翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS のサービスSecurity Hub CSPM との統合
AWSSecurity Hub CSPM は、他のいくつかの との統合をサポートしていますAWS のサービス。これらの統合は、AWS 環境全体のセキュリティとコンプライアンスを包括的に把握するのに役立ちます。
以下に特に明記されていない限り、Security Hub CSPM と他のサービスを有効にすると、Security Hub CSPM に結果を送信するAWS のサービス統合が自動的にアクティブ化されます。Security Hub CSPM の検出結果を受け取る統合では、アクティベーションに追加の手順が必要になる場合があります。詳細については、各統合に関する情報を確認してください。
一部の統合は、すべてで利用できるわけではありませんAWS リージョン。Security Hub CSPM コンソールでは、統合が現在のリージョンでサポートされていない場合、その統合は [統合] ページに表示されません。中国リージョンで利用可能な統合のリストについてはAWS GovCloud (US) Regions、「」を参照してくださいリージョン別の統合の可用性。
Security Hub CSPM とAWSのサービス統合の概要
次の表は、Security Hub CSPM に検出結果を送信するサービス、または Security Hub CSPM から検出結果を受信するAWSサービスの概要を示しています。
| 統合AWSサービス | Direction |
|---|---|
|
検出結果の送信 |
|
|
検出結果の送信 |
|
|
検出結果の送信 |
|
|
検出結果の送信 |
|
|
検出結果の送信 |
|
|
検出結果の送信 |
|
|
検出結果の送信 |
|
|
検出結果の送信 |
|
|
検出結果の送信 |
|
|
検出結果の送信 |
|
|
検出結果の受信 |
|
|
検出結果の受信 |
|
|
検出結果の受信 |
|
|
検出結果の受信 |
|
|
検出結果の受信と更新 |
|
|
検出結果の受信 |
AWS のサービスSecurity Hub CSPM に結果を送信する
以下は とAWS のサービス統合され、Security Hub CSPM に結果を送信できます。Security Hub CSPM は、検出結果を AWS Security Finding 形式に変換します。
AWS Config(検出結果を送信します)
AWS Configは、 AWSリソースの設定を評価、監査、評価できるサービスです。 はAWS、リソース設定AWS Configを継続的にモニタリングおよび記録し、記録された設定を目的の設定と照らし合わせて評価を自動化できます。
との統合を使用するとAWS Config、AWS Configマネージドルール評価とカスタムルール評価の結果を Security Hub CSPM の結果として確認できます。これらの検出結果は、他の Security Hub CSPM の検出結果と一緒に表示でき、セキュリティ体制を包括的に概観できます。
AWS Configは Amazon EventBridge を使用して Security Hub CSPM にAWS Configルール評価を送信します。Security Hub CSPM は、このルール評価を AWS Security Finding 形式に従う検出結果に変換します。その後 Security Hub CSPM は、Amazon リソースネーム (ARN)、リソースタグ、作成日など、影響を受けるリソースに関する詳細情報を取得することで、ベストエフォートベースで検出結果を強化します。
この統合に関する詳細は、以下のセクションを参照してください。
Security Hub CSPM のすべての検出結果は、ASFF という標準 JSON 形式を使用します。ASFF には、検出結果のオリジン、影響を受けるリソース、および検出結果の現在のステータスに関する詳細が含まれます。 はEventBridge を介して Security Hub CSPM にマネージドルールとカスタムルールの評価AWS Configを送信します。Security Hub CSPM は、ルール評価を ASFF に従う検出結果に変換し、ベストエフォートベースで検出結果を強化します。
AWS Config が Security Hub CSPM に送信する検出結果の種類
統合がアクティブ化されると、 はすべてのAWS Configマネージドルールとカスタムルールの評価を Security Hub CSPM AWS Configに送信します。Security Hub CSPM が有効になった後に実行された評価のみが送信されます。例えば、AWS Config ルール評価で 5 つの失敗したリソースが明らかになったとします。その後、Security Hub CSPM を有効にし、ルールが 6 番目の失敗したリソースを明らかにした場合、AWS Config は 6 番目のリソース評価のみを Security Hub CSPM に送信します。
Security Hub CSPM コントロールのチェックを実行するために使用されるルールなど、サービスにリンクされたAWS Configルールの評価は除外されます。例外は、 が でAWS Control Tower作成および管理するサービスにリンクされたルールによって生成された結果ですAWS Config。これらのルールの結果を含めると、検出結果データに によって実行されたプロアクティブチェックの結果が含まれるようになりますAWS Control Tower。
AWS Config の検出結果を Security Hub CSPM に送信する
統合が有効化されると、Security Hub CSPM は AWS Config の検出結果を受信するために必要な許可を、自動的に割り当てます。Security Hub CSPM はservice-to-serviceレベルのアクセス許可を使用します。AWS Config EventBridge
検出結果が送信されるまでのレイテンシー
が新しい検出結果AWS Configを作成すると、通常、5 分以内に Security Hub CSPM で検出結果を表示できます。
Security Hub CSPM が使用できない場合の再試行
AWS Configは、EventBridge を通じてベストエフォートベースで Security Hub CSPM に検出結果を送信します。イベントが Security Hub CSPM に正常に配信されなかった場合、EventBridge は最大で 24 時間または 185 回の、いずれか早い方で配信を再試行します。
