AWS のサービス と AWS Security Hub との統合
AWS Security Hub は、複数の AWS のサービス との統合をサポートしています。
注記
統合の中には、一部の AWS リージョン でしか使用できないものがあります。
特定のリージョンで統合がサポートされていない場合は、Security Hub コンソールの [統合] ページのリストに表示されません。
詳細については、中国 (北京) および中国 (寧夏) でサポートされている統合 および AWS GovCloud (米国東部) と AWS GovCloud (米国西部) でサポートされている統合 を参照してください。
以下に示されていない限り、Security Hub に検出結果を送信する AWS のサービス 統合は、Security Hub を有効にした後で自動的にアクティブ化されます。Security Hub の検出結果を受け取る統合では、アクティベーションに追加の手順が必要になる場合があります。詳細については、各統合に関する情報を確認してください。
Security Hub との AWS サービスの統合の概要
Security Hub に結果を送信したり、Security Hub から結果を受信したりする AWS サービスの概要について説明します。
| 統合された AWS サービス | [Direction] (方向) |
|---|---|
|
結果の送信 |
|
|
結果の送信 |
|
|
結果の送信 |
|
|
結果の送信 |
|
|
結果の送信 |
|
|
結果の送信 |
|
|
結果の送信 |
|
|
結果の送信 |
|
|
結果の送信 |
|
|
結果の受信 |
|
|
結果の受信 |
|
|
結果の受信 |
|
|
結果の受信 |
|
|
結果の受信と更新 |
|
|
結果の受信 |
Security Hub に結果を送信する AWS サービス
次の AWS サービスは、Security Hub に結果を送信することにより、Security Hub と統合されます。Security Hub は、結果を AWS Security Finding 形式に変換します。
AWS Config (結果の送信)
AWS Config では、AWS リソースの設定の、査定、監査、評価を行うことができます。AWS Config は、すべての AWS リソース設定を継続的に監視および記録し、記録された設定を、必要な設定に照らして自動的に評価することができます。
AWS Config との統合を使用することで、AWS Config のマネージドおよびカスタムルールの評価を Security Hub の結果として確認することができます。これらの結果は、他の Security Hub の結果と一緒に表示でき、セキュリティ体制を包括的に概観できます。
AWS Config Amazon EventBridge を使用して AWS Config ルール評価を Security Hub に送信します。Security Hub は、このルール評価を AWS Security Finding 形式に従う結果に変換します。その後 Security Hub は、Amazon リソースネーム (ARN) や作成日など、影響を受けるリソースに関する詳細情報を取得することで、ベストエフォートベースで結果を強化します。AWS Config ルール評価のリソースタグは、Security Hub の検出結果には含まれていません。
この統合に関する詳細は、以下のセクションを参照してください。
Security Hub のすべての結果で、ASFF と呼ばれる標準の JSON 形式が使用されます。ASFF には、結果の検出元、影響を受けるリソース、結果の現在の状態に関する詳細が含まれます。AWS Config は、マネージドルールおよびカスタムルールの評価を EventBridge 経由で Security Hub に送信します。Security Hub は、ルール評価を ASFF に従う結果に変換し、ベストエフォートベースで結果を強化します。
AWS Config が Security Hub に送信する結果の種類
統合が有効化されると、AWS Config がすべての AWS Config マネージドルールおよびカスタムルールに関する評価を Security Hub に送信します。セキュリティコントロールのチェックを実行するために使用されるものなど、サービスリンクされた AWS Config ルール からの評価のみが除外されます。
AWS Config の結果を Security Hub に送信する
統合が有効化されると、Security Hub は AWS Config の結果を受信するために必要な許可を、自動的に割り当てます。Security Hub は、この統合を有効にし、Amazon EventBridge を介して AWS Config からの結果をインポートする安全で簡単な方法を提供するサービス間レベルの許可を使用しています。
結果が送信されるまでのレイテンシー
AWS Config で新しい結果が作成されると、通常 5 分以内に Security Hub で結果を閲覧することができます。
Security Hub が使用できない場合の再試行
AWS Config は、EventBridge を通じてベストエフォートベースで結果を Security Hub に送信します。イベントが Security Hub に正常に配信されなかった場合、EventBridge は最大で 24 時間または 185 回の、いずれか早い方で配信を再試行します。
Security Hub の既存の AWS Config 結果を更新する
AWS Config が Security Hub に結果を送信した後、検索アクティビティの追加観察を反映させるため、同じ結果に対する更新を Security Hub に送信することができます。更新は ComplianceChangeNotification イベントについてのみ送信されます。コンプライアンスの変更が行われない場合、更新は Security Hub に送信されません。Security Hub では、結果は、最新の更新から 90 日後、または更新が行われない場合は作成日から 90 日後に削除されます。
AWS Config 結果が存在するリージョン
AWS Config 結果は、リージョン毎に発生します。AWS Config は、同じリージョンかその結果が発生したリージョンにある Security Hub に結果を送信します。
