Security Hub CSPM での検出結果詳細と検出結果履歴のレビュー - AWS Security Hub
検出結果の詳細と履歴の確認

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub CSPM での検出結果詳細と検出結果履歴のレビュー

AWS Security Hub CSPM では、検出結果はセキュリティチェックまたはセキュリティ関連の検出の観測可能なレコードです。Security Hub CSPM は、コントロールのセキュリティチェックを完了し、統合された AWS のサービス やサードパーティー製品から検出結果を取り込むときに検出結果を生成します。各検出結果には、変更の履歴や、重要度の評価や影響を受けるリソースに関する情報など、その他の詳細が含まれます。

個々の検出結果の履歴やその他の詳細は、Security Hub CSPM コンソールで確認できるほか、Security Hub CSPM API または AWS CLIを使用してプログラムで確認できます。

分析を効率化するために、特定の検出結果を選択すると、Security Hub CSPM コンソールで検出結果パネルが表示されます。このパネルには、検出結果の特定の詳細を確認するための複数のメニューやタブが含まれています。

アクションメニュー

このメニューから、検出結果の完全な JSON を確認したり、メモを追加したりできます。検出結果には、一度に 1 つのみメモをアタッチすることができます。このメニューには、検出結果のワークフローステータスを設定したり、Amazon EventBridge のカスタムアクションに検出結果を送信したりするためのオプションもあります。

調査メニュー

このメニューから、Amazon Detective で検出結果を調査できます。Detective は、検出結果から IP アドレスや AWS ユーザーなどのエンティティを抽出し、アクティビティを視覚化します。エンティティアクティビティを出発点として使用して、検出結果の原因と影響を調べることができます。

[Overview (概要)] タブ

このタブには、検出結果の概要が表示されます。たとえば、検出結果がいつ作成され、最後に更新されたか、そのアカウントが存在するか、検出結果のソースを判断できます。コントロールの検出結果については、このタブには、関連する AWS Config ルールの名前と、Security Hub CSPM ドキュメントの修復ガイダンスへのリンクも表示されます。

[概要] タブの [リソース] スナップショットでは、検出結果に関連するリソースの概要を確認できます。一部のリソースでは、関連する AWS のサービス コンソールの影響を受けるリソースに直接リンクする Open resource オプションが含まれます。履歴スナップショットには、履歴が追跡されている最新の日付に検出結果に加えられた最大 2 つの変更が表示されます。例えば、昨日 1 つの変更と今日 1 つの変更を行った場合、スナップショットには今日の変更が表示されます。以前のエントリを確認するには、[履歴] タブに切り替えます。

コンプライアンス行が展開され、詳細が表示されます。例えば、パラメータを含むコントロールの場合、コントロールのセキュリティチェックを実行するときに Security Hub CSPM が使用する現在のパラメータ値を確認できます。

[リソース] タブ

このタブには、検出結果に関連するリソースの詳細が表示されます。リソースを所有するアカウントにサインインしている場合は、該当する AWS のサービス コンソールでリソースを確認できます。リソースの所有者でない場合、このタブには所有者の AWS アカウント ID が表示されます。

[詳細] の行には、検出結果のリソース固有の詳細が表示されます。検出結果 ResourceDetails のセクションが JSON 形式で表示されます。

[タグ] 行には、検出結果に関連するリソースに割り当てられたタグキーと値が表示されます。 AWS Resource Groups タグ付け API の GetResources オペレーションでサポートされているリソースはタグ付けできます。Security Hub CSPM は、新規または更新された検出結果を処理する時に、サービスにリンクされたロールを使用してこの操作を呼び出し、 AWS Security Finding 形式 (ASFF) の Resource.Id フィールドにリソースの ARN が入力されている場合は、そのリソースタグを取得します。Security Hub CSPM は無効なリソース ID を無視します。検出結果にリソースタグを含める方法の詳細については、「タグ」を参照してください。

履歴タブ

このタブは、検出結果の履歴を追跡します。検出結果履歴は、アクティブな検出結果とアーカイブされた検出結果に利用できます。これは、ASFF フィールドのどのフィールドが変更されたか、いつ変更が行われたか、どのユーザーによって行われたかなど、時間の経過に伴う検出結果に対して加えられた変更の履歴を改変不能な形で記録します。タブの各ページには、最大 20 個の変更が表示されます。最新の変更が最初に表示されます。

アクティブな検出結果の場合、検出結果履歴は最大 90 日間使用できます。アーカイブされた検出結果の場合、検出結果履歴は最大 30 日間使用できます。検出結果履歴には、Security Hub CSPM 自動化ルールを通じてユーザーが手動でまたは自動的に行った変更が含まれます。CreatedAt および UpdatedAt フィールドなどの最上位のタイムスタンプフィールドへの変更は含まれません。

