Security Hub のオートメーション

注記

Security Hub はプレビューリリースであり、変更される可能性があります。

Security Hub には、仕様に基づいて検出結果を自動的に変更してアクションを実行する機能が含まれています。

Security Hub は現在、次のタイプのオートメーションをサポートしています。

• 自動化ルール – 定義された基準に基づいて、検出結果を自動的に更新および抑制し、検出結果をほぼリアルタイムでチケット発行ツールに送信します。

• 自動対応と修正 — 特定の検出結果やインサイトに対して実行する自動アクションを定義するカスタム Amazon EventBridge ルールを作成できます。

自動化ルールは、Open Cybersecurity Schema Framework (OCSF) の検出結果フィールドを自動的に更新する場合に役立ちます。たとえば、オートメーションルールを使用して、特定のタグを持つリソースの検出結果の重要度レベルを更新できます。自動化ルールを使用すると、特定のタグに関連する各検出結果の重要度レベルを手動で更新する必要がなくなります。自動化ルールを設定して、検出結果が特定の属性と一致するServiceNow場合に、 Jira Cloudや などのツールでチケットを作成できます。これにより、検出結果は、Security Hub に送信されるか、Security Hub で作成されるとすぐにチケットに作成できます。

EventBridge ルールは、特定の検出結果に関して Security Hub CSPM の外部でアクションを実行する場合や、修復や追加調査のために特定の検出結果をサードパーティーのツールに送信する場合に便利です。ルールを使用して、 AWS Lambda 関数の呼び出しや、特定の検出結果に関する Amazon Simple Notification Service (Amazon SNS) トピックの通知など、サポートされているアクションをトリガーできます。

自動化ルールは、EventBridge ルールが適用される前に有効になります。つまり、EventBridge が検出結果を受信する前に自動化ルールがトリガーされ、検出結果が更新されます。その後、EventBridge のルールが更新された検出結果に適用されます。