Security Hub CSPM での既存のAWS Config検出結果の更新
は、Security Hub CSPM に検出結果AWS Configを送信すると、同じ検出結果の更新を Security Hub CSPM に送信して、検出結果アクティビティの追加の観察結果を反映することができます。更新は ComplianceChangeNotification イベントについてのみ送信されます。コンプライアンスの変更が行われない場合、更新は Security Hub CSPM に送信されません。Security Hub CSPM では、検出結果は、最新の更新から 90 日後、または更新が行われない場合は作成日から 90 日後に削除されます。
Security Hub CSPM は、関連付けられたリソースを削除AWS Configしても、 から送信された結果をアーカイブしません。
AWS Config 検出結果が存在するリージョン
AWS Config検出結果はリージョンベースで発生します。 は、検出結果が発生したのと同じリージョンの Security Hub CSPM に検出結果AWS Configを送信します。
AWS Config検出結果を表示するには、Security Hub CSPM ナビゲーションペインから検出結果を選択します。検出結果をフィルタリングしてAWS Config検出結果のみを表示するには、検索バーのドロップダウンで製品名を選択します。[Config] (設定) をクリックし、[Apply] (適用) を選択します。
Security Hub CSPM でAWS Configの検出結果名の解釈
Security Hub CSPM は、AWS Configルール評価を AWS Config.rule 評価に従う結果に変換しますAWSSecurity Finding 形式 (ASFF)。ASFF とは異なるイベントパターンを使用します。次の表は、AWS Config ルールの評価フィールドとそれに対応する ASFF を、Security Hub CSPM に表示される通りにまとめたものです。
| Config ルール評価の検索タイプ | ASFF 結果タイプ | ハードコードされた値 |
|---|---|---|
| detail.awsAccountId | AwsAccountId | |
| detail.newEvaluationResult.resultRecordedTime | CreatedAt | |
| detail.newEvaluationResult.resultRecordedTime | UpdatedAt | |
| ProductArn | "arn:<partition>:securityhub:<region>::product/aws/config" | |
| ProductName | "Config" | |
| CompanyName | "AWS" | |
| リージョン | "eu-central-1" | |
| configRuleArn | GeneratorId, ProductFields | |
| detail.ConfigRuleARN/finding/hash | ID | |
| detail.configRuleName | Title, ProductFields | |
| detail.configRuleName | 説明 | 「この結果は、構成ルール ${detail.ConfigRuleName} のリソースコンプライアンスの変更に対して作成されます。」 |
| 構成項目の ARN または Security Hub CSPM が算出した ARN | Resources[i].id | |
| detail.resourceType | Resources[i].Type | "AwsS3Bucket" |
| Resources[i].Partition | "aws" | |
| Resources[i].Region | "eu-central-1" | |
| 構成項目「構成」 | Resources[i].Details | |
| SchemaVersion | 「2018-10-08」 | |
| Severity.Label | 以下の「重要度ラベルの解釈」を参照してください。 | |
| Types | ["Software and Configuration Checks"] | |
| detail.newEvaluationResult.complianceType | Compliance.Status | 「FAILED」、「NOT_AVAILABLE」、「PASSED」、または「WARNING」 |
| Workflow.Status | AWS Config結果が Compliance.Status が「PASSED」で生成された場合、または Compliance.Status が「FAILED」から「PASSED」に変わった場合は「解決済み」。それ以外の場合、Workflow.Status は「NEW」になります。この値は BatchUpdateFindings API オペレーションを使用して変更できます。 |
重要度ラベルの解釈
AWS Configルール評価のすべての結果には、ASFF のデフォルトの重要度ラベル MEDIUM があります。結果の重要度ラベルは、BatchUpdateFindings API オペレーションで更新できます。
からの一般的な検出結果AWS Config
Security Hub CSPM は、AWS Configルール評価を ASFF に従う検出結果に変換します。ASFF AWS Configの からの一般的な検出結果の例を次に示します。
注記
説明が 1,024 文字を超えると 1,024 文字まで切り捨てられ、末尾に「(truncated)」(切り捨て) と表示されます。
