Security Hub でのカバレッジ検出結果 - AWS Security Hub
AWS Security Hub CSPM のカバレッジ結果Amazon GuardDuty のカバレッジ検出結果Amazon Inspector のカバレッジ検出結果Amazon Macie のカバレッジ検出結果カバレッジの検出結果の抑制

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub でのカバレッジ検出結果

Security Hub のカバレッジ検出結果は、どの AWS セキュリティ機能が有効になっているか、スタンドアロンアカウントまたは組織のメンバーアカウント全体でカバレッジにギャップがある可能性があるかを可視化します。現在、カバレッジ検出結果は、Amazon GuardDuty Amazon Inspector 、Amazon Macie、 AWS Security Hub CSPM で有効になっているサービスと機能のレポートをサポートしています。これらの検出結果は、Security Hub ダッシュボードの Security Coverage ウィジェットに表示され、特定のセキュリティ機能別により詳細なビューにドリルダウンできます。

制限事項

  • メンバーアカウントの場合、カバレッジ情報はリンクされた 全体で集計されますが AWS リージョン、そのメンバーアカウントに対してのみ集計されます。

  • Security Hub にオンボーディングされていないアカウントでは、カバレッジ情報は表示されません。

AWS Security Hub CSPM のカバレッジ結果

Security Hub CSPM カバレッジ検出結果は、認定された体制管理セキュリティ標準がアカウントで有効になっているかどうかを評価します。Security Hub CSPM 標準を有効にすると、 AWS Control Tower および リソースタグ付け標準を除き、 が対象になります。

Security Hub CSPM を有効にすると、デフォルトで有効になっている標準を検出するまでに最大 24 時間かかることがあります。

Amazon GuardDuty のカバレッジ検出結果

GuardDuty カバレッジ検出結果は、 AWS アカウントで GuardDuty が有効になっているか、またどの GuardDuty 機能が有効になっているかを評価します。

  • GuardDuty Malware Protection for Amazon EC2 – Amazon EC2 インスタンスをスキャンして潜在的なマルウェアがないか調べます

  • GuardDuty Amazon EKS Protection – Amazon EKS クラスター内の脅威について Kubernetes 監査ログをモニタリングします

  • GuardDuty Lambda Protection – Lambda 関数の呼び出しを分析して潜在的な脅威がないか調べます

  • GuardDuty Amazon S3 Protection – Amazon S3 バケットへの潜在的な脅威に関するデータイベントを分析します

  • GuardDuty Amazon RDS Protection – Amazon RDS データベースへの脅威を監視します

  • GuardDuty Runtime Monitoring – Amazon EC2 インスタンスのランタイム動作をリアルタイムでモニタリングします

  • GuardDuty Foundational Coverage – GuardDuty を有効化すると自動的にオンするベースライン GuardDuty 機能です

注記

GuardDuty Foundational Coverage 機能がオフになっていることを示すカバレッジ検出結果が得られたら、そのカバレッジ検出結果の対象アカウントで GuardDuty が有効になっていないことを意味します。

GuardDuty カバレッジの更新が組織内のすべてのメンバーアカウントに反映されるまでに、最大 24 時間かかることがあります。

Amazon Inspector のカバレッジ検出結果

Amazon Inspector のカバレッジ検出結果は、アカウントで Amazon Inspector が有効になっているかどうか、またどの機能が有効になっているかを評価します。

  • Inspector EC2 Scanning – Amazon EC2 インスタンスの脆弱性をスキャンします

  • Inspector ECR Scanning – Amazon ECR コンテナイメージの脆弱性をスキャンします

  • Inspector Lambda Standard Scanning – Lambda 関数の脆弱性をスキャンします

  • Inspector Lambda Code Scanning – Lambda コード関数をスキャンしてコードの脆弱性がないか調べます

Amazon Macie のカバレッジ検出結果

Macie のカバレッジ検出結果は、Macie が AWS アカウント全体で有効になっているかどうかを評価します。

  • Macie Automated Sensitive Data Discovery Coverage – 機密データについて Amazon S3 データ資産を継続的に評価します。

カバレッジ検出結果についての Macie の機密データ自動検出の更新が、組織内のすべてのメンバーアカウントに反映されるまでに最大 24 時間かかることがあります。

カバレッジの検出結果の抑制

デフォルトでは、セキュリティカバレッジの検出結果は、アカウントとリージョンに対して有効になっている Amazon GuardDuty、Amazon Inspector、Amazon Macie、および AWS Security Hub CSPM の機能を評価します。特定のセキュリティ機能が適用されない場合、または受け入れられるリスクがある場合は、抑制機能を使用して、他のすべての検出結果と同様のカバレッジ検出結果を抑制できます。カバレッジ検出結果が抑制されると、セキュリティカバレッジウィジェット内のカバレッジ計算には含まれず、ウィジェットには、抑制されたカバレッジ検出結果によってセキュリティ機能のカバレッジが除外され、その後に抑制された検出結果の数を示すメッセージが表示されます。

Security Hub でカバレッジ検出結果を抑制するには

  1. セキュリティカバレッジウィジェットを表示するときは、カバーされた割合のリンクを選択します。

  2. カバレッジポップアップから、カバレッジ結果の表示を選択します。ステータスが New の各検出結果は、観測されたカバレッジギャップの概要を示す検出結果になります。

  3. 抑制する各結果の横にあるチェックボックスをオンにします。

  4. ページの上部で、ステータスの更新を選択し、非表示を選択します。

  5. 「Set status to Suppressed」ダイアログボックスに、オプションでステータスを変更する理由の詳細を示すメモを入力します。その後、[ステータスの設定] を選択します。