結果の詳細と履歴の管理と確認 - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

結果の詳細と履歴の管理と確認

AWS Security Hub コンソールで結果リストを表示するには、複数の方法があります。

  • 検出結果ページ — 有効なすべてのコントロールと製品統合の結果の包括的なリストを表示します。デフォルトでは、 NEWまたは NOTIFIED ワークフローステータスのアクティブな結果が表示されます。

  • コントロールの詳細ページ – 特定のコントロールについて過去 24 時間に生成された結果のリストを表示します。

  • インサイトページ — 一致するインサイトの検出結果のリストを表示します。インサイトはコレクション固有の結果です。詳細については、「インサイト結果と結果の表示とアクションの実行」を参照してください。

  • 統合ページ – 統合製品 AWS のサービス またはサードパーティー製品によって生成された結果のリストを表示します。

これらのリストの結果をフィルタリングしてグループ化し、特定のタイプの結果に絞ることができます。前のページで特定の結果を選択して、その詳細を表示することもできます。

プログラムで検出結果のリストを表示するには、Security Hub API の GetFindingsオペレーションを使用します。フィルターを含めて、特定のタイプの検出結果を取得できます。

クロスリージョン集約を有効にすると、複数のリージョンからコントロールステータス、セキュリティスコア、インサイト、検出結果を取得できます。集約リージョンでは、結果データには集約リージョンとリンクされたリージョンのデータが含まれます。他のリージョンでは、検出結果はそのリージョンにのみ固有です。クロスリージョン集約の設定については、「」を参照してくださいクロスリージョン集約

結果のフィルタリングとグループ化 (コンソール)

Security Hub コンソールの検出結果ページ、統合ページ、またはインサイトページに検出結果のリストを表示すると、レコードの状態とワークフローのステータスに基づいてリストが事前にフィルタリングされます。これは、インサイトまたは統合のフィルターに加えて追加されるフィルターです。

レコードの状態は、検出結果がアクティブかアーカイブされているかを示します。デフォルトでは、検出結果リストにはアクティブな検出結果のみが表示されます。検出結果は検出結果プロバイダーによってアーカイブできます。 AWS Security Hub また、関連付けられたリソースが削除されると、コントロールの検出結果も自動的にアーカイブされます。

ワークフローステータスは、結果の調査のステータスを示します。デフォルトでは、結果リストには、ワークフローステータスが NEW または NOTIFIED の結果のみが表示されます。検出結果のワークフローステータスを更新できます。

結果の集約を有効にし、集約リージョンにサインインしている場合は、結果とインサイトページでリージョン別に結果をフィルタリングできます。

コントロールの検出結果の操作については、「」を参照してくださいコントロールの検出結果リストのフィルタリング、ソート、ダウンロード。このページの情報は、「検出結果」、「インサイト」、「統合」ページの検出結果リストに適用されます。

フィルターを追加する

リストの範囲を変更するには、リストにフィルターを追加できます。

最大 10 個の属性でフィルタリングできます。各属性に対して、最大 20 個のフィルター値を提供できます。

結果リストをフィルタリングする場合、Security Hub は AND ロジックをフィルターセットに適用します。つまり、結果は、指定されたすべてのフィルターに一致する場合にのみ一致となります。例えば、 を製品名のフィルター GuardDuty として追加し、 をリソースタイプのフィルターAwsS3Bucketとして追加する場合、一致する検出結果はこれらの両方の基準と一致する必要があります。

ただし、同じ属性に異なる値を使用するフィルターの場合、Security Hub は OR ロジックを適用します。例えば、 GuardDuty と Amazon Inspector の両方を製品名のフィルター値として追加します。この場合、検出結果は GuardDuty または Amazon Inspector のいずれかによって生成された場合に一致します。

結果リストにフィルターを追加するには
  1. https://console.aws.amazon.com/securityhub/ で AWS Security Hub コンソールを開きます。

  2. 結果リストを表示するには、以下のいずれかを実行します。

    • Security Hub ナビゲーションペインで、[Findings] (結果) を選択します。

    • Security Hub ナビゲーションペインで、[Insights] (インサイト) を選択します。インサイトを選択します。次に、検出結果リストで、インサイトの結果を選択します。