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/45g070df80cb50b68fa6a43594kc6fda1e517932", "ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/config", "ProductName": "Config", "CompanyName": "AWS", "Region": "eu-central-1", "GeneratorId": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-04-15T05:00:37.181Z", "UpdatedAt": "2022-04-19T21:20:15.056Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "s3-bucket-level-public-access-prohibited-config-integration-demo", "Description": "This finding is created for a resource compliance change for config rule: s3-bucket-level-public-access-prohibited-config-integration-demo", "ProductFields": { "aws/securityhub/ProductName": "Config", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/config/arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/46f070df80cd50b68fa6a43594dc5fda1e517902", "aws/config/ConfigRuleArn": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "aws/config/ConfigRuleName": "s3-bucket-level-public-access-prohibited-config-integration-demo", "aws/config/ConfigComplianceType": "NON_COMPLIANT" }, "Resources": [{ "Type": "AwsS3Bucket", "Id": "arn:aws:s3:::amzn-s3-demo-bucket", "Partition": "aws", "Region": "eu-central-1", "Details": { "AwsS3Bucket": { "OwnerId": "4edbba300f1caa608fba2aad2c8fcfe30c32ca32777f64451eec4fb2a0f10d8c", "CreatedAt": "2022-04-15T04:32:53.000Z" } } }], "Compliance": { "Status": "FAILED" }, "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } }
Security Hub CSPM を有効にすると、この統合が自動的に有効になり、AWS Config が Security Hub CSPM への検出結果を即座に送信開始します。
Security Hub CSPM への検出結果の送信を停止するには、Security Hub CSPM コンソールまたは Security Hub CSPM API を使用します。
検出結果のフローを停止する手順については、「Security Hub CSPM からの検出結果のフローを有効化」を参照してください。
AWS Firewall Manager(検出結果を送信します)
Firewall Manager は、リソースのウェブアプリケーションファイアウォール (WAF) ポリシーまたはウェブアクセスコントロールリスト (ウェブ ACL) ルールが非準拠である場合に、検出結果を Security Hub CSPM に送信します。Firewall Manager は、 AWS Shield Advancedがリソースを保護していない場合、または攻撃が特定された場合にも検出結果を送信します。
Security Hub CSPM を有効にすると、この統合は自動的に有効になります。Firewall Manager は、検出結果を Security Hub CSPM に送信します。
統合の詳細については、Security Hub CSPM コンソールの [統合] ページを参照してください。
Firewall Manager の詳細については、「AWS WAF 開発者ガイド」を参照してください。
Amazon GuardDuty (検出結果の送信)
GuardDuty は、生成されたすべての検出結果のタイプを Security Hub CSPM に送信します。一部の検出結果タイプには、前提条件、有効化要件、またはリージョンの制限があります。詳細については、「Amazon GuardDuty ユーザーガイド」の「GuardDuty 検出結果タイプ」を参照してください。
GuardDuty の新しい検出結果は、Security Hub CSPM に 5 分以内に送信されます。検出結果の更新は、GuardDuty 設定内の Amazon EventBridge の [Updated findings] (更新された検出結果) 設定に基づいて送信されます。
GuardDuty の [設定] ページを使用して GuardDuty の検出結果のサンプルを生成する場合、Security Hub CSPM は検出結果のサンプルを受信し、検出結果タイプのプレフィックス [Sample] を省略します。例えば、GuardDuty [SAMPLE] Recon:IAMUser/ResourcePermissions でのサンプルの検出結果タイプは、Security Hub CSPM では Recon:IAMUser/ResourcePermissions と表示されます。
Security Hub CSPM を有効にすると、この統合は自動的に有効になります。GuardDuty は、直ちに検出結果を Security Hub CSPM に送信し始めます。
GuardDuty 統合の詳細については、「Amazon GuardDuty ユーザーガイド」のAWS「Security Hub CSPM との統合」を参照してください。 Amazon GuardDuty
AWS Health(検出結果を送信します)
AWS Healthは、リソースのパフォーマンスと AWS のサービスおよび の可用性を継続的に可視化しますAWS アカウント。AWS Health イベントを使用することで、サービスおよびリソースの変更が、AWS で実行されるアプリケーションにどのような影響を及ぼすか確認することができます。
