Security Hub が AWS Config ルールを使用してセキュリティチェックを実行する方法

環境のリソースでセキュリティチェックを実行するには、 は標準で指定されたステップを使用する AWS Security Hub か、特定の AWS Config ルールを使用します。一部のルールはマネージドルールであり、 AWS Configによって管理されます。その他のルールは、Security Hub によって作成されるカスタムルールです。

AWS Config Security Hub がコントロールに使用する ルールは、Security Hub サービスによって有効および制御されるため、サービスにリンクされたルールと呼ばれます。

これらの AWS Config ルールに対するチェックを有効にするには、まずアカウント AWS Config で を有効にし、必要なリソースのリソース記録を有効にする必要があります。を有効にする方法については、 AWS Config「」を参照してくださいの設定 AWS Config。必要なリソース記録については、「AWS Config コントロールの検出結果を生成するために必要な リソース」を参照してください。

Security Hub がサービスリンクルールを生成する方法

AWS Config サービスにリンクされたルールを使用するコントロールごとに、Security Hub は必要なルールのインスタンスを AWS 環境内に作成します。

これらのサービスリンクルールは Security Hub に固有です。同じルールの他のインスタンスが既に存在している場合も、これらのサービスリンクルールが作成されます。サービスリンクルールでは securityhub が元のルール名の前に追加され、一意の識別子がルール名の後に追加されます。例えば、元の AWS Config マネージドルール の場合vpc-flow-logs-enabled、サービスにリンクされたルール名は のようになりますsecurityhub-vpc-flow-logs-enabled-12345。

コントロールの評価に使用できる AWS Config ルールの数には制限があります。Security Hub が作成するカスタム AWS Config ルールは、その制限にはカウントされません。アカウントのマネージドルール AWS Config の上限にすでに達している場合でも、セキュリティ標準を有効にできます。 AWS Config ルールの制限の詳細については、「 AWS Config デベロッパーガイド」の「サービスの制限」を参照してください。

コントロールの AWS Config ルールに関する詳細の表示

AWS Config マネージドルールを使用するコントロールの場合、コントロールの説明には AWS Config ルールの詳細へのリンクが含まれます。カスタムルールは、コントロールの説明からはリンクされていません。コントロールの説明については、「Security Hub コントロールのリファレンス」を参照してください。リストからコントロールを選択すると、その説明が表示されます。

これらのコントロールから生成された検出結果の場合、検出結果の詳細には関連する AWS Config ルールへのリンクが含まれます。検出結果の詳細から AWS Config ルールに移動するには、選択したアカウントで に移動するためのIAMアクセス許可も必要です AWS Config。

[Findings] (結果) ページ、[Insights] (インサイト) ページ、および [Integrations] (統合) ページの結果の詳細には、 AWS Config ルールの詳細への [Rules] (ルール) リンクが含まれます。「結果の詳細の確認」を参照してください。

コントロールの詳細ページで、結果リストの調査列に AWS Config ルールの詳細へのリンクが含まれています。検出結果リソースの AWS Config ルールの表示 を参照してください。