翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS のサービス Security Hub CSPM との統合
AWS Security Hub Cloud Security Posture Management (CSPM) は、他のいくつかの との統合をサポートしています AWS のサービス。
注記
統合はすべてで使用できるとは限りません AWS リージョン。現在のリージョンで統合がサポートされていない場合は、[統合] ページに表示されません。
中国リージョンで利用可能な統合のリストについては AWS GovCloud (US)、「」および「」を参照してください中国 (北京) および中国 (寧夏) リージョンでサポートされている統合AWS GovCloud (米国東部) リージョンと AWS GovCloud (米国西部) リージョンでサポートされている統合。
以下に示されていない限り、Security Hub CSPM と他のサービスを有効にすると、Security Hub CSPM に結果を送信する AWS のサービス 統合が自動的にアクティブ化されます。Security Hub CSPM の検出結果を受け取る統合では、アクティベーションに追加のステップが必要になる場合があります。詳細については、各統合に関する情報を確認してください。
Security Hub CSPM と AWS のサービス統合の概要
Security Hub CSPM に検出結果を送信する、または Security Hub CSPM から検出結果を受信する AWS サービスの概要を次に示します。
| 統合 AWS サービス | [Direction] (方向) |
|---|---|
|
結果の送信 |
|
|
結果の送信 |
|
|
結果の送信 |
|
|
結果の送信 |
|
|
結果の送信 |
|
|
結果の送信 |
|
|
結果の送信 |
|
|
結果の送信 |
|
|
結果の送信 |
|
|
結果の受信 |
|
|
結果の受信 |
|
|
結果の受信 |
|
|
結果の受信 |
|
|
結果の受信と更新 |
|
|
結果の受信 |
AWS Security Hub CSPM に検出結果を送信する サービス
以下の AWS サービスは、Security Hub CSPM に結果を送信することで、Security Hub CSPM と統合されます。Security Hub CSPM は、結果を AWS Security Finding 形式に変換します。
AWS Config (検出結果を送信します)
AWS Config は、 AWS リソースの設定を評価、監査、評価できるサービスです。 は AWS 、リソース設定 AWS Config を継続的にモニタリングおよび記録し、記録された設定を目的の設定と照らし合わせて評価を自動化できます。
との統合を使用すると AWS Config、マネージドルール評価とカスタムルール評価の結果 AWS Config を Security Hub CSPM の結果として確認できます。これらの検出結果は、他の Security Hub CSPM の検出結果と一緒に表示でき、セキュリティ体制の包括的な概要を提供します。
AWS Config は Amazon EventBridge を使用して Security Hub CSPM に AWS Config ルール評価を送信します。Security Hub CSPM は、ルール評価を AWS Security Finding 形式に従う結果に変換します。次に、Security Hub CSPM は、Amazon リソースネーム (ARN)、リソースタグ、作成日など、影響を受けるリソースに関する詳細情報を取得することで、ベストエフォートベースで検出結果を強化します。
この統合に関する詳細は、以下のセクションを参照してください。
Security Hub CSPM のすべての検出結果は、ASFF の標準 JSON 形式を使用します。ASFF には、検出結果のオリジン、影響を受けるリソース、および検出結果の現在のステータスに関する詳細が含まれます。 は、マネージドルールとカスタムルールの評価を EventBridge 経由で Security Hub CSPM AWS Config に送信します。Security Hub CSPM は、ルール評価を ASFF に従う結果に変換し、ベストエフォートベースで結果を強化します。
が Security Hub CSPM AWS Config に送信する検出結果のタイプ
統合がアクティブ化されると、 はすべての AWS Config マネージドルールとカスタムルールの評価を Security Hub CSPM AWS Config に送信します。Security Hub CSPM が有効になった後に実行された評価のみが送信されます。たとえば、 AWS Config ルール評価で 5 つの失敗したリソースが明らかになったとします。その後 Security Hub CSPM を有効にし、ルールが 6 番目に失敗したリソースを明らかにした場合、 は 6 番目のリソース評価のみを Security Hub CSPM AWS Config に送信します。
Security Hub CSPM コントロールでチェックを実行するために使用されるルールなど、サービスにリンクされた AWS Config ルールの評価は除外されます。
Security Hub CSPM に AWS Config 結果を送信する
統合がアクティブ化されると、Security Hub CSPM は検出結果の受信に必要なアクセス許可を自動的に割り当てます AWS Config。Security Hub CSPM はservice-to-serviceレベルのアクセス許可を使用します。 AWS Config EventBridge
結果が送信されるまでのレイテンシー
が新しい検出結果 AWS Config を作成すると、通常、5 分以内に Security Hub CSPM で検出結果を表示できます。
Security Hub CSPM が利用できない場合の再試行