との統合AWS Healthでは、 は使用されませんBatchImportFindings。代わりに、 はservice-to-serviceイベントメッセージングAWS Healthを使用して、結果を Security Hub CSPM に送信します。
統合の詳細については、以下のセクションを参照してください。
Security Hub CSPM では、セキュリティの問題が検出結果として追跡されます。一部の検出結果は、他の AWSサービスまたはサードパーティーパートナーによって検出された問題から発生します。Security Hub CSPM には、セキュリティの問題を検出し、検出結果を生成するために使用する一連のルールもあります。
Security Hub CSPM には、これらすべてのソースからの検出結果を管理するためのツールが用意されています。検出結果の一覧を表示およびフィルタリングして、検出結果の詳細を表示できます。「Security Hub CSPM での検出結果詳細と検出結果履歴のレビュー」を参照してください。結果の調査状況を追跡することもできます。「Security Hub CSPM 検出結果のワークフローステータスの設定」を参照してください。
Security Hub CSPM のすべての検出結果で、AWSSecurity Finding 形式 (ASFF) と呼ばれる標準の JSON 形式が使用されます。ASFF には、問題のソース、影響を受けるリソース、および結果の現在の状態に関する詳細が含まれます。
AWS Healthは、Security Hub CSPM に結果を送信するAWSサービスの 1 つです。
AWS Health が Security Hub CSPM に送信する検出結果の種類
統合を有効にすると、 はリストされている 1 つ以上の仕様を満たす検出結果を Security Hub CSPM AWS Healthに送信します。Security Hub CSPM は、AWSSecurity Finding 形式 (ASFF) で検出結果を取り込みます。
-
AWS のサービス の以下の値のいずれかを含む検出結果:
-
RISK -
ABUSE -
ACM -
CLOUDHSM -
CLOUDTRAIL -
CONFIG -
CONTROLTOWER -
DETECTIVE -
EVENTS -
GUARDDUTY -
IAM -
INSPECTOR -
KMS -
MACIE -
SES -
SECURITYHUB -
SHIELD -
SSO -
COGNITO -
IOTDEVICEDEFENDER -
NETWORKFIREWALL -
ROUTE53 -
WAF -
FIREWALLMANAGER -
SECRETSMANAGER -
BACKUP -
AUDITMANAGER -
ARTIFACT -
CLOUDENDURE -
CODEGURU -
ORGANIZATIONS -
DIRECTORYSERVICE -
RESOURCEMANAGER -
CLOUDWATCH -
DRS -
INSPECTOR2 -
RESILIENCEHUB
-
-
certificateAWS HealthtypeCodeフィールドにsecurity、、abuseまたは という単語を含む結果 -
AWS Healthサービスが
riskまたは である検出結果abuse
AWS Health の検出結果を Security Hub CSPM に送信する
から検出結果を受け入れることを選択するとAWS Health、Security Hub CSPM は検出結果の受信に必要なアクセス許可を自動的に割り当てますAWS Health。Security Hub CSPM はservice-to-serviceレベルのアクセス許可を使用して、この統合を有効にし、ユーザーに代わって Amazon EventBridge AWS Healthを介して から検出結果をインポートする安全かつ簡単な方法を提供します。[検出結果を受け入れる] を選択すると、AWS Health の検出結果を使用する許可が Security Hub CSPM に付与されます。
検出結果が送信されるまでのレイテンシー
が新しい検出結果AWS Healthを作成すると、通常 5 分以内に Security Hub CSPM に送信されます。
Security Hub CSPM が使用できない場合の再試行
AWS Healthは、EventBridge を通じてベストエフォートベースで検出結果を Security Hub CSPM に送信します。イベントが Security Hub CSPM に正常に配信されない場合、EventBridge は 24 時間のイベントの送信を再試行します。
Security Hub CSPM の既存の検出結果を更新する
AWS Healthが Security Hub CSPM に検出結果を送信すると、同じ検出結果に更新を送信して、検出結果アクティビティの追加の観察結果を Security Hub CSPM にリフレクションできます。
検出結果が存在するリージョン
グローバルイベントの場合、 は、us-east-1 (AWSパーティション)、cn-northwest-1 (中国パーティション)、gov-us-west-1 (GovCloud パーティション) の Security Hub CSPM に結果AWS Healthを送信します。 は、イベントが発生するのと同じリージョンの Security Hub CSPM にリージョン固有のイベントAWS Healthを送信します。
Security Hub CSPM で検出AWS Health結果を表示するには、ナビゲーションパネルから検出結果を選択します。検出結果をフィルタリングしてAWS Health検出結果のみを表示するには、製品名フィールドからヘルスを選択します。
Security Hub CSPM でAWS Healthの検出結果名の解釈
AWS Healthは、 を使用して検出結果を Security Hub CSPM に送信しますAWSSecurity Finding 形式 (ASFF)。AWS Health検出では、Security Hub CSPM ASFF 形式とは異なるイベントパターンが使用されます。次の表は、Security Hub CSPM に表示される ASFF に対応するすべてのAWS Health検出結果フィールドの詳細を示しています。
| Health 結果タイプ | ASFF 結果タイプ | ハードコードされた値 |
|---|---|---|
| アカウント | AwsAccountId | |
