利用可能な AWS のサービスの統合 - AWS Security Hub

利用可能な AWS のサービスの統合

AWS Security Hub は、複数の AWS サービスとの統合をサポートしています。

注記

統合の中には、一部のリージョンでしか使用できないものがあります。

統合がサポートされていない場合は、[Integrations] (統合) ページに表示されません。

中国 (北京) および中国 (寧夏) でサポートされている統合」および「AWS GovCloud (米国東部) と AWS GovCloud (米国西部) でサポートされている統合」も参照してください。

Amazon Macie における機密データの結果を除いて、Security Hub に統合されている他のすべての AWS サービスが、自動的に選択されます。Security Hub と他のサービスをオンにすると、追加の手順なしに 2 つのサービス間の統合が有効化されます。

各 AWS サービスと Security Hub との統合に関する詳細は、次のセクションで説明します。

AWS Audit Manager (結果の受信)

AWS Audit Manager で Security Hub の結果を受け取る方法 これらの結果は、Audit Manager ユーザーが監査の準備をするうえで役立ちます。

Audit Manager の詳細については、「AWS Audit Manager ユーザーガイド」を参照してください。AWSAWS Audit Manager でサポートされている Security Hub のチェックでは、Security Hub が結果を Audit Manager に送信するコントロールの一覧が表示されます。

AWS Chatbot (結果の送信)

AWS Chatbot は、Slack チャンネルと Amazon Chime チャットルームの AWS リソースの監視と操作に役立つ対話型エージェントです。

Security Hub は結果を AWS Chatbot に送信します。

AWS Chatbot の Security Hub との統合についての詳細は、「AWS Chatbot 管理者ガイド」の「Security Hub との統合の概要」を参照してください。

AWS Config (結果の送信)

AWS Config では、AWS リソースの設定の、査定、監査、評価を行うことができます。AWS Config は、すべての AWS リソース設定を継続的に監視および記録し、記録された設定を、必要な設定に照らして自動的に評価することができます。

AWS Config との統合を使用することで、AWS Config のマネージドおよびカスタムルールの評価を Security Hub の結果として確認することができます。これらの結果は、他の Security Hub の結果と一緒に表示でき、セキュリティ体制を包括的に概観できます。

AWS Config Amazon EventBridge を使用して AWS Config ルール評価を Security Hub に送信します。Security Hub は、このルール評価を AWS Security Finding 形式に従う結果に変換します。その後 Security Hub は、Amazon リソースネーム (ARN) や作成日など、影響を受けるリソースに関する詳細情報を取得することで、ベストエフォートベースで結果を強化します。

この統合に関する詳細は、以下のセクションを参照してください。

Security Hub のすべての結果で、ASFF と呼ばれる標準の JSON 形式が使用されます。ASFF には、結果の検出元、影響を受けるリソース、結果の現在の状態に関する詳細が含まれます。AWS Config は、マネージドルールおよびカスタムルールの評価を EventBridge 経由で Security Hub に送信します。Security Hub は、ルール評価を ASFF に従う結果に変換し、ベストエフォートベースで結果を強化します。

AWS Config が Security Hub に送信する結果の種類

統合が有効化されると、AWS Config がすべての AWS Config マネージドルールおよびカスタムルールに関する評価を Security Hub に送信します。セキュリティコントロールのチェックを実行するために使用されるものなど、サービスリンクされた AWS Config ルール からの評価のみが除外されます。

AWS Config の結果を Security Hub に送信する

統合が有効化されると、Security Hub は AWS Config の結果を受信するために必要な許可を、自動的に割り当てます。Security Hub は、この統合を有効にし、Amazon EventBridge を介して AWS Config からの結果をインポートする安全で簡単な方法を提供するサービス間レベルの許可を使用しています。

結果が送信されるまでのレイテンシー

AWS Config で新しい結果が作成されると、通常 5 分以内に Security Hub で結果を閲覧することができます。

Security Hub が使用できない場合の再試行

AWS Config は、EventBridge を通じてベストエフォートベースで結果を Security Hub に送信します。イベントが Security Hub に正常に配信されなかった場合、EventBridge は最大で 24 時間または 185 回の、いずれか早い方で配信を再試行します。

Security Hub の既存の AWS Config 結果を更新する

AWS Config が Security Hub に結果を送信した後、検索アクティビティの追加観察を反映させるため、同じ結果に対する更新を Security Hub に送信することができます。