AWS Config の結果を表示するには、Security Hub のナビゲーションペインで [Findings] (結果) を選択します。AWS Config の結果のみを表示するように結果をフィルタリングするには、検索バーのドロップダウンで [Product name] (製品名) をクリックします。[Config] (設定) をクリックし、[Apply] (適用) を選択します。
Security Hub での AWS Config の検出名の解釈
Security Hub が、AWS Config ルール評価を AWS Security Finding 形式 に従う結果に変換します。AWS Config ルール評価では、ASFF とは異なるイベントパターンが使用されます。次の表は、AWS Config ルールの評価フィールドとそれに対応する ASFF を、Security Hub に表示される通りにまとめたものです。
| Config ルール評価の検索タイプ | ASFF 結果タイプ | ハードコードされた値 |
|---|---|---|
| detail.awsAccountId | AwsAccountId | |
| detail.newEvaluationResult.resultRecordedTime | CreatedAt | |
| detail.newEvaluationResult.resultRecordedTime | UpdatedAt | |
| ProductArn | "arn:<partition>:securityhub:<region>::product/aws/config" | |
| ProductName | "Config" | |
| CompanyName | "AWS" | |
| リージョン | "eu-central-1" | |
| configRuleArn | GeneratorId, ProductFields | |
| detail.ConfigRuleARN/finding/hash | ID | |
| detail.configRuleName | Title, ProductFields | |
| detail.configRuleName | 説明 | 「この結果は、構成ルール ${detail.ConfigRuleName} のリソースコンプライアンスの変更に対して作成されます。」 |
| 構成項目「ARN」または Security Hub の computed ARN | Resources[i].id | |
| detail.resourceType | Resources[i].Type | "AwsS3Bucket" |
| Resources[i].Partition | "aws" | |
| Resources[i].Region | "eu-central-1" | |
| 構成項目「構成」 | Resources[i].Details | |
| SchemaVersion | 「2018-10-08」 | |
| Severity.Label | 以下の「重要度ラベルの解釈」を参照してください。 | |
| Types | ["Software and Configuration Checks"] | |
| detail.newEvaluationResult.complianceType | Compliance.Status | 「FAILED」、「NOT_AVAILABLE」、「PASSED」、または「WARNING」 |
| Workflow.Status | Compliance.Status が「PASSED」の状態で AWS Config 結果が生成された場合、または Compliance.Status が「FAILED」から「PASSED」に変更された場合には「RESOLVED」。それ以外の場合、Workflow.Status は「NEW」になります。この値は BatchUpdateFindings API オペレーションを使用して変更できます。 |
重要度ラベルの解釈
AWS Config ルール評価におけるすべての結果では、ASFF のデフォルトの重要度ラベルは [MEDIUM] です。結果の重要度ラベルは、BatchUpdateFindings API オペレーションで更新できます。
AWS Config からの一般的な結果
Security Hub は、AWS Config ルール評価を ASFF に従う結果に変換します。以下は、ASFF における AWS Config からの一般的な結果の例です。
注記
説明が 1,024 文字を超えると 1,024 文字まで切り捨てられ、末尾に「(truncated)」(切り捨て) と表示されます。
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/45g070df80cb50b68fa6a43594kc6fda1e517932", "ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/config", "ProductName": "Config", "CompanyName": "AWS", "Region": "eu-central-1", "GeneratorId": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-04-15T05:00:37.181Z", "UpdatedAt": "2022-04-19T21:20:15.056Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "s3-bucket-level-public-access-prohibited-config-integration-demo", "Description": "This finding is created for a resource compliance change for config rule: s3-bucket-level-public-access-prohibited-config-integration-demo", "ProductFields": { "aws/securityhub/ProductName": "Config", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/config/arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/46f070df80cd50b68fa6a43594dc5fda1e517902", "aws/config/ConfigRuleArn": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "aws/config/ConfigRuleName": "s3-bucket-level-public-access-prohibited-config-integration-demo", "aws/config/ConfigComplianceType": "NON_COMPLIANT" }, "Resources": [{ "Type": "AwsS3Bucket", "Id": "arn:aws:s3:::config-integration-demo-bucket", "Partition": "aws", "Region": "eu-central-1", "Details": { "AwsS3Bucket": { "OwnerId": "4edbba300f1caa608fba2aad2c8fcfe30c32ca32777f64451eec4fb2a0f10d8c", "CreatedAt": "2022-04-15T04:32:53.000Z" } } }], "Compliance": { "Status": "FAILED" }, "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } }
Security Hub を有効にすると、この統合が自動的に有効になり、AWS Config が Security Hub への検出結果を即座に送信開始します。
Security Hub への結果送信を停止するには、Security Hub コンソール、Security Hub API、または AWS CLI を使用します。
「統合先からの結果のフローの無効化と有効化 (コンソール)」または「統合先からの結果のフローの無効化 (Security Hub API、AWS CLI)」を参照してください。
AWS Firewall Manager (結果の送信)
Firewall Manager は、リソースのウェブアプリケーションファイアウォール (WAF) ポリシーまたはウェブアクセスコントロールリスト (ウェブ ACL) ルールが非準拠である場合に、結果を Security Hub に送信します。Firewall Manager は、AWS Shield Advanced がリソースを保護していない、または攻撃が特定された場合にも結果を送信します。
Security Hub を有効にすると、この統合は自動的に有効になります。Firewall Manager は、検出結果を Security Hub に送信します。
統合の詳細については、Security Hub コンソールの [Integrations] (統合) ページを参照してください。
Firewall Manager の詳細については、「AWS WAF 開発者ガイド」を参照してください。
Amazon GuardDuty (結果の送信)
GuardDuty は、生成されたすべての検出結果を Security Hub に送信します。
GuardDuty の新しい結果は、Security Hub に 5 分以内に送信されます。結果の更新は、GuardDuty 設定内の Amazon EventBridge の [Updated findings] (更新された調査結果) 設定に基づいて送信されます。
GuardDuty の [Settings] (設定) ページを使用して GuardDuty のサンプル結果を生成する場合、Security Hub はサンプル結果を受信し、結果タイプのプレフィックス [Sample] を省略します。例えば、GuardDuty [SAMPLE] Recon:IAMUser/ResourcePermissions でのサンプルの結果タイプは、Security Hub では Recon:IAMUser/ResourcePermissions と表示されます。
Security Hub を有効にすると、この統合は自動的に有効になります。GuardDuty は、直ちに検出結果を Security Hub に送信し始めます。
GuardDuty 統合の詳細については、「Amazon GuardDuty ユーザーガイド」の「AWS Security Hub との統合」を参照してください。
AWS Health (結果の送信)
AWS Health は、リソースのパフォーマンスと、AWS のサービスおよびアカウントの可用性を継続的に可視化します。AWS Health イベントを使用することで、サービスおよびリソースの変更が、AWS で実行されるアプリケーションにどのような影響を及ぼすか確認することができます。
AWS Health との統合には BatchImportFindings を使用しません。その代わりに、AWS Health はサービス間のイベントメッセージングを使用して、結果を Security Hub に送信します。
統合の詳細については、以下のセクションを参照してください。
Security Hub では、セキュリティの問題が調査結果として追跡されます。結果の中には、他の AWS のサービスやサードパーティーのパートナーが検出した問題に由来するものもあります。Security Hub には、セキュリティの問題を検出し、調査結果を生成するために使用する一連のルールもあります。
Security Hub には、これらすべてのソースからの結果を管理するためのツールが用意されています。結果の一覧を表示およびフィルタリングして、結果の詳細を表示できます。「AWS Security Hub で結果リストと詳細を表示する」を参照してください。結果の調査状況を追跡することもできます。「AWS Security Hub の結果に対してアクションを実行する」を参照してください。
Security Hub のすべての結果で、AWS Security Finding 形式 と呼ばれる標準の JSON 形式が使用されます。ASFF には、問題のソース、影響を受けるリソース、および結果の現在の状態に関する詳細が含まれます。
AWS Health は Security Hub に結果を送信する AWS サービスの1つです。
