CloudTrail を使用した Security Hub CSPM API コールのログ記録 - AWS Security Hub
CloudTrail の Security Hub CSPM 情報例: Security Hub CSPM ログファイルエントリ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CloudTrail を使用した Security Hub CSPM API コールのログ記録

AWS Security Hub Cloud Security Posture Management (CSPM) は AWS CloudTrail、Security Hub CSPM のユーザー、ロール、または サービスによって実行されたアクションを記録する AWS サービスである と統合されています。CloudTrail は、Security Hub CSPM の API コールをイベントとしてキャプチャします。キャプチャされた呼び出しには、Security Hub CSPM コンソールからの呼び出しと、Security Hub CSPM API オペレーションへのコード呼び出しが含まれます。証跡を作成する場合は、Security Hub CSPM のイベントなど、Amazon S3 バケットへの CloudTrail イベントの継続的な配信を有効にすることができます。証跡を設定しない場合でも、CloudTrail コンソールの [Event history (イベント履歴)] で最新のイベントを表示できます。CloudTrail が収集する情報を使用して、Security Hub CSPM に対して行われたリクエスト、リクエスト元の IP アドレス、リクエスト者、リクエスト日時などの詳細を確認できます。

設定や有効化の方法など、CloudTrail の詳細については、「AWS CloudTrail ユーザーガイド」を参照してください。

CloudTrail の Security Hub CSPM 情報

CloudTrail は、アカウントの作成 AWS アカウント 時に で有効になります。Security Hub CSPM でサポートされているイベントアクティビティが発生すると、そのアクティビティはイベント履歴の他の AWS サービスイベントとともに CloudTrail イベントに記録されます。最近のイベントは、アカウントで表示、検索、ダウンロードできます。詳細については、「CloudTrail Event 履歴でのイベントの表示」を参照してください。

Security Hub CSPM のイベントなど、アカウントのイベントの継続的な記録については、証跡を作成します。追跡を有効にすることで、CloudTrail でログファイルを Amazon S3 バケットに送信できるようになります。デフォルトでは、コンソールで追跡を作成すると、すべての AWS リージョンに追跡が適用されます。証跡は、 AWS パーティション内のすべてのリージョンからのイベントをログに記録し、指定した Amazon S3 バケットにログファイルを配信します。さらに、CloudTrail ログで収集したイベントデータをより詳細に分析し、それに基づいて対応するため、他の AWS サービスを構成できます。詳細については、次を参照してください:

Security Hub CSPM は、すべての Security Hub CSPM API アクションを CloudTrail ログのイベントとしてログ記録することをサポートしています。Security Hub CSPM オペレーションのリストを表示するには、「Security Hub CSPM API リファレンス」を参照してください。

次のアクションのアクティビティが CloudTrail にログ記録されると、responseElements の値は null に設定されます。これにより、機密性の高い情報が CloudTrail ログに含まれることがなくなります。

  • BatchImportFindings

  • GetFindings

  • GetInsights

  • GetMembers

  • UpdateFindings

各イベントまたはログエントリには、リクエストの生成者に関する情報が含まれます。アイデンティティ情報は、以下を判別するのに役立ちます。

  • リクエストがルートまたは AWS Identity and Access Management (IAM) ユーザー認証情報を使用して行われたかどうか

  • リクエストが、ロールとフェデレーティッドユーザーのどちらの一時的なセキュリティ認証情報を使用して送信されたか

  • リクエストが別の AWS サービスによって行われたかどうか

詳細については、「CloudTrail userIdentity エレメント」を参照してください。

例: Security Hub CSPM ログファイルエントリ

「トレイル」は、指定した Amazon S3 バケットにイベントをログファイルとして配信するように設定できます。CloudTrail のログファイルは、単一か複数のログエントリを含みます。イベントは任意ソースからの単一リクエストを表し、リクエストされたアクション、アクションの日時、リクエストパラメータなどの情報を含みます。CloudTrail ログファイルは、パブリック API コールの順序付けられたスタックトレースではないため、特定の順序では表示されません。

次の例は、CreateInsight アクションを示す CloudTrail ログエントリです。この例では、Test Insight というインサイトが作成されます。ResourceId 属性は、[Group by] (グループ化の条件) アグリゲータとして指定され、このインサイトに対するオプションのフィルターは指定されません。インサイトの詳細については、「Security Hub CSPM でのインサイトの表示」を参照してください。

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAJK6U5DS22IAVUI7BW",
        "arn": "arn:aws:iam::012345678901:user/TestUser",
        "accountId": "012345678901",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "TestUser"
    },
    "eventTime": "2018-11-25T01:02:18Z",
    "eventSource": "securityhub.amazonaws.com",
    "eventName": "CreateInsight",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "205.251.233.179",
    "userAgent": "aws-cli/1.11.76 Python/2.7.10 Darwin/17.7.0 botocore/1.5.39",
    "requestParameters": {
        "Filters": {},
        "ResultField": "ResourceId",
        "Name": "Test Insight"
    },
    "responseElements": {
        "InsightArn": "arn:aws:securityhub:us-west-2:0123456789010:insight/custom/f4c4890b-ac6b-4c26-95f9-e62cc46f3055"
    },
    "requestID": "c0fffccd-f04d-11e8-93fc-ddcd14710066",
    "eventID": "3dabcebf-35b0-443f-a1a2-26e186ce23bf",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "recipientAccountId": "012345678901"
}