    • Security Hub ナビゲーションペインで、[Integrations] (統合) を選択します。統合の [See findings] (結果を表示) を選択します。

  3. フィルターの追加ボックスのフィルター で、フィルターを選択します。

    会社名または製品名 でフィルタリングすると、コンソールは最上位の フィールドCompanyNameProductNameフィールドを使用します。API は、ProductFields にある値を使用します。

  4. フィルターの一致タイプを選択します。

    文字列フィルターの場合、次の比較オプションの中から選択できます。

    • is - フィルター値と完全に一致する値を検索します。

    • starts with - フィルター値で始まる値を検索します。

    • is not - フィルター値と一致しない値を検索します。

    • does not start with - フィルター値で始まらない値を検索します。

    数値フィルターの場合、単一の数値 ([Simple] (シンプル)) を指定するか、数値の範囲 ([Range] (範囲)) を指定するかを選択できます。

    日時フィルターの場合、現在の日時からの時間の長さ ([Rolling window] (ローリングウィンドウ)) を指定するか、特定の日付範囲 ([Fixed range] (固定範囲)) を指定するかを選択できます。

    複数のフィルターを追加した場合、以下のように相互作用します。

    • is および starts with フィルターは OR で結合されます。フィルター値のいずれかが含まれている場合に、値が一致となります。例えば、[Severity label is CRITICAL] (重要度ラベルは重大) および [Severity label is HIGH] (重要度ラベルは高)と指定している場合、結果には重要度が重大な結果と重要度の高い結果の両方が含まれます。

    • is not および does not start with フィルターは AND で結合されます。値は、これらのフィルター値を一切含まなかった場合にのみ一致となります。例えば、重要度ラベルが LOW ではなく重要度ラベルが MEDIUM でない場合、結果には重要度が低または中の結果は含まれません。

    フィールドで is フィルターがある場合、 を is not にしたり、 を同じフィールドでフィルターで開始したりすることはできません

  5. フィルター値を指定します。

    文字列フィルターの場合、フィルター値は大文字と小文字が区別されます。

    例えば、Security Hub からの結果の場合、[Product name] (製品名) は Security Hub です。EQUALS 演算子を使用して Security Hub からの結果を表示する場合は、フィルター値として Security Hub を入力する必要があります。security hub と入力すると、一致結果には何も表示されません。

    同様に、PREFIX 演算子を使用して Sec と入力すると、Security Hub の結果が表示されますが、sec と入力すると、Security Hub の一致結果には何も表示されません。

  6. [Apply] (適用) を選択します。

結果をグループ化する

フィルターを変更することに加えて、選択した属性の値に基づいて結果をグループ化することもできます。

結果をグループ化すると、結果のリストが、一致する結果内の選択した属性の値のリストに置き換えられます。各値に対して、他のフィルター条件に一致する結果の数がリストに表示されます。

例えば、検出結果を AWS アカウント ID でグループ化すると、アカウント識別子のリストと、各アカウントの一致する検出結果の数が表示されます。

なお、Security Hub で表示できる値の数は最大 100 個です。グループ化値の数が 100 を超える場合、最初の 100 個のみが表示されます。

属性値を選択すると、その値と一致した結果のリストが表示されます。

結果リスト内の結果をグループ化するには
  1. 結果リストで、[Add filters] (フィルターを追加する) ボックスを選択します。

  2. グループ化 でによるグループ化を選択します

  3. リストで、グループ化に使用する属性を選択します。

  4. [Apply] (適用) を選択します。

フィルター値またはグループ化属性を変更する

既存のフィルターの場合、フィルター値を変更することができます。グループ化属性を変更することもできます。

例えば、[Record state] (レコードの状態) フィルターを変更して、ACTIVE の結果ではなく ARCHIVED の結果を検索することができます。

フィルターまたはグループ化属性を編集するには
  1. フィルタリングされた結果リストで、フィルターまたはグループ化属性を選択します。

  2. [Group by] (グループ化の条件) で新しい属性を選択し、[Apply] (適用) を選択します。

  3. フィルターの場合は新しい値を選択し、[Apply] (適用) を選択します。

フィルターまたはグループ化属性を削除する

フィルターまたはグループ化属性を削除するには、x アイコンを選択します。

リストが自動的に更新され、変更が反映されます。グループ化属性を削除すると、リストがフィールド値のリストから結果のリストへと戻ります。

利用可能な結果情報

Security Hub コンソールで、または Security Hub API の GetFindingsオペレーションを呼び出すことで、さまざまな検出結果の詳細を取得できます。以下は、取得できる検出結果の詳細のタイプの一部リストです。

