Security Hub CSPM でのインサイトの確認と対応 - AWS Security Hub
インサイト結果の表示とアクションの実行インサイト結果の検出結果の表示とアクションの実行 (コンソール)

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub CSPM でのインサイトの確認と対応

インサイトごとに、 AWS Security Hub CSPM はまずフィルター条件に一致する検出結果を決定し、次にグループ化属性を使用して一致する検出結果をグループ化します。

コンソールの [インサイト] ページで、結果と検出結果を表示して、それらに基づいてアクションを実行できます。

クロスリージョン集約を有効にすると、集約リージョンでは、マネージド型インサイトの結果 (集約リージョンにサイインしている場合) には、集約リージョンとリンクされたリージョンの検出結果が含まれます。カスタムインサイトの結果では、インサイトがリージョンでフィルタリングされない場合、集約リージョンとリンクされたリージョン (集約リージョンにサイインしている場合) の検出結果も含まれます。他のリージョンでは、インサイト結果に含まれるのはそのリージョンの結果のみです。

クロスリージョン集約の詳細については、「Security Hub CSPM でのクロスリージョン集約について」を参照してください。

インサイト結果の表示とアクションの実行

インサイト結果は、インサイトの結果をグループ化したリストで構成されます。例えば、インサイトがリソース識別子に基づいてグループ化されている場合、インサイト結果はリソース識別子のリストになります。結果のリストの各項目は、その項目に一致する結果の数を示します。

検出結果が、リソース識別子またはリソースタイプでグループ化されている場合、結果には、一致する検出結果のすべてのリソースが含まれます。これには、フィルター条件で指定されたリソースタイプとは異なるタイプのリソースが含まれます。例えば、インサイトでは S3 バケットに関連付けられている結果が識別されます。一致する検出結果に S3 バケットリソースと IAM アクセスキーリソースの両方が含まれている場合、インサイト結果には両方のリソースが含まれます。

Security Hub CSPM コンソールでは、結果リストは一致する検出結果の多くから少なくソートされます。Security Hub CSPM は 100 件の結果のみを表示できます。グループ化値の数が 100 を超える場合、最初の 100 個のみが表示されます。

インサイト結果には、結果のリストに加えて、次の属性に一致した結果の数を要約した一連のチャートが表示されます。

  • 重要度ラベル - 各重要度ラベルの結果の数

  • AWS アカウント ID – 一致する結果の上位 5 つのアカウント IDs

  • リソースタイプ - 一致する結果の上位 5 つのリソースタイプ

  • リソース ID - 一致する結果の上位 5 つのリソース ID

  • 製品名 - 一致する結果の上位 5 つの結果プロバイダー

カスタムアクションを設定している場合、選択した結果をカスタムアクションに送信できます。アクションは、Security Hub Insight Results イベントタイプの Amazon CloudWatch ルールに関連付けられている必要があります。詳細については、「EventBridge を使用した自動応答と修復」を参照してください。カスタムアクションを設定していない場合は、[アクション] メニューは無効です。

Security Hub CSPM console
インサイト結果を表示してアクションを実行するには (コンソール)

  1. https://console.aws.amazon.com/securityhub/ で AWS Security Hub CSPM コンソールを開きます。

  2. ナビゲーションペインで、[Insights] (インサイト) を選択します。

  3. インサイト結果のリストを表示するには、インサイト名を選択します。

  4. カスタムアクションに送信する結果ごとにチェックボックスを選択します。

  5. [Actions] (アクション) メニューから、カスタムアクションを選択します。

Security Hub CSPM API, AWS CLI

インサイト結果を表示してアクションを実行するには (API、 AWS CLI)

インサイト結果を表示するには、Security Hub CSPM API の >GetInsightResultsオペレーションを使用します。を使用する場合は AWS CLI、 get-insight-results コマンドを実行します。

インサイトを特定して結果を返すには、インサイト ARN が必要です。カスタムインサイトのインサイト ARN を取得するには、 GetInsights API オペレーションまたは get-insight-results コマンドを使用します。

次の例では、指定されたインサイトの結果を取得します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

$ aws securityhub get-insight-results --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

プログラムでカスタムアクションを作成する方法については、「カスタムアクションを使用して結果とインサイト結果を EventBridge に送信する」を参照してください。

インサイト結果の検出結果の表示とアクションの実行 (コンソール)

Security Hub CSPM コンソールのインサイト結果リストから、各結果の結果のリストを表示できます。

インサイトの結果を表示して、アクションを実行するには (コンソール)

  1. https://console.aws.amazon.com/securityhub/ で AWS Security Hub CSPM コンソールを開きます。

  2. ナビゲーションペインで、[Insights] (インサイト) を選択します。

  3. インサイト結果のリストを表示するには、インサイト名を選択します。

  4. インサイト結果の結果のリストを表示するには、インサイト結果のリストからその項目を選択します。結果リストには、ワークフローステータスが NEW または NOTIFIED で、選択されたインサイト結果のアクティブな結果が表示されます。

結果リストから、以下のアクションを実行できます。