Security Hub CSPM での検出結果のフィルタリング - AWSSecurity Hub
検出結果リストのデフォルトフィルターフィルターを追加する手順

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub CSPM での検出結果のフィルタリング

AWSSecurity Hub CSPM は、セキュリティチェックから独自の検出結果を生成し、統合製品から検出結果を受け取ります。検出結果のリストは、Security Hub CSPM コンソールページの [検出結果] ページ、[統合] ページ、および [インサイト] ページに表示できます。フィルターを追加して、リストが組織またはユースケースに関連しているように検出結果リストを絞り込むことができます。

特定のセキュリティコントロールの検出結果をフィルタリングする方法については、「コントロール検出結果のフィルタリングとソート」を参照してください。このページの情報は、[検出結果][インサイト]、および [統合] ページの検出結果リストに適用されます。

検出結果リストのデフォルトフィルター

デフォルトでは、Security Hub CSPM コンソールの検出結果リストは、AWS Security Finding 形式 (ASFF) の RecordState および Workflow.Status フィールドに基づいてフィルタリングされます。これは、特定のインサイトまたは統合のフィルターに加えて追加されるフィルターです。

レコードの状態は、その検出結果がアクティブかアーカイブされているかを示します。デフォルトでは、検出結果リストにはアクティブな検出結果のみが表示されます。検出結果プロバイダーは、検出結果がアクティブでなくなった場合や重要でなくなった場合は、その検出結果をアーカイブできます。また、関連するリソースが削除されると、Security Hub CSPM はコントロールの検出結果も自動的にアーカイブします。

ワークフローステータスは、検出結果に対する調査のステータスを示します。デフォルトでは、検出結果リストには、ワークフローステータスが NEW または NOTIFIED の検出結果のみが表示されます。検出結果のワークフローステータスを更新することができます。

フィルターを追加する手順

検出結果リストは、最大 10 個の属性でフィルタリングできます。各属性に対して、最大 20 個のフィルター値を提供できます。

結果リストをフィルタリングする場合、Security Hub CSPM は AND ロジックをフィルターセットに適用します。検出結果は、指定されたすべてのフィルターに一致する場合にのみ一致となります。たとえば、[製品名] のフィルターとして GuardDuty を追加し、[リソースタイプ] のフィルターとして AwsS3Bucket を追加した場合、Security Hub CSPM はこれら両方の条件に一致する検出結果を表示します。

同じ属性に異なる値を使用するフィルターの場合、Security Hub CSPM は OR ロジックを適用します。たとえば、GuardDuty と Amazon Inspector の両方を [製品名] のフィルター値として追加すると、Security Hub CSPM は GuardDuty または Amazon Inspector によって生成された検出結果を表示します。

検出結果リストにフィルターを追加するには (コンソール)

  1. https://console.aws.amazon.com/securityhub/ で AWSSecurity Hub CSPM コンソールを開きます。

  2. 検出結果リストを表示するには、以下のナビゲーションペインからいずれかのアクションを実行します。

    • [検出結果] を選択します。

    • [Insights] を選択します。インサイトを選択します。次に、結果リストで、インサイトの結果を選択します。

    • [統合] を選択します。統合の [検出結果を表示] を選択します。

  3. [フィルターの追加] ボックスで、フィルタリングする 1 つ以上のファイルを選択します。

    会社名または製品名でフィルタリングする場合、コンソールは AWSSecurity Finding Format (ASFF) の最上位 CompanyNameおよび ProductNameフィールドを使用します。API は、ProductFields でネストされた値を使用します。

  4. フィルターの一致タイプを選択します。

    文字列フィルターの場合、次のオプションの中から選択できます。

    • is - フィルター値と完全に一致する値を検索します。

    • starts with - フィルター値で始まる値を検索します。

    • is not - フィルター値と一致しない値を検索します。

    • does not start with - フィルター値で始まらない値を検索します。

    [リソースタグ] フィールドでは、特定のキーまたは値に基づいてフィルタリングできます。

    数値フィルターの場合、単一の数値 ([Simple] (シンプル)) を指定するか、数値の範囲 ([Range] (範囲)) を指定するかを選択できます。

    日時フィルターの場合、現在の日時からの時間の長さ ([Rolling window] (ローリングウィンドウ)) を指定するか、特定の日付範囲 ([Fixed range] (固定範囲)) を指定するかを選択できます。

    複数のフィルターを追加した場合、以下のように相互作用します。

    • is および starts with フィルターは OR で結合されます。フィルター値のいずれかが含まれている場合に、値が一致となります。例えば、[Severity label is CRITICAL] (重要度ラベルは重大) および [Severity label is HIGH] (重要度ラベルは高)と指定している場合、結果には重要度が重大な検出結果と重要度の高い検出結果の両方が含まれます。

    • is not および does not start with フィルターは AND で結合されます。値は、これらのフィルター値を一切含まなかった場合にのみ一致となります。例えば、[Severity label is not LOW] (重要度ラベルが低ではない) および [Severity label is not MEDIUM] (重要度ラベルは中ではない) と指定した場合、結果に重要度が低または中の検出結果は含まれません。

    フィールドに is フィルターを適用した場合、同じフィールドに is not または does not start with フィルターを使用することはできません。

  5. フィルター値を指定します。文字列フィルターの場合、フィルター値では大文字と小文字が区別されます。

  6. [Apply] (適用) を選択します。

    既存のフィルターの場合、フィルター一致タイプまたは値を変更することができます。フィルタリングされた検出結果リストで、フィルターを選択します。[フィルターの編集]ボックスで、新しい一致タイプまたは値を選択し、[適用] を選択します。

    フィルターを削除するには、[x] アイコンを選択します。リストが自動的に更新され、変更が反映されます。