| detail.StartTime | CreatedAt | |
| detail.eventDescription.latestDescription | 説明 | |
| detail.eventTypeCode | GeneratorId | |
| detail.eventArn (including account) + hash of detail.startTime | ID | |
| 「arn: aws: securityhub:<region>:: product/aws/health」 | ProductArn | |
| アカウントまたは resourceId | Resources[i].id | |
| Resources[i].Type | 「その他」 | |
| SchemaVersion | 「2018-10-08」 | |
| Severity.Label | 以下の「重要度ラベルの解釈」を参照してください。 | |
| AWS Health「-」 detail.eventTypeCode | タイトル | |
| - | Types | ["Software and Configuration Checks"] |
| event.time | UpdatedAt | |
| Health コンソール上のイベントの URL | SourceUrl |
重要度ラベルの解釈
ASFF 結果の重要度ラベルは、次のロジックを使用して決定されます。
-
次の場合、重要度は [CRITICAL]:
-
AWS Health の結果の
serviceフィールドの値がRisk -
AWS Health の結果の
typeCodeフィールドの値がAWS_S3_OPEN_ACCESS_BUCKET_NOTIFICATION -
AWS Health の結果の
typeCodeフィールドの値がAWS_SHIELD_INTERNET_TRAFFIC_LIMITATIONS_PLACED_IN_RESPONSE_TO_DDOS_ATTACK -
AWS Health の結果の
typeCodeフィールドの値がAWS_SHIELD_IS_RESPONDING_TO_A_DDOS_ATTACK_AGAINST_YOUR_AWS_RESOURCES
次の場合、重要度は [HIGH]:
-
AWS Health の結果の
serviceフィールドの値がAbuse -
AWS Health 結果の
typeCodeフィールドの値にSECURITY_NOTIFICATIONが含まれている -
typeCode結果の AWS Health フィールドの値にABUSE_DETECTIONが含まれている
次の場合、重要度は [MEDIUM]:
-
結果の
serviceフィールドが次のいずれかである。ACM、ARTIFACT、AUDITMANAGER、BACKUP、CLOUDENDURE、CLOUDHSM、CLOUDTRAIL、CLOUDWATCH、CODEGURGU、COGNITO、CONFIG、CONTROLTOWER、DETECTIVE、DIRECTORYSERVICE、DRS、EVENTS、FIREWALLMANAGER、GUARDDUTY、IAM、INSPECTOR、INSPECTOR2、IOTDEVICEDEFENDER、KMS、MACIE、NETWORKFIREWALL、ORGANIZATIONS、RESILIENCEHUB、RESOURCEMANAGER、ROUTE53、SECURITYHUB、SECRETSMANAGER、SES、SHIELD、SSO、WAF -
AWS Health 結果の [typeCode] フィールドに値
CERTIFICATEが含まれている -
AWS Health 結果の [typeCode] フィールドに値
END_OF_SUPPORTが含まれている
-
からの一般的な検出結果AWS Health
AWS Healthは、 を使用して Security Hub CSPM に結果を送信しますAWSSecurity Finding 形式 (ASFF)。以下は、 からの一般的な検出結果の例ですAWS Health。
注記
説明が 1,024 文字を超えると 1,024 文字まで切り捨てられ、末尾に (truncated) (切り捨て) と表示されます。
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:health:us-east-1:123456789012:event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96/101F7FBAEFC663977DA09CFF56A29236602834D2D361E6A8CA5140BFB3A69B30", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/health", "GeneratorId": "AWS_SES_CMF_PENDING_TO_SUCCESS", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-01-07T16:34:04.000Z", "UpdatedAt": "2022-01-07T19:17:43.000Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "AWS Health - AWS_SES_CMF_PENDING_TO_SUCCESS", "Description": "Congratulations! Amazon SES has successfully detected the MX record required to use 4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com as a custom MAIL FROM domain for verified identity cmf.pinpoint.sysmon-iad.adzel.com inAWSRegion US East (N. Virginia).\\n\\nYou can now use this MAIL FROM domain with cmf.pinpoint.sysmon-iad.adzel.com and any other verified identity that is configured to use it. For information about how to configure a verified identity to use a custom MAIL FROM domain, see http://docs.aws.amazon.com/ses/latest/DeveloperGuide/mail-from-set.html .