AWS Config は EventBridge を通じてベストエフォートベースで Security Hub CSPM に検出結果を送信します。イベントが Security Hub CSPM に正常に配信されない場合、EventBridge は最大 24 時間または 185 回のいずれか早い方まで配信を再試行します。
Security Hub CSPM での既存の AWS Config 検出結果の更新
は、Security Hub CSPM に検出結果 AWS Config を送信すると、同じ検出結果の更新を Security Hub CSPM に送信して、検出結果アクティビティの追加の観察結果を反映することができます。更新は ComplianceChangeNotification イベントについてのみ送信されます。コンプライアンスの変更が発生しない場合、更新は Security Hub CSPM に送信されません。Security Hub CSPM は、最新の更新から 90 日後、または更新が発生しない場合は作成から 90 日後に検出結果を削除します。
Security Hub CSPM は、関連付けられたリソースを削除 AWS Config しても、 から送信された結果をアーカイブしません。
AWS Config 検出結果が存在するリージョン
AWS Config 検出結果はリージョンベースで発生します。 は、検出結果が発生したのと同じリージョンの Security Hub CSPM に検出結果 AWS Config を送信します。
AWS Config 検出結果を表示するには、Security Hub CSPM ナビゲーションペインから検出結果を選択します。検出結果をフィルタリングして AWS Config 検出結果のみを表示するには、検索バーのドロップダウンで製品名を選択します。[Config] (設定) をクリックし、[Apply] (適用) を選択します。
Security Hub CSPM で AWS Config の検出結果名の解釈
Security Hub CSPM は、 AWS Config ルール評価を AWS Config .rule 評価に従う結果に変換しますAWS Security Finding 形式 (ASFF)。ASFF とは異なるイベントパターンを使用します。次の表は、 AWS Config Security Hub CSPM に表示されるルール評価フィールドと ASFF の対応するフィールドをマッピングしています。
| Config ルール評価の検索タイプ | ASFF 結果タイプ | ハードコードされた値 |
|---|---|---|
| detail.awsAccountId | AwsAccountId | |
| detail.newEvaluationResult.resultRecordedTime | CreatedAt | |
| detail.newEvaluationResult.resultRecordedTime | UpdatedAt | |
| ProductArn | "arn:<partition>:securityhub:<region>::product/aws/config" | |
| ProductName | "Config" | |
| CompanyName | "AWS" | |
| リージョン | "eu-central-1" | |
| configRuleArn | GeneratorId, ProductFields | |
| detail.ConfigRuleARN/finding/hash | ID | |
| detail.configRuleName | Title, ProductFields | |
| detail.configRuleName | 説明 | 「この結果は、構成ルール ${detail.ConfigRuleName} のリソースコンプライアンスの変更に対して作成されます。」 |
| 設定項目「ARN」または Security Hub CSPM コンピューティング ARN | Resources[i].id | |
| detail.resourceType | Resources[i].Type | "AwsS3Bucket" |
| Resources[i].Partition | "aws" | |
| Resources[i].Region | "eu-central-1" | |
| 構成項目「構成」 | Resources[i].Details | |
| SchemaVersion | 「2018-10-08」 | |
| Severity.Label | 以下の「重要度ラベルの解釈」を参照してください。 | |
| Types | ["Software and Configuration Checks"] | |
| detail.newEvaluationResult.complianceType | Compliance.Status | 「FAILED」、「NOT_AVAILABLE」、「PASSED」、または「WARNING」 |
| Workflow.Status | AWS Config 結果が Compliance.Status が「PASSED」で生成された場合、または Compliance.Status が「FAILED」から「PASSED」に変わった場合、「解決済み」。それ以外の場合、Workflow.Status は「NEW」になります。この値は BatchUpdateFindings API オペレーションを使用して変更できます。 |
重要度ラベルの解釈
AWS Config ルール評価のすべての検出結果には、ASFF のデフォルトの重要度ラベル MEDIUM があります。結果の重要度ラベルは、BatchUpdateFindings API オペレーションで更新できます。
からの一般的な検出結果 AWS Config
Security Hub CSPM は、 AWS Config ルール評価を ASFF に従う検出結果に変換します。ASFF AWS Config の からの一般的な検出結果の例を次に示します。
注記
説明が 1,024 文字を超えると 1,024 文字まで切り捨てられ、末尾に「(truncated)」(切り捨て) と表示されます。
