Security Hub CSPM での検出結果の作成と更新

AWS Security Hub Cloud Security Posture Management (CSPM) では、検出結果はセキュリティチェックまたはセキュリティ関連の検出の観測可能なレコードです。検出結果は、次のいずれかのソースから取得できます。

Security Hub CSPM は、すべてのソースからの結果を AWS Security Finding Format (ASFF) と呼ばれる標準の構文と形式に正規化します。個々の ASFF フィールドの説明など、この形式の詳細については、「」を参照してくださいAWS Security Finding 形式 (ASFF)。クロスリージョン集約を有効にすると、Security Hub CSPM は、すべてのリンクされたリージョンから指定した集約リージョンに、新規および更新された検出結果を自動的に集約します。詳細については、「Security Hub CSPM でのクロスリージョン集約について」を参照してください。

検出結果を作成したら、次のように更新できます。

検出結果のノイズを減らし、個々の検出結果の追跡と分析を合理化するために、Security Hub CSPM は最近更新されていない検出結果を自動的に削除します。Security Hub CSPM がこれを行うタイミングは、検出結果がアクティブかアーカイブかによって異なります。

Security Hub CSPM がコントロールのセキュリティチェックから生成する検出結果であるコントロール検出結果の場合、Security Hub CSPM は検出結果の UpdatedAtフィールドの値に基づいて検出結果の有効期限が切れたかどうかを判断します。アクティブな検出結果に対してこの値が 90 日以上前である場合、Security Hub CSPM は検出結果を完全に削除します。アーカイブされた検出結果に対してこの値が 30 日以上前である場合、Security Hub CSPM は検出結果を完全に削除します。

他のすべてのタイプの検出結果について、Security Hub CSPM は、検出結果の フィールドProcessedAtと UpdatedAtフィールドの値に基づいて、検出結果の有効期限が切れたかどうかを判断します。Security Hub CSPM は、これらのフィールドの値を比較し、どちらが最新かを判断します。アクティブな検出結果の最新の値が 90 日以上前である場合、Security Hub CSPM は検出結果を完全に削除します。アーカイブされた検出結果の最新の値が 30 日以上前の場合、Security Hub CSPM は検出結果を完全に削除します。検出結果プロバイダーは、Security Hub CSPM API の BatchImportFindingsオペレーションを使用して、1 つ以上の検出結果の UpdatedAtフィールドの値を変更できます。

結果を長期間保持するには、結果を S3 バケットにエクスポートできます。これを行うには、Amazon EventBridge ルールでカスタムアクションを使用します。詳細については、「EventBridge を使用した自動応答と修復」を参照してください。