AWS Health が Security Hub に送信する結果の種類
統合が有効になると、AWS Health は生成されたすべてのセキュリティ関連の結果を Security Hub に送信します。結果は AWS Security Finding 形式 を使用して Security Hub に送信されます。セキュリティ関連の調査結果は、次のように定義されています。
-
AWS セキュリティサービスに関連するすべての検索
-
AWS Health の[typeCode] で検出された
security、abuse、またはcertificateという言葉を含む結果 -
AWS Health サービスが
riskまたはabuseであることを示す結果
AWS Health の結果を Security Hub に送信する
AWS Health の結果を受け入れることを選択した場合、Security Hub は AWS Health の調査結果を受信するのに必要な許可を自動的に割り当てます。Security Hub は、この統合を有効にし、Amazon EventBridge を介して AWS Health からの調査結果をユーザーに代わってインポートする安全で簡単な方法を提供するサービス間レベルの許可を使用しています。[Accept Findings] (結果を受け入れる) を選択すると、AWS Health の結果を使用する許可が Security Hub に付与されます。
結果が送信されるまでのレイテンシー
AWS Health で新しい結果が作成されると、通常 5 分以内に Security Hub へ送信されます。
Security Hub が使用できない場合の再試行
AWS Health は、EventBridge を通じてベストエフォートベースで結果を Security Hub に送信します。イベントが Security Hub に正常に配信されない場合、EventBridge は 24 時間のイベントの送信を再試行します。
Security Hub の既存の結果を更新する
AWS Health が結果を Security Hub に送信した後に、検索アクティビティの追加観測を反映するために、同じ結果に対する更新を Security Hub に送信することができます。
検査結果が存在するリージョン
グローバルイベントの場合、AWS Health は、us-east-1 (AWS パーティション)、cn-northwest-1 (中国パーティション)、gov-us-west-1 (GovCloud パーティション) の Security Hub に結果を送信します。AWS Health は、同じリージョン、またはイベントが発生したリージョンの Security Hub に、リージョン固有のイベントを送信します。
Security Hub で AWS Health の調査結果を表示するには、ナビゲーションパネルから [Findings] (結果) を選択します。AWS Health の結果のみを表示するようにフィルター処理するには、製品名フィールドから [Health] (ヘルス) を選択します。
Security Hub での AWS Health の検出名の解釈
AWS Health は、AWS Security Finding 形式 を使用して結果を Security Hub に送信します。AWS Health の結果には、Security Hub ASFF 形式とは異なるイベントパターンが使用されます。次の表は、AWS Health の結果フィールドとそれに対応する ASFF が Security Hub に表示される順に詳細がまとめられています。
| Health 結果タイプ | ASFF 結果タイプ | ハードコードされた値 |
|---|---|---|
| アカウント | AwsAccountId | |
| detail.StartTime | CreatedAt | |
| detail.eventDescription.latestDescription | 説明 | |
| detail.eventTypeCode | GeneratorId | |
| detail.eventArn (including account) + hash of detail.startTime | ID | |
| 「arn: aws: securityhub:<region>:: product/aws/health」 | ProductArn | |
| アカウントまたは resourceId | Resources[i].id | |
| Resources[i].Type | 「その他」 | |
| SchemaVersion | 「2018-10-08」 | |
| Severity.Label | 以下の「重要度ラベルの解釈」を参照してください。 | |
| 「AWS Health -」detail.eventTypeCode | タイトル | |
| - | Types | ["Software and Configuration Checks"] |
| event.time | UpdatedAt | |
| Health コンソール上のイベントの URL | SourceUrl |
重要度ラベルの解釈
ASFF 結果の重要度ラベルは、次のロジックを使用して決定されます。
-
次の場合、重要度は [CRITICAL]:
-
AWS Health の結果の
serviceフィールドの値がRisk -
AWS Health の結果の
typeCodeフィールドの値がAWS_S3_OPEN_ACCESS_BUCKET_NOTIFICATION -
AWS Health の結果の
typeCodeフィールドの値がAWS_SHIELD_INTERNET_TRAFFIC_LIMITATIONS_PLACED_IN_RESPONSE_TO_DDOS_ATTACK -
AWS Health の結果の
typeCodeフィールドの値がAWS_SHIELD_IS_RESPONDING_TO_A_DDOS_ATTACK_AGAINST_YOUR_AWS_RESOURCES
次の場合、重要度は [HIGH]:
-
AWS Health の結果の
serviceフィールドの値がAbuse -
AWS Health 結果の
typeCodeフィールドの値にSECURITY_NOTIFICATIONが含まれている -
typeCode結果の AWS Health フィールドの値にABUSE_DETECTIONが含まれている