\\n\\nPlease note that this email only applies toAWSRegion US East (N. Virginia).", "SourceUrl": "https://phd.aws.amazon.com/phd/home#/event-log?eventID=arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "ProductFields": { "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/health/arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "aws/securityhub/ProductName": "Health", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "Other", "Id": "4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com" } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } } ] }
Security Hub CSPM を有効にすると、この統合が自動的に有効になり、AWS Health が Security Hub CSPM への検出結果を即座に送信開始します。
Security Hub CSPM への検出結果の送信を停止するには、Security Hub CSPM コンソールまたは Security Hub CSPM API を使用します。
検出結果のフローを停止する手順については、「Security Hub CSPM からの検出結果のフローを有効化」を参照してください。
AWS Identity and Access Management Access Analyzer(検出結果を送信します)
IAM Access Analyzer では、すべての検出結果が Security Hub CSPM に送信されます。
IAM Access Analyzer は、論理ベースの推論を使用して、アカウントでサポートされるリソースに適用されたリソースベースのポリシーを分析します。IAM Access Analyzer は、外部プリンシパルがアカウント内のリソースにアクセスすることを許可するポリシーステートメントを検出すると、検出結果を生成します。
IAM Access Analyzer では、組織に適用されるアナライザーの検出結果を確認できるのは管理者アカウントだけです。組織アナライザーの場合、AwsAccountId ASFF フィールドには管理者アカウント ID が反映されます。ProductFields 下の ResourceOwnerAccountフィールドには、検出結果が発見されたアカウントが表示されます。アカウントごとにアナライザーを個別に有効にすると、Security Hub CSPM は複数の検出結果を生成します。1 つは管理者アカウント ID を識別し、もう 1 つはリソースアカウント ID を識別します。
詳細については、IAM ユーザーガイドのAWS「Security Hub CSPM との統合」を参照してください。
Amazon Inspector (検出結果の送信)
Amazon Inspector は、AWS のワークロードにおける脆弱性を継続的にスキャンする脆弱性管理サービスです。Amazon Inspector は、Amazon Elastic Container Registry に存在する EC2 インスタンスとコンテナイメージを自動的に検出してスキャンします。このスキャンでは、ソフトウェアの脆弱性と意図しないネットワークへのエクスポージャーがないかチェックします。
Security Hub CSPM を有効にすると、この統合は自動的に有効になります。Amazon Inspector から生成されたすべての検出結果が Security Hub CSPM に直ちに送信開始されます。
統合の詳細については、「Amazon Inspector ユーザーガイド」の「Integration with AWS Security Hub CSPM」を参照してください。
Security Hub CSPM は、Amazon Inspector Classic から検出結果を受信することもできます。Amazon Inspector Classic は、サポートされているすべてのルールパッケージの評価実行によって生成された Security Hub CSPM に、検出結果を送信します。
統合の詳細については、Amazon Inspector Classic ユーザーガイド」のAWS「Security Hub CSPM との統合」を参照してください。
Amazon Inspector と Amazon Inspector Classic の検出結果では、同じ製品の ARN が使用されます。Amazon Inspector の検出結果には、ProductFields に次のエントリがあります。
"aws/inspector/ProductVersion": "2",
注記
Amazon Inspector Code Security によって生成されたセキュリティ検出結果は、この統合では使用できません。ただし、これらの特定の検出結果には、Amazon Inspector コンソールおよび Amazon Inspector API からアクセスできます。
AWS IoT Device Defender(検出結果を送信します)
AWS IoT Device Defenderは、IoT デバイスの設定を監査し、接続されたデバイスをモニタリングして異常な動作を検出し、セキュリティリスクを軽減するのに役立つセキュリティサービスです。
AWS IoT Device Defenderと Security Hub CSPM の両方を有効にしたら、Security Hub CSPM コンソールの統合ページ