AWS Config 結果が存在するリージョン

AWS Config 結果は、リージョン毎に発生します。AWS Config は、同じリージョンかその結果が発生したリージョンにある Security Hub に結果を送信します。

AWS Config の結果を表示するには、Security Hub のナビゲーションペインで [Findings] (結果) を選択します。AWS Config の結果のみを表示するように結果をフィルタリングするには、検索バーのドロップダウンで [Product name] (製品名) をクリックします。[Config] (設定) をクリックし、[Apply] (適用) を選択します。

Security Hub での AWS Config の検出名の解釈

Security Hub が、AWS Config ルール評価を AWS Security Finding 形式 に従う結果に変換します。AWS Config ルール評価では、ASFF とは異なるイベントパターンが使用されます。次の表は、AWS Config ルールの結果フィールドとそれに対応する ASFF を、Security Hub に表示される通りにまとめたものです。

Config ルール評価の検索タイプ ASFF 結果タイプ ハードコードされた値
detail.awsAccountId AwsAccountId
detail.newEvaluationResult.resultRecordedTime CreatedAt
detail.newEvaluationResult.resultRecordedTime UpdatedAt
ProductArn "arn:<partition>:securityhub:<region>::product/aws/config"
ProductName "Config"
CompanyName "AWS"
リージョン "eu-central-1"
configRuleArn GeneratorId, ProductFields
detail.ConfigRuleARN/finding/hash ID
detail.configRuleName Title, ProductFields
detail.configRuleName 説明 「この結果は、構成ルール ${detail.ConfigRuleName} のリソースコンプライアンスの変更に対して作成されます。」
構成項目「ARN」または Security Hub の computed ARN Resources[i].id
detail.resourceType Resources[i].Type "AwsS3Bucket"
Resources[i].Partition "aws"
Resources[i].Region "eu-central-1"
構成項目「構成」 Resources[i].Details
SchemaVersion 「2018-10-08」
Severity.Label 以下の「重要度ラベルの解釈」を参照してください。
Types ["Software and Configuration Checks"]
detail.newEvaluationResult.complianceType Compliance.Status 「FAILED」、「NOT_AVAILABLE」、「PASSED」、または「WARNING」

重要度ラベルの解釈

AWS Config ルール評価におけるすべての結果では、ASFF のデフォルトの重要度ラベルは [MEDIUM] です。結果の重要度ラベルは、BatchUpdateFindings API オペレーションで更新できます。

AWS Config からの一般的な結果

Security Hub は、AWS Config ルール評価を ASFF に従う結果に変換します。以下は、ASFF における AWS Config からの一般的な結果の例です。

注記

説明が 1,024 文字を超えると 1,024 文字まで切り捨てられ、末尾に「(truncated)」(切り捨て) と表示されます。

{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/45g070df80cb50b68fa6a43594kc6fda1e517932", "ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/config", "ProductName": "Config", "CompanyName": "AWS", "Region": "eu-central-1", "GeneratorId": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-04-15T05:00:37.181Z", "UpdatedAt": "2022-04-19T21:20:15.056Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "s3-bucket-level-public-access-prohibited-config-integration-demo", "Description": "This finding is created for a resource compliance change for config rule: s3-bucket-level-public-access-prohibited-config-integration-demo", "ProductFields": { "aws/securityhub/ProductName": "Config", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/config/arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/46f070df80cd50b68fa6a43594dc5fda1e517902", "aws/config/ConfigRuleArn": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "aws/config/ConfigRuleName": "s3-bucket-level-public-access-prohibited-config-integration-demo", "aws/config/ConfigComplianceType": "NON_COMPLIANT" }, "Resources": [{ "Type": "AwsS3Bucket", "Id": "arn:aws:s3:::config-integration-demo-bucket", "Partition": "aws", "Region": "eu-central-1", "Details": { "AwsS3Bucket": { "OwnerId": "4edbba300f1caa608fba2aad2c8fcfe30c32ca32777f64451eec4fb2a0f10d8c", "CreatedAt": "2022-04-15T04:32:53.000Z" } } }], "Compliance": { "Status": "FAILED" }, "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } }

AWS Config 統合を Security Hub と共に使用するには、両方のサービスをセットアップし、少なくとも 1 つのマネージドルールまたはカスタムルールを AWS Config に追加する必要があります。AWS Config のセットアップ方法の詳細については、「AWS Config デベロッパーガイド」の「開始方法」を参照してください。Security Hub をセットアップする方法については、AWS Security Hub の設定 を参照してください 。

AWS Config と Security Hub の両方を有効にすると、統合が自動的に有効になり、AWS Config が Security Hub への結果送信を即座に開始します。

Security Hub への結果送信を停止するには、Security Hub コンソール、Security Hub API、または AWS CLI を使用します。

統合先からの結果のフローの無効化と有効化 (コンソール)」または「統合先からの結果のフローの無効化 (Security Hub API、AWS CLI)」を参照してください。

Amazon Detective (Security Hub からリンク)

Detective は AWS リソースからログデータを自動的に収集し、機械学習、統計分析、グラフ理論を使用して、セキュリティ調査をより迅速かつ効率的に視覚化および実施できるようにします。

Detective と Security Hub を統合することで、Security Hub の Amazon GuardDuty の結果を、Detective にピボットすることが許可されます。その後、Detective のツールと視覚化を使用して調査することができます。統合には、Security Hub または Detective に追加の設定をする必要はありません。

GuardDuty の結果タイプでは、結果の詳細に [Investigate in Detective] (Detective で調査) というサブセクションが含まれます。そのサブセクションには、Detective へのリンクが含まれています。「Amazon Detective ユーザーガイド」の「Amazon GuardDuty または AWS Security Hub からエンティティプロファイルまたは結果の概要にピボット」を参照してください。

クロスリージョン集約を有効にし、集約リージョンから方向を転換した場合、検出元のリージョンで Detective が開きます。

リンクが機能しない場合のトラブルシューティングのアドバイスについては、「ピボットのトラブルシューティング」を参照してください。

AWS Firewall Manager (結果の送信)

Firewall Manager は、リソースのウェブアプリケーションファイアウォール (WAF) ポリシーまたはウェブアクセスコントロールリスト (ウェブ ACL) ルールが非準拠である場合に、結果を Security Hub に送信します。Firewall Manager は、AWS Shield Advanced がリソースを保護していない、または攻撃が特定された場合にも結果を送信します。

すでに Firewall Manager を使用している場合、Security Hub はこの統合を自動的に有効にします。Firewall Manager から結果の受け取りを開始するために追加のアクションを実行する必要はありません。

統合の詳細については、Security Hub コンソールの [Integrations] (統合) ページを参照してください。

Firewall Manager の詳細については、「AWS WAF 開発者ガイド」を参照してください。

Amazon GuardDuty (結果の送信)

GuardDuty は、サポートされているすべての結果タイプについて、結果を Security Hub に送信します。

GuardDuty の新しい結果は、Security Hub に 5 分以内に送信されます。結果の更新は、GuardDuty 設定内の Amazon EventBridge の [Updated findings] (更新された調査結果) 設定に基づいて送信されます。

GuardDuty の [Settings] (設定) ページを使用して GuardDuty のサンプル結果を生成する場合、Security Hub はサンプル結果を受信し、結果タイプのプレフィックス [Sample] を省略します。例えば、GuardDuty [SAMPLE] Recon:IAMUser/ResourcePermissions でのサンプルの結果タイプは、Security Hub では Recon:IAMUser/ResourcePermissions と表示されます。

GuardDuty 統合の詳細については、「Amazon GuardDuty ユーザーガイド」の「AWS Security Hub との統合」を参照してください。

AWS Health (結果の送信)

AWS Health は、リソースのパフォーマンスと、AWS のサービスおよびアカウントの可用性を継続的に可視化します。AWS Health イベントを使用することで、サービスおよびリソースの変更が、AWS で実行されるアプリケーションにどのような影響を及ぼすか確認することができます。

AWS Health との統合には BatchImportFindings を使用しません。その代わりに、AWS Health はサービス間のイベントメッセージングを使用して、結果を Security Hub に送信します。

統合の詳細については、以下のセクションを参照してください。

Security Hub では、セキュリティの問題が調査結果として追跡されます。結果の中には、他の AWS のサービスやサードパーティーのパートナーが検出した問題に由来するものもあります。Security Hub には、セキュリティの問題を検出し、調査結果を生成するために使用する一連のルールもあります。