次の場合、重要度は [MEDIUM]:
-
結果の
serviceフィールドが次のいずれかである。ACM、ARTIFACT、AUDITMANAGER、BACKUP、CLOUDENDURE、CLOUDHSM、CLOUDTRAIL、CLOUDWATCH、CODEGURGU、COGNITO、CONFIG、CONTROLTOWER、DETECTIVE、DIRECTORYSERVICE、DRS、EVENTS、FIREWALLMANAGER、GUARDDUTY、IAM、INSPECTOR、INSPECTOR2、IOTDEVICEDEFENDER、KMS、MACIE、NETWORKFIREWALL、ORGANIZATIONS、RESILIENCEHUB、RESOURCEMANAGER、ROUTE53、SECURITYHUB、SECRETSMANAGER、SES、SHIELD、SSO、WAF -
AWS Health 結果の [typeCode] フィールドに値
CERTIFICATEが含まれている -
AWS Health 結果の [typeCode] フィールドに値
END_OF_SUPPORTが含まれている
-
AWS Health からの一般的な結果
AWS Health は AWS Security Finding 形式 を使用して結果を Security Hub に送信します。以下に、AWS Health からの一般的な結果の例を示します。
注記
説明が 1,024 文字を超えると 1,024 文字まで切り捨てられ、末尾に (truncated) (切り捨て) と表示されます。
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:health:us-east-1:123456789012:event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96/101F7FBAEFC663977DA09CFF56A29236602834D2D361E6A8CA5140BFB3A69B30", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/health", "GeneratorId": "AWS_SES_CMF_PENDING_TO_SUCCESS", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-01-07T16:34:04.000Z", "UpdatedAt": "2022-01-07T19:17:43.000Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "AWS Health - AWS_SES_CMF_PENDING_TO_SUCCESS", "Description": "Congratulations! Amazon SES has successfully detected the MX record required to use 4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com as a custom MAIL FROM domain for verified identity cmf.pinpoint.sysmon-iad.adzel.com in AWS Region US East (N. Virginia).\\n\\nYou can now use this MAIL FROM domain with cmf.pinpoint.sysmon-iad.adzel.com and any other verified identity that is configured to use it. For information about how to configure a verified identity to use a custom MAIL FROM domain, see http://docs.aws.amazon.com/ses/latest/DeveloperGuide/mail-from-set.html .\\n\\nPlease note that this email only applies to AWS Region US East (N. Virginia).", "SourceUrl": "https://phd.aws.amazon.com/phd/home#/event-log?eventID=arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "ProductFields": { "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/health/arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "aws/securityhub/ProductName": "Health", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "Other", "Id": "4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com" } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } } ] }
Security Hub を有効にすると、この統合が自動的に有効になり、AWS Health が Security Hub への検出結果を即座に送信開始します。
Security Hub への結果送信を停止するには、Security Hub コンソール、Security Hub API、AWS CLI を使用します。
「統合先からの結果のフローの無効化と有効化 (コンソール)」または「統合先からの結果のフローの無効化 (Security Hub API、AWS CLI)」を参照してください。
AWS Identity and Access Management Access Analyzer (結果の送信)
IAM Access Analyzer では、すべての結果が Security Hub に送信されます。
