を選択し、手順に従って Security Hub CSPM で検出結果の詳細を確認します。
クロスリージョン集約を有効にし、集約リージョンにサイインすると、集約リージョンとリンクされたリージョンからの検出結果が含まれます。他のリージョンでは、検出結果はそのリージョンにのみ固有です。クロスリージョン集約の詳細については、「Security Hub CSPM でのクロスリージョン集約について」を参照してください。
注記
CompanyName
または で結果をフィルタリングする場合ProductName
、Security Hub CSPM は ProductFields
ASFF オブジェクトの一部である値を使用します。Security Hub CSPM は、最上位の フィールドCompanyName
と ProductName
フィールドを使用しません。