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/45g070df80cb50b68fa6a43594kc6fda1e517932", "ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/config", "ProductName": "Config", "CompanyName": "AWS", "Region": "eu-central-1", "GeneratorId": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-04-15T05:00:37.181Z", "UpdatedAt": "2022-04-19T21:20:15.056Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "s3-bucket-level-public-access-prohibited-config-integration-demo", "Description": "This finding is created for a resource compliance change for config rule: s3-bucket-level-public-access-prohibited-config-integration-demo", "ProductFields": { "aws/securityhub/ProductName": "Config", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/config/arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/46f070df80cd50b68fa6a43594dc5fda1e517902", "aws/config/ConfigRuleArn": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "aws/config/ConfigRuleName": "s3-bucket-level-public-access-prohibited-config-integration-demo", "aws/config/ConfigComplianceType": "NON_COMPLIANT" }, "Resources": [{ "Type": "AwsS3Bucket", "Id": "arn:aws:s3:::amzn-s3-demo-bucket", "Partition": "aws", "Region": "eu-central-1", "Details": { "AwsS3Bucket": { "OwnerId": "4edbba300f1caa608fba2aad2c8fcfe30c32ca32777f64451eec4fb2a0f10d8c", "CreatedAt": "2022-04-15T04:32:53.000Z" } } }], "Compliance": { "Status": "FAILED" }, "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } }
Security Hub CSPM を有効にすると、この統合は自動的にアクティブ化されます。 は AWS Config すぐに Security Hub CSPM に結果の送信を開始します。
Security Hub CSPM への検出結果の送信を停止するには、Security Hub CSPM コンソールまたは Security Hub CSPM API を使用できます。
検出結果のフローを停止する手順については、「Security Hub CSPM 統合からの検出結果のフローの有効化」を参照してください。
AWS Firewall Manager (検出結果を送信します)
Firewall Manager は、リソースのウェブアプリケーションファイアウォール (WAF) ポリシーまたはウェブアクセスコントロールリスト (ウェブ ACL) ルールが準拠していない場合、結果を Security Hub CSPM に送信します。Firewall Manager は、 AWS Shield Advanced がリソースを保護していない場合、または攻撃が特定された場合にも検出結果を送信します。
Security Hub CSPM を有効にすると、この統合は自動的にアクティブ化されます。Firewall Manager は、すぐに Security Hub CSPM に結果を送信し始めます。
統合の詳細については、Security Hub CSPM コンソールの「統合」ページを参照してください。
Firewall Manager の詳細については、「AWS WAF 開発者ガイド」を参照してください。
Amazon GuardDuty (結果の送信)
GuardDuty は、生成したすべての検出結果タイプを Security Hub CSPM に送信します。一部の検出結果タイプには、前提条件、有効化要件、またはリージョンの制限があります。詳細については、「Amazon GuardDuty ユーザーガイド」の「GuardDuty の検出結果タイプ」を参照してください。 Amazon GuardDuty
GuardDuty の新しい検出結果は、5 分以内に Security Hub CSPM に送信されます。結果の更新は、GuardDuty 設定内の Amazon EventBridge の [Updated findings] (更新された調査結果) 設定に基づいて送信されます。
GuardDuty 設定ページを使用して GuardDuty サンプル検出結果を生成すると、Security Hub CSPM は検出結果のサンプルを受け取り、検出結果タイプのプレフィックスを省略[Sample]します。たとえば、GuardDuty のサンプル検出結果タイプ[SAMPLE] Recon:IAMUser/ResourcePermissionsは Security Hub CSPM Recon:IAMUser/ResourcePermissionsの として表示されます。
