Security Hub CSPM の概念と用語

AWS リソースを含む標準の Amazon Web Services (AWS) アカウント。アカウント AWS で にサインインし、Security Hub CSPM を有効にできます。

アカウントは、他のアカウントを招待して Security Hub CSPM を有効にし、Security Hub CSPM でそのアカウントに関連付けることができます。メンバーシップの招待の承諾はオプションです。招待が承諾されると、アカウントは管理者アカウントになり、追加されたアカウントはメンバーアカウントになります。管理者アカウントは、メンバーアカウントの結果を表示できます。

に登録している場合 AWS Organizations、組織は組織の Security Hub CSPM 管理者アカウントを指定します。Security Hub CSPM 管理者アカウントは、他の組織アカウントをメンバーアカウントとして有効にできます。

アカウントは、同時に管理アカウントとメンバーアカウントの両方になることはできません。アカウントに付与される管理者アカウントは 1 つだけです。

詳細については、「Security Hub CSPM での管理者アカウントとメンバーアカウントの管理」を参照してください。

関連付けられたメンバーアカウントの結果を表示するためのアクセス権が付与されている Security Hub CSPM のアカウント。

アカウントには次のいずれかの方法で管理者アカウントが付与されます:

アカウントに付与される管理者アカウントは 1 つだけです。アカウントは、同時に管理アカウントとメンバーアカウントの両方になることはできません。

集約リージョンを設定すると、複数の のセキュリティ検出結果を AWS リージョン 1 つの画面で表示できます。

集約リージョンは、結果の表示と管理を行うリージョンです。結果は、リンクされたリージョンから集約リージョンに集約されます。結果の更新は、リージョン全体で複製されます。

集約リージョンでは、[Security standards] (セキュリティ基準)、[Insights] (インサイト)、[Findings] (結果) の各ページに、リンクされたすべてのリージョンの結果が表示されます。

詳細については、「Security Hub CSPM でのクロスリージョン集約について」を参照してください。

レコード状態 (RecordState) が である検出結果ARCHIVED。結果がアーカイブされる場合、結果プロバイダーでは結果の関連性がなくなったとみなしているということを意味します。レコードの状態は、調査結果の調査のステータスを追跡するワークフローステータスとは異なります。

検出結果プロバイダーは、Security Hub CSPM API の BatchImportFindingsオペレーションを使用して、作成した検出結果をアーカイブできます。Security Hub CSPM は、特定の基準を満たすコントロールの検出結果を自動的にアーカイブします。詳細については、「コントロールの検出結果の生成、更新、アーカイブ」を参照してください。

Security Hub CSPM コンソールでは、デフォルトのフィルター設定により、アーカイブされた検出結果が検出結果リストとテーブルから除外されます。アーカイブされた結果を含めるように設定を更新できます。Security Hub CSPM API の GetFindingsオペレーションを使用して検出結果を取得すると、そのオペレーションはアーカイブされた検出結果とアクティブな検出結果の両方を取得します。アーカイブされた結果を除外するには、結果をフィルタリングします。例:

"RecordState": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "ARCHIVED"
    }
],

Security Hub CSPM が集約または生成する検出結果の内容の標準化された形式。 AWS Security Finding 形式を使用すると、Security Hub CSPM を使用して、セキュリティチェックの実行から AWS セキュリティサービス、サードパーティーソリューション、または Security Hub CSPM 自体によって生成された検出結果を表示および分析できます。詳細については、「AWS Security Finding 形式 (ASFF)」を参照してください。

情報の機密性、完全性、可用性を保護し、定義された一連のセキュリティ要件を満たすように設計された、情報システムまたは組織に対して規定された保護または対策。セキュリティ標準はコントロールのコレクションに関連付けられています。

セキュリティコントロールという用語は、標準全体でコントロール ID とタイトルが 1 つしかないコントロールを指します。標準コントロールという用語は、標準固有のコントロール ID とタイトルを持つコントロールを指します。現在、Security Hub CSPM は、中国リージョン および でのみ標準コントロールをサポートしています AWS GovCloud (US) Regions。セキュリティコントロールは、その他すべてのリージョンでサポートされています。

選択した結果を EventBridge に送信するための Security Hub CSPM メカニズム。カスタムアクションは Security Hub CSPM に作成されます。その後、EventBridge ルールにリンクされます。このルールでは、カスタムアクション ID に関連付けられた結果を受け取ったときに実行する特定のアクションが定義されています。カスタムアクションを使用すると、例えば特定の結果や少数の一連の結果を応答または修復ワークフローに送信できます。詳細については、「カスタムアクションを作成する」を参照してください。

では AWS Organizations、サービスの委任管理者アカウントは、組織のサービスの使用を管理できます。

Security Hub CSPM では、Security Hub CSPM 管理者アカウントは Security Hub CSPM の委任管理者アカウントでもあります。組織管理アカウントが最初に Security Hub CSPM 管理者アカウントを指定すると、Security Hub CSPM は Organizations を呼び出して、そのアカウントを委任管理者アカウントにします。

