Security Hub CSPM の検出結果を作成および更新する

AWS Security Hub CSPM では、検出結果は、セキュリティチェックまたはセキュリティ関連の検出の監視可能なレコードです。検出結果は、次のいずれかのソースから取得できます。

Security Hub CSPM は、すべてのソースからの検出結果を AWS Security Finding 形式 (ASFF) と呼ばれる標準構文と形式に正規化します。個々の ASFF フィールドの説明など、この形式の詳細については、「AWS Security Finding 形式」を参照してください。クロスリージョン集約を有効にすると、Security Hub CSPM は、すべてのリンクされたリージョンから特定した集約リージョンに新しい検出結果と更新された検出結果を自動的に集約します。詳細については、「Security Hub CSPM でのクロスリージョン集約について」を参照してください。

検出結果を作成したら、次のように更新できます。

検出結果のノイズを減らし、個々の検出結果の追跡と分析を合理化するために、Security Hub CSPM は最近更新されていない検出結果を自動的に削除します。Security Hub CSPM がこれを行うタイミングは、検出結果がアクティブかアーカイブかによって異なります。

Security Hub CSPM がコントロールのセキュリティチェックから生成する検出結果であるコントロール検出結果の場合、Security Hub CSPM は検出結果の UpdatedAt フィールドの値に基づいて検出結果の有効期限が切れたかどうかを判断します。アクティブな検出結果に対してこの値が 90 日以上前である場合、Security Hub CSPM は検出結果を完全に削除します。アーカイブされた検出結果に対してこの値が 30 日以上前である場合、Security Hub CSPM は検出結果を完全に削除します。

他のすべてのタイプの検出結果について、Security Hub CSPM は、検出結果の ProcessedAt フィールドと UpdatedAt フィールドの値に基づいて、検出結果の有効期限が切れたかどうかを判断します。Security Hub CSPM は、これらのフィールドの値を比較し、どちらが最新かを判断します。アクティブな検出結果の最新の値が 90 日以上前である場合、Security Hub CSPM は検出結果を完全に削除します。アーカイブされた検出結果の最新の値が 30 日以上前である場合、Security Hub CSPM は検出結果を完全に削除します。検出結果プロバイダーは、Security Hub CSPM API の BatchImportFindings オペレーションを使用して検出結果を更新することで、1 つ以上の UpdatedAt フィールドの値を変更することができます。

検出結果を長期間保持するには、検出結果を S3 バケットにエクスポートできます。これを行うには、Amazon EventBridge ルールでカスタムアクションを使用します。詳細については、「EventBridge を使用した自動応答と修復」を参照してください。