Security Hub CSPM を有効にすると、この統合は自動的にアクティブ化されます。GuardDuty はすぐに Security Hub CSPM に結果を送信し始めます。
GuardDuty 統合の詳細については、「Amazon GuardDuty ユーザーガイド」のAWS 「Security Hub Cloud Security Posture Management (CSPM) との統合」を参照してください。 Amazon GuardDuty
AWS Health (検出結果を送信します)
AWS Health は、リソースのパフォーマンスと AWS のサービス および の可用性を継続的に可視化します AWS アカウント。 AWS Health イベントを使用することで、サービスおよびリソースの変更が、 AWSで実行されるアプリケーションにどのような影響を及ぼすか確認することができます。
との統合 AWS Health では、 は使用されませんBatchImportFindings。代わりに、 service-to-serviceイベントメッセージング AWS Health を使用して、結果を Security Hub CSPM に送信します。
統合の詳細については、以下のセクションを参照してください。
Security Hub CSPM では、セキュリティの問題は検出結果として追跡されます。一部の検出結果は、他の AWS サービスまたはサードパーティーパートナーによって検出された問題から発生します。Security Hub CSPM には、セキュリティの問題を検出し、検出結果を生成するために使用される一連のルールもあります。
Security Hub CSPM には、これらのすべてのソースで の検出結果を管理するためのツールが用意されています。結果の一覧を表示およびフィルタリングして、結果の詳細を表示できます。「Security Hub CSPM での検出結果の詳細と履歴の確認」を参照してください。結果の調査状況を追跡することもできます。「Security Hub CSPM での検出結果のワークフローステータスの設定」を参照してください。
Security Hub CSPM のすべての検出結果は、 と呼ばれる標準の JSON 形式を使用しますAWS Security Finding 形式 (ASFF)。ASFF には、問題のソース、影響を受けるリソース、および結果の現在の状態に関する詳細が含まれます。
AWS Health は、Security Hub CSPM に結果を送信する AWS サービスの 1 つです。
が Security Hub CSPM AWS Health に送信する検出結果のタイプ
統合を有効にすると、 はリストされている 1 つ以上の仕様を満たす検出結果を Security Hub CSPM AWS Health に送信します。Security Hub CSPM は、 に検出結果を取り込みますAWS Security Finding 形式 (ASFF)。
-
次のいずれかの値を含む結果 AWS のサービス:
RISKABUSEACMCLOUDHSMCLOUDTRAILCONFIGCONTROLTOWERDETECTIVEEVENTSGUARDDUTYIAMINSPECTORKMSMACIESESSECURITYHUBSHIELDSSOCOGNITOIOTDEVICEDEFENDERNETWORKFIREWALLROUTE53WAFFIREWALLMANAGERSECRETSMANAGERBACKUPAUDITMANAGERARTIFACTCLOUDENDURECODEGURUORGANIZATIONSDIRECTORYSERVICERESOURCEMANAGERCLOUDWATCHDRSINSPECTOR2RESILIENCEHUB
-
certificateフィールドにsecurity、、abuseまたは AWS HealthtypeCodeという単語を含む結果 -
AWS Health サービスが
riskまたは である検出結果abuse
Security Hub CSPM に AWS Health 結果を送信する
から検出結果を受け入れることを選択すると AWS Health、Security Hub CSPM は検出結果の受信に必要なアクセス許可を自動的に割り当てます AWS Health。Security Hub CSPM はservice-to-serviceレベルのアクセス許可を使用して、この統合を有効にし、ユーザーに代わって Amazon EventBridge AWS Health を介して から検出結果をインポートする安全かつ簡単な方法を提供します。Accept Findings を選択すると、Security Hub に結果を使用するアクセス許可が付与されます AWS Health。
結果が送信されるまでのレイテンシー
が新しい検出結果 AWS Health を作成すると、通常 5 分以内に Security Hub CSPM に送信されます。
Security Hub CSPM が利用できない場合の再試行
AWS Health は EventBridge を通じてベストエフォートベースで Security Hub CSPM に検出結果を送信します。イベントが Security Hub CSPM に正常に配信されない場合、EventBridge はイベントの送信を 24 時間再試行します。
Security Hub CSPM での既存の検出結果の更新
AWS Health が Security Hub CSPM に検出結果を送信すると、同じ検出結果に更新を送信して、検出結果アクティビティの追加の観察結果を Security Hub CSPM にリフレクションできます。
結果が存在するリージョン
グローバルイベントの場合、 は、us-east-1 (AWS パーティション)、cn-northwest-1 (中国パーティション)、gov-us-west-1 (GovCloud パーティション) の Security Hub CSPM に結果 AWS Health を送信します。 は、イベントが発生するのと同じリージョンの Security Hub CSPM にリージョン固有のイベント AWS Health を送信します。
