翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS のサービス Security Hub CSPM との統合
AWS Security Hub CSPM は、他のいくつかの との統合をサポートしています AWS のサービス。これらの統合は、 AWS 環境全体のセキュリティとコンプライアンスを包括的に把握するのに役立ちます。
以下に特に明記されていない限り、Security Hub CSPM および他のサービスを有効にすると、Security Hub CSPM に結果を送信する AWS のサービス 統合が自動的にアクティブ化されます。Security Hub CSPM の検出結果を受け取る統合では、アクティベーションに追加の手順が必要になる場合があります。詳細については、各統合に関する情報を確認してください。
一部の統合は、すべてで利用できるわけではありません AWS リージョン。Security Hub CSPM コンソールでは、統合が現在のリージョンでサポートされていない場合、その統合は [統合] ページに表示されません。中国リージョンおよび で使用できる統合のリストについては AWS GovCloud (US) Regions、「」を参照してくださいリージョン別の統合の可用性。
Security Hub CSPM と AWS のサービス統合の概要
次の表は、Security Hub CSPM に検出結果を送信するサービス、または Security Hub CSPM から検出結果を受信する AWS サービスの概要を示しています。
| 統合 AWS サービス | Direction |
|---|---|
|
検出結果の送信 |
|
|
検出結果の送信 |
|
|
検出結果の送信 |
|
|
検出結果の送信 |
|
|
検出結果の送信 |
|
|
検出結果の送信 |
|
|
検出結果の送信 |
|
|
検出結果の送信 |
|
|
検出結果の送信 |
|
|
検出結果の送信 |
|
|
検出結果の受信 |
|
|
検出結果の受信 |
|
|
検出結果の受信 |
|
|
検出結果の受信 |
|
|
検出結果の受信と更新 |
|
|
検出結果の受信 |
AWS のサービス Security Hub CSPM に結果を送信する
以下は と AWS のサービス 統合され、Security Hub CSPM に結果を送信できます。Security Hub CSPM は、検出結果を AWS Security Finding 形式に変換します。
AWS Config (検出結果を送信します)
AWS Config は、 AWS リソースの設定を評価、監査、評価できるサービスです。 は、 AWS リソース設定 AWS Config を継続的にモニタリングおよび記録し、記録した設定を目的の設定と照らし合わせて評価を自動化できます。
との統合を使用すると AWS Config、 AWS Config マネージドルール評価とカスタムルール評価の結果を Security Hub CSPM の結果として確認できます。これらの検出結果は、他の Security Hub CSPM の検出結果と一緒に表示でき、セキュリティ体制を包括的に概観できます。
AWS Config は Amazon EventBridge を使用して Security Hub CSPM に AWS Config ルール評価を送信します。Security Hub CSPM は、このルール評価を AWS Security Finding 形式に従う検出結果に変換します。その後 Security Hub CSPM は、Amazon リソースネーム (ARN)、リソースタグ、作成日など、影響を受けるリソースに関する詳細情報を取得することで、ベストエフォートベースで検出結果を強化します。
この統合に関する詳細は、以下のセクションを参照してください。
Security Hub CSPM のすべての検出結果は、ASFF という標準 JSON 形式を使用します。ASFF には、検出結果のオリジン、影響を受けるリソース、および検出結果の現在のステータスに関する詳細が含まれます。 はEventBridge を介して Security Hub CSPM にマネージドルールとカスタムルールの評価 AWS Config を送信します。Security Hub CSPM は、ルール評価を ASFF に従う検出結果に変換し、ベストエフォートベースで検出結果を強化します。
AWS Config が Security Hub CSPM に送信する検出結果の種類
統合がアクティブ化されると、 はすべての AWS Config マネージドルールとカスタムルールの評価を Security Hub CSPM AWS Config に送信します。Security Hub CSPM が有効になった後に実行された評価のみが送信されます。例えば、 AWS Config ルール評価で 5 つの失敗したリソースが明らかになったとします。その後、Security Hub CSPM を有効にし、ルールが 6 番目の失敗したリソースを明らかにした場合、 AWS Config は 6 番目のリソース評価のみを Security Hub CSPM に送信します。
Security Hub CSPM コントロールのチェックを実行するために使用されるルールなど、サービスにリンクされた AWS Config ルールの評価は除外されます。例外は、 が で AWS Control Tower 作成および管理するサービスにリンクされたルールによって生成された結果です AWS Config。これらのルールの結果を含めると、結果データに によって実行されたプロアクティブチェックの結果が含まれるようになります AWS Control Tower。
AWS Config の検出結果を Security Hub CSPM に送信する
統合が有効化されると、Security Hub CSPM は AWS Configの検出結果を受信するために必要な許可を、自動的に割り当てます。Security Hub CSPM はservice-to-serviceレベルのアクセス許可を使用します。 AWS Config EventBridge
検出結果が送信されるまでのレイテンシー
が新しい検出結果 AWS Config を作成すると、通常 5 分以内に Security Hub CSPM で検出結果を表示できます。
Security Hub CSPM が使用できない場合の再試行
AWS Config は、EventBridge を通じてベストエフォートベースで検出結果を Security Hub CSPM に送信します。イベントが Security Hub CSPM に正常に配信されなかった場合、EventBridge は最大で 24 時間または 185 回の、いずれか早い方で配信を再試行します。
Security Hub CSPM での既存の AWS Config 検出結果の更新
AWS Config は、Security Hub CSPM に検出結果を送信すると、同じ検出結果の更新を Security Hub CSPM に送信して、検出結果アクティビティの追加の観察結果を反映することができます。更新は ComplianceChangeNotification イベントについてのみ送信されます。コンプライアンスの変更が行われない場合、更新は Security Hub CSPM に送信されません。Security Hub CSPM では、検出結果は、最新の更新から 90 日後、または更新が行われない場合は作成日から 90 日後に削除されます。