次に、組織管理アカウントは、すべてのリージョンで Security Hub CSPM 管理者アカウントとして委任管理者アカウントを選択する必要があります。

セキュリティチェックまたはセキュリティ関連の検出の監視可能なレコード。Security Hub CSPM は、コントロールのセキュリティチェックを完了した後に検出結果を生成します。これらはコントロールの検出結果と呼ばれます。検出結果は、他の AWS のサービス およびサードパーティー製品との統合からも得られます。

詳細については、「Security Hub CSPM での検出結果の作成と更新」を参照してください。

結果、インサイト、コントロールコンプライアンスのステータス、セキュリティスコアを、リンクされたリージョンから集約リージョンへ集約。次に、集約リージョンのすべてのデータを表示し、集約リージョンの結果とインサイトを更新できます。

詳細については、「Security Hub CSPM でのクロスリージョン集約について」を参照してください。

他の AWS サービスやサードパーティーのパートナープロバイダーから Security Hub CSPM に結果をインポートすること。

結果取り込みイベントには、新しい結果と既存の結果の更新が含まれます。

関連する結果のコレクションで、集約ステートメントとオプションのフィルターによって定義されます。インサイトは、注意と介入が必要なセキュリティ領域を特定します。Security Hub CSPM には、変更できないマネージド (デフォルト) インサイトがいくつか用意されています。カスタム Security Hub CSPM インサイトを作成して、 AWS 環境と使用状況に固有のセキュリティ問題を追跡することもできます。詳細については、「Security Hub CSPM でのインサイトの表示」を参照してください。

クロスリージョン集約を有効にすると、リンクされたリージョンは、結果、インサイト、コントロールコンプライアンスのステータス、セキュリティスコアを、集約リージョンに集約するリージョンとなります。

リンクされたリージョンでは、[Findings] (結果) および [Insights] (インサイト) ページに、そのリージョンの結果のみが表示されます。

詳細については、「Security Hub CSPM でのクロスリージョン集約について」を参照してください。

結果を確認してアクションを実行する許可を管理者アカウントに付与したアカウント。

アカウントは次のいずれかの方法でメンバーアカウントになります。

コントロールにマッピングされる一連の業界または規制要件。

コントロールが遵守されているかどうかを評価するために使用される一連の自動条件。ルールは、評価されると、合格または不合格が指定されます。ルールは、評価によって合格または不合格を特定できなかった場合、警告状態になります。ルールを評価できない場合、そのルールは使用不可の状態になります。

1 つのリソースに対するルールの特定のポイントインタイム評価。PASSED、FAILED、WARNING、または NOT_AVAILABLE の状態を特定します。セキュリティチェックを実行すると、結果が生成されます。

組織の Security Hub CSPM メンバーシップを管理する組織アカウント。

組織管理アカウントは、各リージョンの Security Hub CSPM 管理者アカウントを指定します。組織管理アカウントは、すべてのリージョンで同じ Security Hub CSPM 管理者アカウントを選択する必要があります。

Security Hub CSPM 管理者アカウントは、Organizations の Security Hub CSPM の委任管理者アカウントでもあります。

Security Hub CSPM 管理者アカウントは、任意の組織アカウントをメンバーアカウントとして有効にできます。Security Hub CSPM 管理者アカウントは、他のアカウントをメンバーアカウントに招待することもできます。

特性を指定するトピックについてパブリッシュされたステートメント。通常は測定可能で、コントロールの形式であり、コンプライアンスを満たしているか、達成している必要があます。セキュリティ標準は規制の枠組みや、ベストプラクティス、社内のポリシーなどに基づいています。コントロールは、Security Hub CSPM でサポートされている 1 つ以上の標準に関連付けることができます。Security Hub CSPM のセキュリティ標準の詳細については、「」を参照してくださいSecurity Hub CSPM のセキュリティ標準について。

Security Hub CSPM コントロールに割り当てられた重要度は、コントロールの重要性を識別します。コントロールの重要度は、[Critical] (重要)、[High] (高)、[Medium] (中)、[Low] (低) または [Informational] (情報) のいずれかです。コントロールの結果に割り当てられる重要度は、そのコントロール自体の重要度と同等です。Security Hub CSPM がコントロールに重要度を割り当てる方法については、「」を参照してくださいコントロールの検出結果の重要度レベル。

結果の調査ステータス。これは 属性を使用して追跡されますWorkflow.Status。

ワークフローステータスは、初期状態では NEW です。リソース所有者に結果に対するアクションを実行するように通知した場合は、ワークフローステータスを NOTIFIED に設定できます。結果に問題がなく、アクションが不要な場合は、ワークフローステータスを SUPPRESSED に設定します。結果を確認して修正したら、ワークフローステータスを RESOLVED に設定します。

デフォルトでは、ほとんどの結果リストに含まれている結果のワークフローステータスは、NEW または NOTIFIED のみです。コントロールの結果リストには、ステータスが RESOLVED の結果も含まれます。

GetFindings オペレーションでは、ワークフローステータスのフィルターを含めることができます。

"WorkflowStatus": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "RESOLVED"
    }
],

Security Hub CSPM コンソールには、検出結果のワークフローステータスを設定するオプションがあります。お客様 (または結果プロバイダーの結果をお客様に代わって更新する SIEM、チケット発行、インシデント管理、または SOAR ツール) は、BatchUpdateFindings を使用してワークフローステータスを更新することもできます。