  • アプリケーションメタデータ – アプリケーションを作成した場合、検出結果に関係するアプリケーションの名前と Amazon リソースネーム (ARN) を指定します。 と は AWS 、アプリケーションタグを追加しました。でアプリケーションを作成することをお勧めしますAWS Service Catalog AppRegistry

  • 検出結果の履歴 – 過去 90 日間の検出結果の履歴を提供します。

  • Detective での調査結果 (コンソールのみ) — 自動ログ収集、セキュリティ分析、 AWS のサービス リソース探索ツールを使用して Detective での検出結果をさらに調査するためのリンクを提供します。この情報は、Detective を有効にした AWS のサービス 場合にのみ、他の から受け取った Security Hub の検出結果に含まれます。

  • 検出結果プロバイダーフィールド – 信頼度、重要度、関連する検出結果、重要度、検出結果タイプについて、検出結果プロバイダーの値を表示します。

  • Parameters – セキュリティコントロールの現在のパラメータ値を表示します。Security Hub は、コントロールのセキュリティチェックを行う際にこれらのパラメータ値を使用します。

  • 修復 — 失敗したコントロールの検出結果を修正する手順へのリンクを提供します。

  • リソース — 結果に関係する AWS リソースに関する情報を提供します。

  • リソースタグ — 検出結果に関係するリソースのタグキーと値に関する情報を提供します。タグ付け API の GetResourcesオペレーションでサポートされているリソースに AWS Resource Groups タグ付けできます。検出結果にリソースタグを含める方法の詳細については、「」を参照してくださいタグ

  • タイプと関連する検出結果 – 検出結果タイプに関する情報が含まれます。

  • 脆弱性の詳細 — 検出結果および影響を受けるパッケージで検出された脆弱性に関する情報。これらの詳細は、Amazon Inspector が Security Hub に送信する検出結果に対して Amazon Inspector を有効にすると表示されます。

以下のセクションを参照して、検出結果の詳細にアクセスする方法を理解してください。

結果履歴の確認

検出結果の履歴は、過去 90 日間に検出結果に加えられた変更を追跡できる Security Hub の機能です。アクティブな検出結果とアーカイブされた検出結果に利用できます。検出結果の履歴は、変更内容、発生日時、どのユーザーによって行われたかなど、検出結果に対して加えられた変更の履歴を改変不能な形で記録します。

特に、AWS Security Finding 形式 (ASFF) のフィールドに加えられた変更を追跡できます。Security Hub は、手動で行った変更と自動化ルールによる変更を追跡します。

検出結果の履歴は、Security Hub コンソール、API、および で確認できます AWS CLI。

Security Hub 管理者アカウントにサインインしている場合は、管理者アカウントとすべてのメンバーアカウントにおける検出結果の履歴を取得できます。

任意の方法を選択し、手順に従って検出結果の履歴を確認します。

Security Hub console
結果履歴の確認
  1. https://console.aws.amazon.com/securityhub/ で AWS Security Hub コンソールを開きます。

  2. 左のナビゲーションペインで [検出結果] を選択します。

  3. 検出結果を選択します。表示されるパネルで、[履歴] タブを選択します。

Security Hub API
結果履歴の確認
  1. を実行するかGetFindings、 を使用している場合は AWS CLI、 get-findings コマンドを実行します。必要に応じて適切なフィルターを使用して、履歴を表示する結果を特定します。API のレスポンスから検出結果の ProductArnId を取得できます。これらのフィールドの値は、3 番目のステップで必要になります。

  2. を実行するかGetFindingHistory、 を使用している場合は AWS CLIコマンドを実行しますget-finding-history

  3. ProductArn および Id フィールドを使用して、履歴を取得する検出結果を特定します。フィールドの詳細については、「AwsSecurityFindingIdentifier」を参照してください。リクエストあたり 1 つの検出結果の履歴のみ取得できます。