Security Hub には、これらすべてのソースからの結果を管理するためのツールが用意されています。結果の一覧を表示およびフィルタリングして、結果の詳細を表示できます。「AWS Security Hub で結果リストと詳細を表示する」を参照してください。結果の調査状況を追跡することもできます。「AWS Security Hub の結果に対してアクションを実行する」を参照してください。

Security Hub のすべての結果で、AWS Security Finding 形式 と呼ばれる標準の JSON 形式が使用されます。ASFF には、問題のソース、影響を受けるリソース、および結果の現在の状態に関する詳細が含まれます。

AWS Health は Security Hub に結果を送信する AWS サービスの1つです。

AWS Health が Security Hub に送信する結果の種類

統合が有効になると、AWS Health は生成されたすべてのセキュリティ関連の結果を Security Hub に送信します。結果は AWS Security Finding 形式 を使用して Security Hub に送信されます。セキュリティ関連の調査結果は、次のように定義されています。

  • AWS セキュリティサービスに関連するすべての検索

  • AWS Health の[typeCode] で検出された securityabuse、または certificate という言葉を含む結果

  • AWS Health サービスが risk または abuse であることを示す結果

AWS Health の結果を Security Hub に送信する

AWS Health の結果を受け入れることを選択した場合、Security Hub は AWS Health の調査結果を受信するのに必要な許可を自動的に割り当てます。Security Hub は、この統合を有効にし、Amazon EventBridge を介して AWS Health からの調査結果をユーザーに代わってインポートする安全で簡単な方法を提供するサービス間レベルの許可を使用しています。[Accept Findings] (結果を受け入れる) を選択すると、AWS Health の結果を使用する許可が Security Hub に付与されます。

結果が送信されるまでのレイテンシー

AWS Health で新しい結果が作成されると、通常 5 分以内に Security Hub へ送信されます。

Security Hub が使用できない場合の再試行

AWS Health は、EventBridge を通じてベストエフォートベースで結果を Security Hub に送信します。イベントが Security Hub に正常に配信されない場合、EventBridge は 24 時間のイベントの送信を再試行します。

Security Hub の既存の結果を更新する

AWS Health が結果を Security Hub に送信した後に、検索アクティビティの追加観測を反映するために、同じ結果に対する更新を Security Hub に送信することができます。

検査結果が存在するリージョン

グローバルイベントの場合、AWS Health は、us-east-1 (AWS パーティション)、cn-northwest-1 (中国パーティション)、gov-us-west-1 (GovCloud パーティション) の Security Hub に結果を送信します。AWS Health は、同じリージョン、またはイベントが発生したリージョンの Security Hub に、リージョン固有のイベントを送信します。

Security Hub で AWS Health の調査結果を表示するには、ナビゲーションパネルから [Findings] (結果) を選択します。AWS Health の結果のみを表示するようにフィルター処理するには、製品名フィールドから [Health] (ヘルス) を選択します。

Security Hub での AWS Health の検出名の解釈

AWS Health は、AWS Security Finding 形式 を使用して結果を Security Hub に送信します。AWS Health の結果には、Security Hub ASFF 形式とは異なるイベントパターンが使用されます。次の表は、AWS Health の結果フィールドとそれに対応する ASFF が Security Hub に表示される順に詳細がまとめられています。

Health 結果タイプ ASFF 結果タイプ ハードコードされた値
アカウント AwsAccountId
detail.StartTime CreatedAt
detail.eventDescription.latestDescription 説明
detail.eventTypeCode GeneratorId
detail.eventArn (including account) + hash of detail.startTime ID
「arn: aws: securityhub:<region>። product/aws/health」 ProductArn
アカウントまたは resourceId Resources[i].id
Resources[i].Type 「その他」
SchemaVersion 「2018-10-08」
Severity.Label 以下の「重要度ラベルの解釈」を参照してください。
「AWS Health -」detail.eventTypeCode タイトル
- Types ["Software and Configuration Checks"]
event.time UpdatedAt
Health コンソール上のイベントの URL SourceUrl

重要度ラベルの解釈

ASFF 結果の重要度ラベルは、次のロジックを使用して決定されます。

  • 次の場合、重要度は [CRITICAL]:

    • AWS Health の結果の service フィールドの値が Risk

    • AWS Health の結果の typeCode フィールドの値が AWS_S3_OPEN_ACCESS_BUCKET_NOTIFICATION

    • AWS Health の結果の typeCode フィールドの値が AWS_SHIELD_INTERNET_TRAFFIC_LIMITATIONS_PLACED_IN_RESPONSE_TO_DDOS_ATTACK

    • AWS Health の結果の typeCode フィールドの値が AWS_SHIELD_IS_RESPONDING_TO_A_DDOS_ATTACK_AGAINST_YOUR_AWS_RESOURCES

    次の場合、重要度は [HIGH]:

    • AWS Health の結果の service フィールドの値が Abuse

    • AWS Health 結果の typeCode フィールドの値に SECURITY_NOTIFICATION が含まれている

    • typeCode 結果の AWS Health フィールドの値に ABUSE_DETECTION が含まれている

    次の場合、重要度は [MEDIUM]:

    • 結果の service フィールドが次のいずれかである。ACMARTIFACTAUDITMANAGERBACKUPCLOUDENDURECLOUDHSMCLOUDTRAILCLOUDWATCHCODEGURGUCOGNITOCONFIGCONTROLTOWERDETECTIVEDIRECTORYSERVICEDRSEVENTSFIREWALLMANAGERGUARDDUTYIAMINSPECTORINSPECTOR2IOTDEVICEDEFENDERKMSMACIENETWORKFIREWALLORGANIZATIONSRESILIENCEHUBRESOURCEMANAGERROUTE53SECURITYHUBSECRETSMANAGERSESSHIELDSSOWAF

    • AWS Health 結果の [typeCode] フィールドに値 CERTIFICATE が含まれている

    • AWS Health 結果の [typeCode] フィールドに値 END_OF_SUPPORT が含まれている

AWS Health からの一般的な結果

AWS Health は AWS Security Finding 形式 を使用して結果を Security Hub に送信します。以下に、AWS Health からの一般的な結果の例を示します。

注記

説明が 1,024 文字を超えると 1,024 文字まで切り捨てられ、末尾に (truncated) (切り捨て) と表示されます。

{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:health:us-east-1:123456789012:event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96/101F7FBAEFC663977DA09CFF56A29236602834D2D361E6A8CA5140BFB3A69B30", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/health", "GeneratorId": "AWS_SES_CMF_PENDING_TO_SUCCESS", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-01-07T16:34:04.000Z", "UpdatedAt": "2022-01-07T19:17:43.000Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "AWS Health - AWS_SES_CMF_PENDING_TO_SUCCESS", "Description": "Congratulations! Amazon SES has successfully detected the MX record required to use 4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com as a custom MAIL FROM domain for verified identity cmf.pinpoint.sysmon-iad.adzel.com in AWS Region US East (N. Virginia).\\n\\nYou can now use this MAIL FROM domain with cmf.pinpoint.sysmon-iad.adzel.com and any other verified identity that is configured to use it. For information about how to configure a verified identity to use a custom MAIL FROM domain, see http://docs.aws.amazon.com/ses/latest/DeveloperGuide/mail-from-set.html .\\n\\nPlease note that this email only applies to AWS Region US East (N. Virginia).", "SourceUrl": "https://phd.aws.amazon.com/phd/home#/event-log?eventID=arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "ProductFields": { "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/health/arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "aws/securityhub/ProductName": "Health", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "Other", "Id": "4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com" } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } } ] }

Security Hub をセットアップすると、AWS Health と統合が自動的に有効になります。AWS Health は即座に Security Hub への結果の送信を開始します。

Security Hub への結果送信を停止するには、Security Hub コンソール、Security Hub API、AWS CLI を使用します。

統合先からの結果のフローの無効化と有効化 (コンソール)」または「統合先からの結果のフローの無効化 (Security Hub API、AWS CLI)」を参照してください。

IAM Access Analyzer (結果の送信)

IAM Access Analyzer では、すべての結果が Security Hub に送信されます。

IAM Access Analyzer は、論理ベースの推論を使用して、アカウントでサポートされるリソースに適用されたリソースベースのポリシーを分析します。IAM Access Analyzer は、外部プリンシパルがアカウント内のリソースにアクセスすることを許可するポリシーステートメントを検出すると、結果を生成します。

詳細については、「IAM ユーザーガイド」の「AWS Security Hub との統合」を参照してください。

Amazon Inspector (結果の送信)