AWS IoT Device DefenderAudit は、特定の監査チェックタイプと監査タスクの一般情報を含むチェック概要を Security Hub CSPM に送信します。AWS IoT Device DefenderDetect は、機械学習 (ML)、統計、静的動作の違反検出結果を Security Hub CSPM に送信します。監査も、検出結果の更新を Security Hub CSPM に送信します。
この統合の詳細については、「AWS IoT デベロッパーガイド」の「Integration with AWS Security Hub CSPM」を参照してください。
Amazon Macie (検出結果の送信)
Amazon Macie は、機械学習とパターンマッチングを使用して機密データを検出し、データセキュリティリスクを可視化し、それらのリスクに対する自動保護を可能にするデータセキュリティサービスです。Macie の検出結果は、Amazon S3 データ資産に潜在的なポリシー違反または機密データが存在することを示している可能性があります。
Security Hub CSPM を有効にすると、Macie はポリシー検出結果を自動的に Security Hub CSPM に送信し始めます。機密データの検出結果も Security Hub CSPM に送信するように統合を構成できます。
Security Hub CSPM では、ポリシーまたは機密データの検出結果のタイプが、ASFF と互換性のある値に変更されます。例えば、Macie での Policy:IAMUser/S3BucketPublic 検出結果タイプは、Security Hub CSPM では Effects/Data Exposure/Policy:IAMUser-S3BucketPublic と表示されます。
Macie は、生成された検出結果のサンプルを Security Hub CSPM に送信します。検出結果のサンプルでは、影響を受けるリソースの名前は macie-sample-finding-bucket であり、Sample フィールドの値は true です。
詳細については、「Amazon Macie ユーザーガイド」の「Evaluating Macie findings with Security Hub」を参照してください。
Amazon Route 53 ResolverDNS ファイアウォール (検出結果を送信)
Amazon Route 53 ResolverDNS Firewall を使用すると、仮想プライベートクラウド (VPC) のアウトバウンド DNS トラフィックをフィルタリングおよび規制できます。これを行うには、DNS Firewall のルールグループで再利用可能なフィルタリングルールのコレクションを作成し、それらのルールグループを VPC に関連付け、さらに DNS Firewall のログやメトリクスでアクティビティを監視します。アクティビティに基づいて、DNS Firewall の動作を調整できます。DNS Firewall は Route 53 Resolver の機能です。
Route 53 Resolver DNS Firewall は、いくつかのタイプの検出結果を Security Hub CSPM に送信できます。
-
が管理するドメインリストAWSである AWSManaged Domain Lists に関連付けられたドメインについて、 でブロックまたはアラートが発生したクエリに関連する結果。
-
定義したカスタムドメインリストに関連付けられたドメインに対してブロックまたはアラートが発生したクエリに関連する検出結果。
-
DNS Firewall Advanced によってブロックまたはアラートされたクエリに関連する検出結果。DNS Firewall Advanced は、ドメイン生成アルゴリズム (DGA) や DNS トンネリングなどの高度な DNS 脅威に関連するクエリを検出できる Route 53 Resolver の機能です。
Security Hub CSPM と Route 53 Resolver DNS Firewall を有効にすると、DNS Firewall は AWSManaged Domain Lists と DNS Firewall Advanced の結果を Security Hub CSPM に自動的に送信し始めます。カスタムドメインリストの検出結果を Security Hub CSPM に送信するには、Security Hub CSPM で統合を手動で有効にします。
Security Hub CSPM では、Route 53 Resolver DNS Firewall のすべての検出結果のタイプは TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation です。
詳細については、「Amazon Route 53 デベロッパーガイド」の「Sending findings from Route 53 Resolver DNS Firewall to Security Hub」を参照してください。
AWS Systems ManagerPatch Manager (結果を送信)
AWS Systems ManagerPatch Manager は、お客様のフリート内のインスタンスがパッチコンプライアンス標準に準拠していない場合、結果を Security Hub CSPM に送信します。
Patch Manager は、セキュリティ関連のアップデートと他のタイプのアップデートの両方でマネージドインスタンスにパッチを適用するプロセスを自動化します。
Security Hub CSPM を有効にすると、この統合は自動的に有効になります。Systems Manager Patch Manager は、検出結果を Security Hub CSPM に直ちに送信します。
Patch Manager の使用の詳細については、「AWS Systems Manager ユーザーガイド」の「AWS Systems Manager Patch Manager」を参照してください。
AWSSecurity Hub CSPM から検出結果を受け取る サービス
以下のAWSサービスは Security Hub CSPM と統合されており、Security Hub CSPM から検出結果を受け取ります。特に明記されている場合、統合されたサービスは検出結果を更新する場合もあります。この場合、統合されたサービスで行った更新が見つかると、Security Hub CSPM にも反映されます。
AWS Audit Manager(検出結果を受信)
AWS Audit Managerは Security Hub CSPM から検出結果を受け取ります。これらの検出結果は、Audit Manager ユーザーが監査の準備をするうえで役立ちます。