Security Hub CSPM で検出 AWS Health 結果を表示するには、ナビゲーションパネルから検出結果を選択します。検出結果をフィルタリングして AWS Health 検出結果のみを表示するには、製品名フィールドからヘルスを選択します。
Security Hub CSPM で AWS Health の検出結果名の解釈
AWS Health は、 を使用して検出結果を Security Hub CSPM に送信しますAWS Security Finding 形式 (ASFF)。 AWS Health 検出では、Security Hub CSPM ASFF 形式とは異なるイベントパターンが使用されます。次の表は、Security Hub CSPM に表示される ASFF に対応するすべての AWS Health 検出結果フィールドの詳細を示しています。
| Health 結果タイプ | ASFF 結果タイプ | ハードコードされた値 |
|---|---|---|
| アカウント | AwsAccountId | |
| detail.StartTime | CreatedAt | |
| detail.eventDescription.latestDescription | 説明 | |
| detail.eventTypeCode | GeneratorId | |
| detail.eventArn (including account) + hash of detail.startTime | ID | |
| 「arn: aws: securityhub:<region>:: product/aws/health」 | ProductArn | |
| アカウントまたは resourceId | Resources[i].id | |
| Resources[i].Type | 「その他」 | |
| SchemaVersion | 「2018-10-08」 | |
| Severity.Label | 以下の「重要度ラベルの解釈」を参照してください。 | |
| AWS Health 「-」 detail.eventTypeCode | タイトル | |
| - | Types | ["Software and Configuration Checks"] |
| event.time | UpdatedAt | |
| Health コンソール上のイベントの URL | SourceUrl |
重要度ラベルの解釈
ASFF 結果の重要度ラベルは、次のロジックを使用して決定されます。
-
次の場合、重要度は [CRITICAL]:
-
AWS Health 検出結果の
serviceフィールドには 値がありますRisk -
AWS Health 検出結果の
typeCodeフィールドには 値がありますAWS_S3_OPEN_ACCESS_BUCKET_NOTIFICATION -
AWS Health 検出結果の
typeCodeフィールドには 値がありますAWS_SHIELD_INTERNET_TRAFFIC_LIMITATIONS_PLACED_IN_RESPONSE_TO_DDOS_ATTACK -
AWS Health 検出結果の
typeCodeフィールドには 値がありますAWS_SHIELD_IS_RESPONDING_TO_A_DDOS_ATTACK_AGAINST_YOUR_AWS_RESOURCES
次の場合、重要度は [HIGH]:
-
AWS Health 検出結果の
serviceフィールドには 値がありますAbuse -
AWS Health 結果の
typeCodeフィールドには 値が含まれます。SECURITY_NOTIFICATION -
AWS Health 結果の
typeCodeフィールドには 値が含まれます。ABUSE_DETECTION
次の場合、重要度は [MEDIUM]:
-
結果の
serviceフィールドが次のいずれかである。ACM、ARTIFACT、AUDITMANAGER、BACKUP、CLOUDENDURE、CLOUDHSM、CLOUDTRAIL、CLOUDWATCH、CODEGURGU、COGNITO、CONFIG、CONTROLTOWER、DETECTIVE、DIRECTORYSERVICE、DRS、EVENTS、FIREWALLMANAGER、GUARDDUTY、IAM、INSPECTOR、INSPECTOR2、IOTDEVICEDEFENDER、KMS、MACIE、NETWORKFIREWALL、ORGANIZATIONS、RESILIENCEHUB、RESOURCEMANAGER、ROUTE53、SECURITYHUB、SECRETSMANAGER、SES、SHIELD、SSO、WAF -
AWS Health 結果の [typeCode] フィールドに値
CERTIFICATEが含まれている -
AWS Health 結果の [typeCode] フィールドに値
END_OF_SUPPORTが含まれている
-
からの一般的な検出結果 AWS Health
AWS Health は、 を使用して Security Hub CSPM に検出結果を送信しますAWS Security Finding 形式 (ASFF)。以下は、 からの一般的な検出結果の例です AWS Health。
注記
説明が 1,024 文字を超えると 1,024 文字まで切り捨てられ、末尾に (truncated) (切り捨て) と表示されます。