Amazon Inspector は、AWS のワークロードにおける脆弱性を継続的にスキャンする脆弱性管理サービスです。Amazon Inspector は、Amazon Elastic Container Registry に存在する EC2 インスタンスとコンテナイメージを自動的に検出してスキャンします。このスキャンでは、ソフトウェアの脆弱性と意図しないネットワークへのエクスポージャーがないかチェックします。

Amazon Inspector と Security Hub の両方を有効化すると、統合は自動的に有効化されます。Amazon Inspector で Security Hub への結果の送信が開始されます。Amazon Inspector から生成されたすべての結果が Security Hub に送信されます。

統合の詳細については、「Amazon Inspector ユーザーガイド」の「AWS Security Hub との統合」を参照してください。

Security Hub は、Amazon Inspector Classic から結果を受信することもできます。Amazon Inspector Classic は、サポートされているすべてのルールパッケージの評価実行によって生成された Security Hub に、結果を送信します。

統合の詳細については、「Amazon Inspector ユーザーガイド」の「AWS Security Hub との統合」を参照してください。

Amazon Inspector と Amazon Inspector Classic の結果では、同じ製品の ARN が使用されます。Amazon Inspector の調査結果には、ProductFields に次のエントリがあります。

"aws/inspector/ProductVersion": "2",

Amazon Macie (結果の送信)

Macie からの結果では、組織が Amazon S3 に保存しているデータに、ポリシー違反の可能性があること、または個人を特定できる情報 (PII) などの機密データが存在することを示すことがあります。

デフォルト設定では、Macie はポリシーの結果のみを Security Hub に送信します。機密データの調査結果も Security Hub に送信するように統合を構成できます。

Security Hub では、ポリシーまたは機密データの結果のタイプが、ASFF と互換性のある値に変更されます。たとえば、Macie での Policy:IAMUser/S3BucketPublic 結果タイプは、Security Hub では Effects/Data Exposure/Policy:IAMUser-S3BucketPublic と表示されます。

Macie は、生成されたサンプル結果を Security Hub に送信します。結果のサンプルでは、影響を受けるリソースの名前は macie-sample-finding-bucket であり、Sample フィールドの値は true です。

詳細については、「Amazon Macie ユーザーガイド」の「Amazon Macie とAWS Security Hub との統合」を参照してください。

AWS Systems Manager エクスプローラーと OpsCenter (結果の受信と更新)

AWS Systems Manager エクスプローラーと OpsCenter は、Security Hub から結果を受け取り、Security Hub でそれらの結果を更新します。

Explorer は、カスタマイズ可能なダッシュボードを提供し、ユーザーの運用の健全性と AWS 環境のパフォーマンスに関する主要なインサイトと分析を提供します。

OpsCenterでは、運用作業項目が一元的に表示され、調査と解決が可能です。

Explorer と OpsCenter の詳細については、「AWS Systems Manager ユーザーガイド」の「オペレーション管理」を参照してください。

AWS Systems Manager Patch Manager (結果の送信)

AWS Systems Manager Patch Manager は、お客様のフリート内のインスタンスがパッチコンプライアンス標準に準拠していない場合、結果を Security Hub に送信します。

Patch Manager は、セキュリティ関連のアップデートと他のタイプのアップデートの両方でマネージドインスタンスにパッチを適用するプロセスを自動化します。

Patch Manager の使用の詳細については、「AWS Systems Manager ユーザーガイド」の「AWS Systems Manager Patch Manager」を参照してください。

AWS Trusted Advisor (結果の受信)

Trusted Advisor は、AWS の数十万のお客様にサービスを提供することにより得られた運用実績に基づくベストプラクティスを活用しています。Trusted Advisor は、お客様の AWS 環境を検査し、システムの可用性とパフォーマンスを向上させる機会やセキュリティギャップを埋める機会がある場合には、レコメンデーションを作成します。

Trusted Advisor と Security Hub の両方を有効化すると、統合が自動的に更新されます。

Security Hub は、AWS Foundational Security Best Practices のチェックの結果を Trusted Advisor に送信します。

Security Hub と Trusted Advisor との統合の詳細については、「AWS Support のユーザーガイド」の「AWS Security Hub のコントロールを AWS Trusted Advisor で表示する」を参照してください。