Audit Manager の詳細については、AWSAudit Manager ユーザーガイドを参照してください。AWSAWS Audit Manager でサポートされている Security Hub CSPM のチェックでは、Security Hub CSPM が検出結果を Audit Manager に送信するコントロールの一覧が表示されます。
チャットアプリケーション での Amazon Q Developer (検出結果を受け取る)
チャットアプリケーションの Amazon Q Developer は、Slack チャンネルと Amazon Chime チャットルームの AWS リソースの監視と操作に役立つ対話型エージェントです。
チャットアプリケーションの Amazon Q Developer は、Security Hub CSPM から検出結果を受け取ります。
Security Hub CSPM とチャットアプリケーションの統合における Amazon Q Developer の詳細については、「Amazon Q Developer in chat applications Administrator Guide」の「Security Hub CSPM integration overview」を参照してください。
Amazon Detective (検出結果の受信)
Detective は AWSリソースからログデータを自動的に収集し、機械学習、統計分析、グラフ理論を使用して、より迅速かつ効率的なセキュリティ調査を視覚化して実行できるようにします。
Detective と Security Hub CSPM を統合することで、Security Hub CSPM の Amazon GuardDuty の検出結果を、Detective にピボットすることが許可されます。その後、Detective のツールと視覚化を使用して調査することができます。統合には、Security Hub CSPM または Detective に追加の設定をする必要はありません。
他の から受け取った検出結果の場合AWS のサービス、Security Hub CSPM コンソールの検出結果の詳細パネルには、Detective サブセクションの調査が含まれます。そのサブセクションには Detective へのリンクが含まれており、調査結果によって特定されたセキュリティ問題をさらに調査できます。Security Hub CSPM の検出結果に基づいて Detective で行動グラフを作成して、より効果的な調査を行うこともできます。詳細については、「Amazon Detective 管理ガイド」の「AWS セキュリティ検出結果」を参照してください。
クロスリージョン集約を有効にし、集約リージョンから方向を転換した場合、検出元のリージョンで Detective が開きます。
リンクが機能しない場合のトラブルシューティングのアドバイスについては、「ピボットのトラブルシューティング」を参照してください。
Amazon Security Lake (検出結果の受信)
Security Lake は、完全マネージド型のセキュリティデータレイクサービスです。Security Lake を使用すると、クラウド、オンプレミス、カスタムソースのセキュリティデータを、アカウントに保存されているデータレイクに自動的に一元化できます。サブスクライバーは、Security Lake のデータを調査や分析のユースケースに使用できます。
この統合をアクティブ化するには、両方のサービスを有効にし、Security Lake コンソール、Security Lake API、または で Security Hub CSPM をソースとして追加する必要がありますAWS CLI。これらの手順を完了すると、Security Hub CSPM はすべての検出結果を Security Lake に送信し始めます。
Security Lake は、Security Hub CSPM の検出結果を自動的に正規化し、Open Cybersecurity Schema Framework (OCSF) と呼ばれる標準化されたオープンソーススキーマに変換します。Security Lake では、Security Hub CSPM の検出結果を使用するサブスクライバーを 1 人以上追加できます。
Security Hub CSPM をソースとして追加する手順やサブスクライバーを作成する手順など、この統合の詳細については、「Amazon Security Lake ユーザーガイド」のAWS「Security Hub CSPM との統合」を参照してください。
AWS Systems ManagerExplorer と OpsCenter (結果の受信と更新)
AWS Systems ManagerExplorer と OpsCenter は Security Hub CSPM から検出結果を受け取り、それらの検出結果を Security Hub CSPM で更新します。
Explorer は、カスタマイズ可能なダッシュボードを提供し、ユーザーの運用の健全性と AWS 環境のパフォーマンスに関する主要なインサイトと分析を提供します。
OpsCenterでは、運用作業項目が一元的に表示され、調査と解決が可能です。
Explorer と OpsCenter の詳細については、「AWS Systems Manager ユーザーガイド」の「オペレーション管理」を参照してください。
AWS Trusted Advisor(検出結果を受信)
Trusted Advisorは、数十万人のAWSお客様にサービスを提供することから学んだベストプラクティスを活用しています。 Trusted Advisorはお客様のAWS環境を検査し、コスト削減、システムの可用性とパフォーマンスの向上、セキュリティギャップの解消に役立つ機会があれば、レコメンデーションを行います。
Trusted Advisorと Security Hub CSPM の両方を有効にすると、統合は自動的に更新されます。
Security Hub CSPM は、AWS基本的なセキュリティのベストプラクティスチェックの結果を に送信しますTrusted Advisor。
Security Hub CSPM との統合の詳細についてはTrusted Advisor、AWS「 サポートユーザーガイド」の「 での AWSSecurity Hub CSPM コントロールの表示AWS Trusted Advisor」を参照してください。