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:health:us-east-1:123456789012:event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96/101F7FBAEFC663977DA09CFF56A29236602834D2D361E6A8CA5140BFB3A69B30", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/health", "GeneratorId": "AWS_SES_CMF_PENDING_TO_SUCCESS", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-01-07T16:34:04.000Z", "UpdatedAt": "2022-01-07T19:17:43.000Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "AWS Health - AWS_SES_CMF_PENDING_TO_SUCCESS", "Description": "Congratulations! Amazon SES has successfully detected the MX record required to use 4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com as a custom MAIL FROM domain for verified identity cmf.pinpoint.sysmon-iad.adzel.com in AWS Region US East (N. Virginia).\\n\\nYou can now use this MAIL FROM domain with cmf.pinpoint.sysmon-iad.adzel.com and any other verified identity that is configured to use it. For information about how to configure a verified identity to use a custom MAIL FROM domain, see http://docs.aws.amazon.com/ses/latest/DeveloperGuide/mail-from-set.html .\\n\\nPlease note that this email only applies to AWS Region US East (N. Virginia).", "SourceUrl": "https://phd.aws.amazon.com/phd/home#/event-log?eventID=arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "ProductFields": { "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/health/arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "aws/securityhub/ProductName": "Health", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "Other", "Id": "4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com" } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } } ] }
Security Hub CSPM を有効にすると、この統合は自動的にアクティブ化されます。 は AWS Health すぐに Security Hub CSPM に結果の送信を開始します。
Security Hub CSPM への検出結果の送信を停止するには、Security Hub CSPM コンソールまたは Security Hub CSPM API を使用できます。
検出結果のフローを停止する手順については、「Security Hub CSPM 統合からの検出結果のフローの有効化」を参照してください。
AWS Identity and Access Management Access Analyzer (検出結果を送信します)
IAM Access Analyzer では、すべての検出結果が Security Hub CSPM に送信されます。
IAM Access Analyzer は、論理ベースの推論を使用して、アカウントでサポートされるリソースに適用されたリソースベースのポリシーを分析します。IAM Access Analyzer は、外部プリンシパルがアカウント内のリソースにアクセスすることを許可するポリシーステートメントを検出すると、検出結果を生成します。
IAM Access Analyzer では、組織に適用されるアナライザーの検出結果を確認できるのは管理者アカウントだけです。組織アナライザーの場合、AwsAccountId ASFF フィールドには管理者アカウント ID が反映されます。ProductFields 下の ResourceOwnerAccountフィールドには、検出結果が発見されたアカウントが表示されます。アカウントごとにアナライザーを個別に有効にすると、Security Hub CSPM は複数の検出結果を生成します。1 つは管理者アカウント ID を識別し、もう 1 つはリソースアカウント ID を識別します。
詳細については、IAM ユーザーガイドのAWS 「Security Hub Cloud Security Posture Management (CSPM) との統合」を参照してください。
Amazon Inspector (結果の送信)
Amazon Inspector は、 AWS のワークロードにおける脆弱性を継続的にスキャンする脆弱性管理サービスです。Amazon Inspector は、Amazon Elastic Container Registry に存在する EC2 インスタンスとコンテナイメージを自動的に検出してスキャンします。このスキャンでは、ソフトウェアの脆弱性と意図しないネットワークへのエクスポージャーがないかチェックします。
Security Hub CSPM を有効にすると、この統合は自動的にアクティブ化されます。Amazon Inspector は、生成したすべての検出結果を Security Hub CSPM にすぐに送信し始めます。
統合の詳細については、Amazon Inspector ユーザーガイド」のAWS 「Security Hub Cloud Security Posture Management (CSPM) との統合」を参照してください。