Security Hub CSPM 管理者アカウントにサインインしている場合、検出結果の履歴は、管理者アカウントとすべてのメンバーアカウントのためのものです。

[脅威] タブ

このタブには、脅威のタイプやリソースがターゲットかアクターかなど、ASFF の ActionMalware、および ProcessDetails オブジェクトのデータが含まれます。これらの詳細は、通常、Amazon GuardDuty で発生した検出結果に適用されます。

[脆弱性] タブ

このタブには、検出結果に関連するエクスプロイトや利用可能な修正があるかどうかなど、ASFF の Vulnerability オブジェクトからのデータが表示されます。これらの詳細は、通常、Amazon Inspector で発生した検出結果に適用されます。

各タブの行には、コピーまたはフィルターオプションが含まれます。例えば、ワークフローステータスが [通知済み] である検出結果のパネルにいる場合は、[ワークフローステータス] 行の横にあるフィルターオプションを選択できます。[この値ですべての検出結果を表示する] を選択すると、Security Hub CSPM によって検出結果リストがフィルタリングされ、同じワークフローステータスの検出結果のみが表示されます。

検出結果の詳細と履歴の確認

ご希望の方法を選択し、手順に従って Security Hub CSPM で検出結果の詳細を確認します。

クロスリージョン集約を有効にし、集約リージョンにサイインすると、集約リージョンとリンクされたリージョンからの検出結果が含まれます。他のリージョンでは、検出結果はそのリージョンにのみ固有です。クロスリージョン集約の詳細については、「Security Hub CSPM でのクロスリージョン集約について」を参照してください。

Security Hub CSPM console
検出結果の詳細と履歴の確認

  1. https://console.aws.amazon.com/securityhub/ で AWS Security Hub CSPM コンソールを開きます。

  2. 結果リストを表示するには、以下のいずれかを実行します。

    • ナビゲーションペインで 調査検出結果 を選択します。必要に応じて検索フィルターを追加して、検出結果リストを絞ります。

    • ナビゲーションペインで、[Insights] を選択します。インサイトを選択します。次に、結果リストで、インサイトの結果を選択します。

    • ナビゲーションペインで、[統合] を選択します。統合の [検出結果を表示] を選択します。

    • ナビゲーションペインで [コントロール] を選択します。

  3. 検出結果を選択します。検出結果の詳細パネルに、結果の詳細が表示されます。

  4. 検出結果パネルで、次のいずれかの操作を実行します。

    • 検出結果の詳細を確認するには、タブを選択します。

    • [アクション] メニューからオプションを選択して、検出結果に対してアクションを実行します。

    • Amazon Detective で検出結果を調査するには、[調査] メニューを選択します。

注記

と統合 AWS Organizations し、メンバーアカウントにサインインしている場合、検出結果パネルにはアカウント名が含まれます。組織経由ではなく手動で招待されたメンバーアカウントの場合、検出結果パネルにはアカウント ID のみが表示されます。

Security Hub CSPM API

Security Hub CSPM API の GetFindingsオペレーションを使用するか、 を使用している場合は AWS CLIコマンドを実行しますget-findingsFilters パラメータに 1 つ以上の値を指定して、取得する検出結果を絞り込むことができます。

結果の量が多すぎる場合は、MaxResults パラメータを使用して検出結果を指定された数に制限し、NextToken パラメータを使用して検出結果をページ分割できます。SortCriteria パラメータを使用して、特定のフィールドで検出結果を並べ替えます。

たとえば、次の AWS CLI コマンドは、指定されたフィルター条件に一致する検出結果を取得し、 LastObservedAtフィールドで結果を降順でソートします。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

$ aws securityhub get-findings \
--filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100

検出結果の履歴を確認するには、GetFindingHistory オペレーションを使用します。を使用している場合は AWS CLI、 get-finding-history コマンドを実行します。ProductArn および Id フィールドを使用して、履歴を取得する検出結果を特定します。これらのフィールドの詳細については、「AwsSecurityFindingIdentifier」を参照してください。各リクエストは、1 つの結果のみの履歴を取得できます。

たとえば、次の AWS CLI コマンドは、指定された結果の履歴を取得します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

$ aws securityhub get-finding-history \
--region us-west-2 \
--finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \
--max-results 2 \
--start-time "2021-09-30T15:53:35.573Z" \
--end-time "2021-09-31T15:53:35.573Z"
PowerShell

Get-SHUBFinding コマンドレットを使用します。オプションで、Filter パラメータを入力して、取得する検出結果を絞り込むこともできます。

たとえば、次のコマンドレットは、指定したフィルターに一致する検出結果を取得します。

Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
注記

なお、CompanyName または ProductName でフィルタリングする場合、Security Hub CSPM は ProductFields ASFF プロジェクトの一部である値を使用します。Security Hub CSPM は、トップレベルの CompanyName および ProductName フィールドを使用しません。