IAM Access Analyzer は、論理ベースの推論を使用して、アカウントでサポートされるリソースに適用されたリソースベースのポリシーを分析します。IAM Access Analyzer は、外部プリンシパルがアカウント内のリソースにアクセスすることを許可するポリシーステートメントを検出すると、検出結果を生成します。
IAM Access Analyzer では、組織に適用されるアナライザーの検出結果を確認できるのは管理者アカウントだけです。組織アナライザーの場合、AwsAccountId ASFF フィールドには管理者アカウント ID が反映されます。ProductFields 下の ResourceOwnerAccountフィールドには、検出結果が発見されたアカウントが表示されます。アカウントごとにアナライザーを個別に有効にすると、Security Hub は複数の検出結果を生成します。1 つは管理者アカウント ID を識別し、もう 1 つはリソースアカウント ID を識別します。
詳細については、「IAM ユーザーガイド」の「AWS Security Hub との統合」を参照してください。
Amazon Inspector (結果の送信)
Amazon Inspector は、AWS のワークロードにおける脆弱性を継続的にスキャンする脆弱性管理サービスです。Amazon Inspector は、Amazon Elastic Container Registry に存在する EC2 インスタンスとコンテナイメージを自動的に検出してスキャンします。このスキャンでは、ソフトウェアの脆弱性と意図しないネットワークへのエクスポージャーがないかチェックします。
Security Hub を有効にすると、この統合は自動的に有効になります。Amazon Inspector から生成されたすべての検出結果が Security Hub に直ちに送信開始されます。
統合の詳細については、「Amazon Inspector ユーザーガイド」の「AWS Security Hub との統合」を参照してください。
Security Hub は、Amazon Inspector Classic から結果を受信することもできます。Amazon Inspector Classic は、サポートされているすべてのルールパッケージの評価実行によって生成された Security Hub に、結果を送信します。
統合の詳細については、「Amazon Inspector Classic ユーザーガイド」の「AWS Security Hub との統合」を参照してください。
Amazon Inspector と Amazon Inspector Classic の結果では、同じ製品の ARN が使用されます。Amazon Inspector の調査結果には、ProductFields に次のエントリがあります。
"aws/inspector/ProductVersion": "2",
AWS IoT Device Defender (結果の送信)
AWS IoT Device Defender は、IoT デバイスの設定の監査、異常動作の検出を目的とした接続デバイスのモニタリング、セキュリティリスクの軽減を行うセキュリティサービスです。
AWS IoT Device Defender と Security Hub の両方を有効にしたら、Security Hub コンソールの [Integrations] (統合) ページ
AWS IoT Device Defender Audit は、特定の監査チェックタイプと監査タスクに関する一般情報を含むチェックの概要を Security Hub に送信します。AWS IoT Device DefenderDetect は、機械学習 (ML)、統計的動作、および静的動作に関する違反の検出結果を Security Hub に送信します。Audit も、検出結果の更新を Security Hub に送信します。
この統合の詳細については、「AWS IoT デベロッパーガイド」の「AWS Security Hub との統合」を参照してください。
Amazon Macie (結果の送信)
Macie からの結果では、組織が Amazon S3 に保存しているデータに、ポリシー違反の可能性があること、または個人を特定できる情報 (PII) などの機密データが存在することを示すことがあります。
Security Hub を有効にすると、Macie はポリシー検出結果を自動的に Security Hub に送信し始めます。機密データの調査結果も Security Hub に送信するように統合を構成できます。
Security Hub では、ポリシーまたは機密データの結果のタイプが、ASFF と互換性のある値に変更されます。例えば、Macie での Policy:IAMUser/S3BucketPublic 結果タイプは、Security Hub では Effects/Data Exposure/Policy:IAMUser-S3BucketPublic と表示されます。
Macie は、生成されたサンプル結果を Security Hub に送信します。結果のサンプルでは、影響を受けるリソースの名前は macie-sample-finding-bucket であり、Sample フィールドの値は true です。
詳細については、「Amazon Macie ユーザーガイド」の「Amazon Macie とAWS Security Hub との統合」を参照してください。
AWS Systems Manager Patch Manager (結果の送信)
AWS Systems Manager Patch Manager は、お客様のフリート内のインスタンスがパッチコンプライアンス標準に準拠していない場合、結果を Security Hub に送信します。
Patch Manager は、セキュリティ関連のアップデートと他のタイプのアップデートの両方でマネージドインスタンスにパッチを適用するプロセスを自動化します。
Security Hub を有効にすると、この統合は自動的に有効になります。Systems Manager Patch Manager は、検出結果を Security Hub に直ちに送信します。
Patch Manager の使用の詳細については、「AWS Systems Manager ユーザーガイド」の「AWS Systems Manager Patch Manager」を参照してください。
Security Hub から結果を受け取る AWS サービス