Security Hub CSPM は、Amazon Inspector Classic から検出結果を受信することもできます。Amazon Inspector Classic は、サポートされているすべてのルールパッケージの評価実行を通じて生成された結果を Security Hub CSPM に送信します。
統合の詳細については、Amazon Inspector Classic ユーザーガイド」のAWS 「Security Hub Cloud Security Posture Management (CSPM) との統合」を参照してください。
Amazon Inspector と Amazon Inspector Classic の結果では、同じ製品の ARN が使用されます。Amazon Inspector の調査結果には、ProductFields に次のエントリがあります。
"aws/inspector/ProductVersion": "2",
AWS IoT Device Defender (検出結果を送信します)
AWS IoT Device Defender は、IoT デバイスの設定を監査し、接続されたデバイスをモニタリングして異常な動作を検出し、セキュリティリスクを軽減するのに役立つセキュリティサービスです。
AWS IoT Device Defender と Security Hub CSPM の両方を有効にしたら、Security Hub CSPM コンソールの統合ページ
AWS IoT Device Defender 監査は、特定の監査チェックタイプと監査タスクの一般情報を含むチェック概要を Security Hub CSPM に送信します。 AWS IoT Device Defender Detect は、機械学習 (ML)、統計、静的動作に関する違反の検出結果を Security Hub CSPM に送信します。監査は、検出結果の更新も Security Hub CSPM に送信します。
この統合の詳細については、 AWS IoT デベロッパーガイドのAWS 「Security Hub Cloud Security Posture Management (CSPM) との統合」を参照してください。
Amazon Macie (結果の送信)
Macie からの結果では、組織が Amazon S3 に保存しているデータに、ポリシー違反の可能性があること、または個人を特定できる情報 (PII) などの機密データが存在することを示すことがあります。
Security Hub CSPM を有効にすると、Macie は Security Hub CSPM へのポリシー検出結果の送信を自動的に開始します。機密データの検出結果を Security Hub CSPM に送信するように統合を設定できます。
Security Hub CSPM では、ポリシーまたは機密データの検出結果の検出結果タイプが ASFF と互換性のある値に変更されます。例えば、Macie Policy:IAMUser/S3BucketPublicの検出結果タイプは Security Hub CSPM Effects/Data Exposure/Policy:IAMUser-S3BucketPublicで として表示されます。
Macie は、生成されたサンプル検出結果を Security Hub CSPM にも送信します。結果のサンプルでは、影響を受けるリソースの名前は macie-sample-finding-bucket であり、Sample フィールドの値は true です。
詳細については、Amazon Macie ユーザーガイド」の「Amazon Macie と AWS Security Hub Cloud Security Posture Management (CSPM) の統合」を参照してください。 Amazon Macie
AWS Systems Manager Patch Manager (結果を送信)
AWS Systems Manager Patch Manager は、お客様のフリート内のインスタンスがパッチコンプライアンス標準に準拠していない場合、結果を Security Hub CSPM に送信します。
Patch Manager は、セキュリティ関連のアップデートと他のタイプのアップデートの両方でマネージドインスタンスにパッチを適用するプロセスを自動化します。
Security Hub CSPM を有効にすると、この統合は自動的にアクティブ化されます。Systems Manager Patch Manager は、すぐに Security Hub CSPM に結果を送信し始めます。
Patch Manager の使用の詳細については、「AWS Systems Manager ユーザーガイド」の「AWS Systems Manager Patch Manager」を参照してください。
AWS Security Hub CSPM から検出結果を受け取る サービス
以下の AWS サービスは Security Hub CSPM と統合されており、Security Hub CSPM から検出結果を受け取ります。特に明記されている場合、統合されたサービスは結果を更新する場合もあります。この場合、統合サービスで行った更新の検出結果は Security Hub CSPM にも反映されます。
AWS Audit Manager (検出結果を受信)
AWS Audit Manager は Security Hub CSPM から検出結果を受け取ります。これらの結果は、Audit Manager ユーザーが監査の準備をするうえで役立ちます。
Audit Manager の詳細については、AWS Audit Manager ユーザーガイドを参照してください。AWS でサポートされている Security Hub Cloud Security Posture Management (CSPM) チェック AWS Audit Managerには、Security Hub CSPM が検出結果を Audit Manager に送信するコントロールが一覧表示されます。