  4. StartTime. と の値を指定EndTimeして、結果履歴を特定の期間に制限します。

  5. MaxResults の値を指定すると、特定の結果件数に限定した検出結果の履歴を取得できます。指定しない場合、API レスポンスによって最初の 100 件の結果が返されます。

  6. NextToken の値を指定すると、次の 100 件の結果 (該当する場合) を表示できます。最初の API リクエストでは、NextToken の値は NULL でなければなりません。

次の CLI コマンドは、指定された結果の履歴を取得します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

$ aws securityhub get-finding-history \ --region us-west-2 \ --finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \ --max-results 2 \ --start-time "2021-09-30T15:53:35.573Z" \ --end-time "2021-09-31T15:53:35.573Z"

結果の詳細の確認

任意の方法を選択し、手順に従って Security Hub で検出結果の詳細を表示します。

Security Hub console
結果の詳細の確認
  1. https://console.aws.amazon.com/securityhub/ で AWS Security Hub コンソールを開きます。

  2. 結果リストを表示するには、次のいずれかのアクションを実行します。

    • Security Hub ナビゲーションペインで、[Findings] (結果) を選択します。必要に応じて検索フィルターを追加して、結果リストを絞り込みます。

    • Security Hub ナビゲーションペインで、[Insights] (インサイト) を選択します。インサイトを選択します。次に、検出結果リストで、インサイトの結果を選択します。

    • Security Hub ナビゲーションペインで、[Integrations] (統合) を選択します。統合の [See findings] (結果を表示) を選択します。

  3. 結果のタイトルを選択します。

  4. 検出結果の詳細パネルから、次のように追加のアクションを実行できます。

    • 結果の完全な JSON を表示するには、結果 ID を選択します。JSON の検出結果 から、検出結果 JSON をダウンロードします。

    • AWS Config ルールに基づく検出結果について、該当するルールのリストを表示するには、ルール を選択します。

    • Macie で調査を選択して、Macie コンソールの検出結果で検出された機密データを調査します。このオプションは、Amazon Macie とその機密データ自動検出機能を有効にする場合にのみ使用できます。

    • リソースを選択すると、結果に関係するリソースに関する情報が表示されます。

    • Amazon Detective で調査 を選択して、Detective コンソールで検出結果を調査します。このオプションは、Amazon Detective を有効にした場合にのみ使用できます。

    • 履歴タブを選択すると、最大 90 日間の検出結果履歴が表示されます。

注記

検出結果の詳細パネルの上部には、アカウント、重要度、日付、ステータスなどが含まれた、検出結果に関する概要情報が表示されます。と統合 AWS Organizations し、サインインしているアカウントが組織メンバーアカウントである場合、詳細パネルにはアカウント名が含まれます。Organizations 統合ではなく手動で招待されたメンバーアカウントの場合、詳細パネルにはアカウント ID のみが表示されます。

Security Hub API

結果の詳細の確認

Security Hub API の GetFindingsオペレーションを使用するか、 を使用している場合は AWS CLI get-findings コマンドを実行します。

Filters パラメータに 1 つ以上の値を指定して、取得する結果を絞り込むことができます。

結果の量が多すぎる場合は、 MaxResultsパラメータを使用して結果を指定された数に制限し、 NextTokenパラメータを使用して結果をページ分割できます。SortCriteria パラメータを使用して、結果を特定のフィールドでソートします。

クロスリージョン集約を有効にし、集約リージョンからこのオペレーションを呼び出すと、結果には集約リージョンとリンクされたリージョンの結果が含まれます。

次の CLI コマンドは、指定されたフィルターに一致する検出結果を取得し、LastObservedAtフィールドの降順でソートします。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

$ aws securityhub get-findings \ --filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100
PowerShell
結果の詳細の確認
  1. Get-SHUBFinding コマンドレットを使用します。

  2. オプションで、Filter パラメータを入力して、取得したい結果を絞り込むこともできます。

Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
注記

CompanyName または で結果をフィルタリングするとProductName、Security Hub は ProductFields ASFF オブジェクトの一部である値を使用します。Security Hub では、最上位の フィールドCompanyNameProductNameフィールドは使用されません。