OpsCenter で AWS Security Hub から検出結果を受領 - AWS Systems Manager

OpsCenter で AWS Security Hub から検出結果を受領

AWS Security Hub では、AWS のセキュリティ状態を包括的に把握し、セキュリティ業界標準およびベストプラクティスに照らして環境をチェックするのに役立ちます。Security Hub は、複数の AWS アカウント、サービス、およびサポートされているサードパーティーパートナー、製品からセキュリティデータを収集して、セキュリティの傾向を分析し、最も優先度の高いセキュリティ問題を特定するのに役立ちます。

AWS Systems Manager OpsCenter と Security Hub との統合により、OpsCenter で Security Hub から検出結果を受け取ることができます。Security Hub の検出結果は、OpsCenter で使用できるセキュリティ情報を提供します。この情報を使用して、Systems Manager のセキュリティ、パフォーマンス、および運用上の問題を集計し、アクションを実行できます。

OpsCenter で運用上の問題 (OpsItems) を自動的に作成して、重要度が 「非常事態」および「高」 の検出結果を診断および修復できます。診断に役立つように、OpsItem には、AWS リソース ID やタイプ、検出結果の詳細などの関連情報が含まれています。OpsCenter 内で Systems Manager Automation ランブックを使用して、事前定義されたワークフローを実行し、AWS リソースに関する一般的なセキュリティ問題を修正することもできます。

OpsCenter は、Security Hub との双方向の統合を実現しています。セキュリティに関する検出結果に関連する OpsItem のステータスフィールドと重要度フィールドを更新すると、それらの変更は自動的に Security Hub に送信され、常に最新で正しい情報が表示されます。OpsCenter も AWS Systems Manager Explorer (Explorer) に統合されています。Explorer では、Security Hub のすべての検出結果の概要を重要度に基づいて示すウィジェットを表示できます。

OpsCenter が Security Hub から検出結果を受け取る方法

Security Hub では、セキュリティの問題が調査結果として追跡されます。結果の中には、他の AWS のサービスやサードパーティーのパートナーが検出した問題に由来するものもあります。Security Hub には、セキュリティの問題を検出し、調査結果を生成するために使用する一連のルールもあります。

AWS Systems Manager OpsCenter は、Security Hub から結果を受け取る AWS のサービスの 1 つです。

Security Hub から検出結果を受け取るメカニズム

Security Hub から結果を受け取るために、OpsCenter は Security Hub が Amazon EventBridge と統合している点を活用します。Security Hub は EventBridge に結果を送信し、EventBridge はイベントルールを使用して結果を OpsCenter に送信し返します。

OpsCenter が受け取る検出結果の種類

重要度が「非常事態」および「高」の検出結果については、OpsItems が自動的に作成されます。統合の有効化と設定 で後述するように、重要度が Medium および Low の検出結果が表示されるように OpsCenter を設定できます。重要度が Informational 以外のすべての検出結果に対して OpsItems を作成するように OpsCenter と Explorer を設定できます。Security Hub の結果の重要度の詳細については、AWS Security Hub ユーザーガイドの「重要度」を参照してください。

Security Hub から検出結果を受け取るにはどれくらい時間がかかりますか?

Security Hub によって新しい結果が作成されると、通常は数秒以内に OpsCenter に表示されます。

システムの停止がある場合は再試行する

Security Hub のデータは、システムの停止時に再試行するまで最大 7 日間、OpsCenter に保持されます。Security Hub は、すべての Security Hub 標準ルールで 12 時間ごとに更新されます。

統合の有効化と設定

Security Hub との統合を利用するには、Security Hub を有効にする必要があります。Security Hub を有効にする方法については、AWS Security Hub ユーザーガイドの「Setting up Security Hub(Security Hub の設定)」を参照してください。

次の手順では、Security Hub を設定し、検出結果の受信を開始する方法について説明します。

Security Hub の検出結果の受信を開始するには

  1. AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。

  2. ナビゲーションペインで、[OpsCenter] を選択します。

  3. OpsItems を選択します。次に、[ソースの設定] を選択します。

  4. [Security Hub の結果 ] セクションで、[ 編集] を選択します。

  5. [Disabled (無効)] スライダーを選択して、Security Hub の検出結果から OpsItems が自動的に作成されるようにします。

    セキュリティ結果が Critical と High の場合は、デフォルトで OpsItems が作成されます。Medium と Low のセキュリティ結果に対して OpsItems を作成するには、[Medium,Low] の横にある [Disabled (無効)] スライダーを選択します。

    必要に応じて Security Hub 統合を設定したら、[保存] を選択します。

Security Hub の検出結果を表示する方法

次の手順では、Security Hub の検出結果を表示する方法について説明します。

Explorer で Security Hub の結果を表示するには

  1. AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。

  2. ナビゲーションペインで、[Explorer] を選択します。

  3. Security Hub の検出結果ウィジェットに移動します。詳細リストビューで表示する重要度を選択します。対応する OpsItem が表示されます。

検出結果の受け取りを停止する方法

次の手順では、Security Hub の検出結果の受信を停止する方法について説明します。

Security Hub の検出結果の受信を停止するには

  1. AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。

  2. ナビゲーションペインで、[OpsCenter] を選択します。

  3. OpsItems を選択します。次に、[ソースの設定] を選択します。

  4. [Security Hub の結果 ] セクションで、[ 編集] を選択します。

  5. Security Hub の検出結果から OpsItems が自動作成されるのを無効にするには、[Enable (有効)] スライダーを選択します。次に、[保存] を選択します。