チャットアプリケーションの Amazon Q Developer (検出結果を受信)
チャットアプリケーションの Amazon Q Developer は、Slack チャネルと Amazon Chime チャットルームの AWS リソースをモニタリングして操作するのに役立つインタラクティブなエージェントです。
チャットアプリケーションの Amazon Q Developer は、Security Hub CSPM から検出結果を受け取ります。
Security Hub CSPM とチャットアプリケーションの統合における Amazon Q Developer の詳細については、「Amazon Q Developer in chat applications Administrator Guide」の「Security Hub CSPM integration overview」を参照してください。
Amazon Detective (結果の受信)
Detective は AWS リソースからログデータを自動的に収集し、機械学習、統計分析、グラフ理論を使用して、より迅速かつ効率的なセキュリティ調査を視覚化して実行できるようにします。
Security Hub CSPM と Detective の統合により、Security Hub CSPM の Amazon GuardDuty の検出結果から Detective にピボットできます。その後、Detective のツールと視覚化を使用して調査することができます。統合では、Security Hub CSPM または Detective で追加の設定は必要ありません。
他の から受け取った検出結果の場合 AWS のサービス、Security Hub CSPM コンソールの検出結果の詳細パネルには、Detective サブセクションの調査が含まれます。そのサブセクションには Detective へのリンクが含まれており、調査結果によって特定されたセキュリティ問題をさらに調査できます。Security Hub CSPM の検出結果に基づいて Detective で動作グラフを構築して、より効果的な調査を実行することもできます。詳細については、「Amazon Detective 管理ガイド」の「AWS セキュリティ結果」を参照してください。
クロスリージョン集約を有効にし、集約リージョンから方向を転換した場合、検出元のリージョンで Detective が開きます。
リンクが機能しない場合のトラブルシューティングのアドバイスについては、「ピボットのトラブルシューティング」を参照してください。
Amazon Security Lake (結果の受信)
Security Lake は、完全マネージド型のセキュリティデータレイクサービスです。Security Lake を使用すると、クラウド、オンプレミス、カスタムソースのセキュリティデータを、アカウントに保存されているデータレイクに自動的に一元化できます。サブスクライバーは、Security Lake のデータを調査や分析のユースケースに使用できます。
この統合を有効にするには、両方のサービスを有効にし、Security Lake コンソール、Security Lake API、または で Security Hub CSPM をソースとして追加する必要があります AWS CLI。これらのステップを完了すると、Security Hub CSPM はすべての検出結果を Security Lake に送信し始めます。
Security Lake は、Security Hub CSPM の検出結果を自動的に正規化し、Open Cybersecurity Schema Framework (OCSF) と呼ばれる標準化されたオープンソーススキーマに変換します。Security Lake では、1 人以上のサブスクライバーを追加して Security Hub CSPM の検出結果を消費できます。
Security Hub CSPM をソースとして追加する手順やサブスクライバーを作成する手順など、この統合の詳細については、「Amazon Security Lake ユーザーガイド」のAWS 「Security Hub Cloud Security Posture Management (CSPM) との統合」を参照してください。
AWS Systems Manager Explorer と OpsCenter (結果の受信と更新)
AWS Systems Manager Explorer と OpsCenter は Security Hub CSPM から検出結果を受け取り、これらの検出結果を Security Hub CSPM で更新します。
Explorer は、カスタマイズ可能なダッシュボードを提供し、ユーザーの運用の健全性と AWS 環境のパフォーマンスに関する主要なインサイトと分析を提供します。
OpsCenterでは、運用作業項目が一元的に表示され、調査と解決が可能です。
Explorer と OpsCenter の詳細については、「AWS Systems Manager ユーザーガイド」の「オペレーション管理」を参照してください。
AWS Trusted Advisor (検出結果を受信)
Trusted Advisor は、数十万の AWS 顧客へのサービス提供から学んだベストプラクティスを活用します。 は AWS 環境 Trusted Advisor を検査し、コスト削減、システムの可用性とパフォーマンスの向上、セキュリティギャップの解消に役立つ機会があれば、レコメンデーションを行います。
Trusted Advisor と Security Hub CSPM の両方を有効にすると、統合は自動的に更新されます。
Security Hub CSPM は、 AWS 基本的なセキュリティのベストプラクティスチェックの結果を に送信します Trusted Advisor。
Security Hub CSPM との統合の詳細については Trusted Advisor、AWS 「 サポートユーザーガイド」の「 での AWS Security Hub Cloud Security Posture Management (CSPM) コントロールの表示 AWS Trusted Advisor」を参照してください。
