Security Hub でのカバレッジ検出結果 - AWS Security Hub
AWS Security Hub CSPM のカバレッジ検出結果Amazon GuardDuty のカバレッジ検出結果Amazon Inspector のカバレッジ検出結果Amazon Macie のカバレッジ検出結果

Security Hub でのカバレッジ検出結果

注記

Security Hub はプレビューリリース段階で、変更される可能性があります。

Security Hub のカバレッジ検出結果は、どの AWS セキュリティ機能が有効になっているか、またスタンドアロンアカウントまたは組織のメンバーアカウント全体でカバレッジにギャップがある可能性があるかを可視化します。追加のセキュリティ機能を有効にすることで、Security Hub の検出機能を強化できます。カバレッジ検出結果は、GuardDuty、Amazon Inspector、Macie、Security Hub CSPM のどの機能がアカウントで有効化されているかを評価します。これらの検出結果は、Security Hub ダッシュボードの Security Coverage ウィジェットに表示され、特定のセキュリティ機能別により詳細なビューにドリルダウンできます。委任管理者の場合、このウィジェットには、Security Hub が有効化されているすべてのメンバーアカウントのカバレッジ内訳が表示されます。

制限

  • メンバーアカウントの場合、カバレッジ情報はリンクされた AWS リージョン 全体で、そのメンバーアカウントについてのみ集計されます。

  • Security Hub にオンボーディングされていないアカウントのカバレッジ情報は表示されません

AWS Security Hub CSPM のカバレッジ検出結果

Security Hub CSPM カバレッジ検出結果は、認定された体制管理セキュリティ標準がアカウントで有効になっているかどうかを評価します。有効化されたすべての Security Hub CSPM 標準は、AWS Control Tower およびリソースタグ付け標準を除いて認定されます。

Security Hub CSPM を有効にすると、デフォルトで有効になっている標準を検出するまでに最大 24 時間かかることがあります。

Amazon GuardDuty のカバレッジ検出結果

GuardDuty カバレッジ検出結果は、AWS アカウント で GuardDuty が有効になっているか、またどの GuardDuty 機能が有効になっているかを評価します。

  • GuardDuty Malware Protection for Amazon EC2 – Amazon EC2 インスタンスをスキャンして潜在的なマルウェアがないか調べます

  • GuardDuty Amazon EKS Protection – Amazon EKS クラスター内の脅威について Kubernetes 監査ログをモニタリングします

  • GuardDuty Lambda Protection – Lambda 関数の呼び出しを分析して潜在的な脅威がないか調べます

  • GuardDuty Amazon S3 Protection – Amazon S3 バケットへの潜在的な脅威に関するデータイベントを分析します

  • GuardDuty Amazon RDS Protection – Amazon RDS データベースへの脅威を監視します

  • GuardDuty Runtime Monitoring – Amazon EC2 インスタンスのランタイム動作をリアルタイムでモニタリングします

  • GuardDuty Foundational Coverage – GuardDuty を有効化すると自動的にオンするベースライン GuardDuty 機能です

注記

GuardDuty Foundational Coverage 機能がオフになっていることを示すカバレッジ検出結果が得られたら、そのカバレッジ検出結果の対象アカウントで GuardDuty が有効になっていないことを意味します。

GuardDuty カバレッジの更新が組織内のすべてのメンバーアカウントに反映されるまでに、最大 24 時間かかることがあります。

Amazon Inspector のカバレッジ検出結果

Amazon Inspector のカバレッジ検出結果は、アカウントで Amazon Inspector が有効になっているかどうか、またどの機能が有効になっているかを評価します。

  • Inspector EC2 Scanning – Amazon EC2 インスタンスの脆弱性をスキャンします

  • Inspector ECR Scanning – Amazon ECR コンテナイメージの脆弱性をスキャンします

  • Inspector Lambda Standard Scanning – Lambda 関数の脆弱性をスキャンします

  • Inspector Lambda Code Scanning – Lambda コード関数をスキャンしてコードの脆弱性がないか調べます

Amazon Macie のカバレッジ検出結果

Macie のカバレッジ検出結果は、Macie が AWS アカウント 全体で有効になっているかどうかを評価します。

  • Macie Automated Sensitive Data Discovery Coverage – 機密データについて Amazon S3 データ資産を継続的に評価します。

カバレッジ検出結果についての Macie の機密データ自動検出の更新が、組織内のすべてのメンバーアカウントに反映されるまでに最大 24 時間かかることがあります。