次の AWS サービスは、Security Hub と統合され、Security Hub から結果を受け取ります。特に明記されている場合、統合されたサービスは結果を更新する場合もあります。この場合、統合されたサービスで行った更新が見つかると、Security Hub にも反映されます。
AWS Audit Manager (結果の受信)
AWS Audit Manager で Security Hub の結果を受け取る方法 これらの結果は、Audit Manager ユーザーが監査の準備をするうえで役立ちます。
Audit Manager の詳細については、「AWS Audit Manager ユーザーガイド」を参照してください。AWSAWS Audit Manager でサポートされている Security Hub のチェックでは、Security Hub が結果を Audit Manager に送信するコントロールの一覧が表示されます。
AWS Chatbot (結果の受信)
AWS Chatbot は、Slack チャンネルと Amazon Chime チャットルームの AWS リソースの監視と操作に役立つ対話型エージェントです。
AWS Chatbot で Security Hub の結果を受け取る方法
AWS Chatbot の Security Hub との統合についての詳細は、「AWS Chatbot 管理者ガイド」の「Security Hub との統合の概要」を参照してください。
Amazon Detective (結果の受信)
Detective は AWS リソースからログデータを自動的に収集し、機械学習、統計分析、グラフ理論を使用して、セキュリティ調査をより迅速かつ効率的に視覚化および実施できるようにします。
Detective と Security Hub を統合することで、Security Hub の Amazon GuardDuty の結果を、Detective にピボットすることが許可されます。その後、Detective のツールと視覚化を使用して調査することができます。統合には、Security Hub または Detective に追加の設定をする必要はありません。
他の AWS のサービス から受け取った結果については、Security Hub コンソールの結果詳細パネルに [Detective の捜査] サブセクションがあります。そのサブセクションには Detective へのリンクが含まれており、調査結果によって特定されたセキュリティ問題をさらに調査できます。Security Hub の調査結果に基づいて Detective で行動グラフを作成して、より効果的な調査を行うこともできます。詳細については、「Amazon Detective 管理ガイド」の「AWS セキュリティ結果」を参照してください。
クロスリージョン集約を有効にし、集約リージョンから方向を転換した場合、検出元のリージョンで Detective が開きます。
リンクが機能しない場合のトラブルシューティングのアドバイスについては、「ピボットのトラブルシューティング」を参照してください。
Amazon Security Lake (結果の受信)
Security Lake は、完全マネージド型のセキュリティデータレイクサービスです。Security Lake を使用すると、クラウド、オンプレミス、カスタムソースのセキュリティデータを、アカウントに保存されているデータレイクに自動的に一元化できます。サブスクライバーは、Security Lake のデータを調査や分析のユースケースに使用できます。
この統合を有効にするには、両方のサービスを有効にし、Security Lake コンソール、Security Lake API、または AWS CLI で Security Hub をソースとして追加する必要があります。これらの手順を完了すると、Security Hub はすべての検出結果を Security Lake に送信し始めます。
Security Lake は、Security Hub の検出結果を自動的に正規化し、Open Cybersecurity Schema Framework (OCSF) と呼ばれる標準化されたオープンソーススキーマに変換します。Security Lake では、Security Hub の検出結果を使用するサブスクライバーを 1 人以上追加できます。
Security Hub をソースとして追加する方法やサブスクライバーを作成する手順など、この統合の詳細については、「Amazon Security Lake ユーザーガイド」の「AWS Security Hub との統合」を参照してください。
AWS Systems Manager エクスプローラーと OpsCenter (結果の受信と更新)
AWS Systems Manager エクスプローラーと OpsCenter は、Security Hub から結果を受け取り、Security Hub でそれらの結果を更新します。
Explorer は、カスタマイズ可能なダッシュボードを提供し、ユーザーの運用の健全性と AWS 環境のパフォーマンスに関する主要なインサイトと分析を提供します。
OpsCenterでは、運用作業項目が一元的に表示され、調査と解決が可能です。
Explorer と OpsCenter の詳細については、「AWS Systems Manager ユーザーガイド」の「オペレーション管理」を参照してください。
AWS Trusted Advisor (結果の受信)
Trusted Advisor は、AWS の数十万のお客様にサービスを提供することにより得られた運用実績に基づくベストプラクティスを活用しています。Trusted Advisor は、お客様の AWS 環境を検査し、システムの可用性とパフォーマンスを向上させる機会やセキュリティギャップを埋める機会がある場合には、レコメンデーションを作成します。
Trusted Advisor と Security Hub の両方を有効化すると、統合が自動的に更新されます。
Security Hub は、AWS Foundational Security Best Practices のチェックの結果を Trusted Advisor に送信します。
Security Hub と Trusted Advisor との統合の詳細については、「AWS Support のユーザーガイド」の「AWS Security Hub のコントロールを AWS Trusted Advisor で表示する」を参照してください。