Security Hub CSPM は、関連付けられたリソースを削除 AWS Config しても、 から送信された検出結果をアーカイブしません。
AWS Config 検出結果が存在するリージョン
AWS Config 検出結果はリージョンベースで発生します。 は、検出結果が発生したのと同じリージョンの Security Hub CSPM に検出結果 AWS Config を送信します。
AWS Config 検出結果を表示するには、Security Hub CSPM ナビゲーションペインから検出結果を選択します。検出結果をフィルタリングして AWS Config 検出結果のみを表示するには、検索バーのドロップダウンで製品名を選択します。[Config] (設定) をクリックし、[Apply] (適用) を選択します。
Security Hub CSPM で AWS Config の検出結果名の解釈
Security Hub CSPM は、 AWS Config ルール評価を ルール評価に従う結果に変換しますAWS Security Finding 形式 (ASFF)。 AWS Config ルール評価では、ASFF とは異なるイベントパターンが使用されます。次の表は、 AWS Config ルールの評価フィールドとそれに対応する ASFF を、Security Hub CSPM に表示される通りにまとめたものです。
| Config ルール評価の検索タイプ | ASFF 結果タイプ | ハードコードされた値 |
|---|---|---|
| detail.awsAccountId | AwsAccountId | |
| detail.newEvaluationResult.resultRecordedTime | CreatedAt | |
| detail.newEvaluationResult.resultRecordedTime | UpdatedAt | |
| ProductArn | "arn:<partition>:securityhub:<region>::product/aws/config" | |
| ProductName | "Config" | |
| CompanyName | "AWS" | |
| リージョン | "eu-central-1" | |
| configRuleArn | GeneratorId, ProductFields | |
| detail.ConfigRuleARN/finding/hash | ID | |
| detail.configRuleName | Title, ProductFields | |
| detail.configRuleName | 説明 | 「この結果は、構成ルール ${detail.ConfigRuleName} のリソースコンプライアンスの変更に対して作成されます。」 |
| 構成項目の ARN または Security Hub CSPM が算出した ARN | Resources[i].id | |
| detail.resourceType | Resources[i].Type | "AwsS3Bucket" |
| Resources[i].Partition | "aws" | |
| Resources[i].Region | "eu-central-1" | |
| 構成項目「構成」 | Resources[i].Details | |
| SchemaVersion | 「2018-10-08」 | |
| Severity.Label | 以下の「重要度ラベルの解釈」を参照してください。 | |
| Types | ["Software and Configuration Checks"] | |
| detail.newEvaluationResult.complianceType | Compliance.Status | 「FAILED」、「NOT_AVAILABLE」、「PASSED」、または「WARNING」 |
| Workflow.Status | AWS Config 結果が Compliance.Status が「PASSED」で生成された場合、または Compliance.Status が「FAILED」から「PASSED」に変わった場合、「解決済み」。それ以外の場合、Workflow.Status は「NEW」になります。この値は BatchUpdateFindings API オペレーションを使用して変更できます。 |
重要度ラベルの解釈
AWS Config ルール評価のすべての検出結果には、ASFF のデフォルトの重要度ラベル MEDIUM があります。結果の重要度ラベルは、BatchUpdateFindings API オペレーションで更新できます。
からの一般的な検出結果 AWS Config
Security Hub CSPM は、 AWS Config ルール評価を ASFF に従う検出結果に変換します。ASFF AWS Config の からの一般的な検出結果の例を次に示します。
注記
説明が 1,024 文字を超えると 1,024 文字まで切り捨てられ、末尾に「(truncated)」(切り捨て) と表示されます。
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/45g070df80cb50b68fa6a43594kc6fda1e517932", "ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/config", "ProductName": "Config", "CompanyName": "AWS", "Region": "eu-central-1", "GeneratorId": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-04-15T05:00:37.181Z", "UpdatedAt": "2022-04-19T21:20:15.056Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "s3-bucket-level-public-access-prohibited-config-integration-demo", "Description": "This finding is created for a resource compliance change for config rule: s3-bucket-level-public-access-prohibited-config-integration-demo", "ProductFields": { "aws/securityhub/ProductName": "Config", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/config/arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/46f070df80cd50b68fa6a43594dc5fda1e517902", "aws/config/ConfigRuleArn": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "aws/config/ConfigRuleName": "s3-bucket-level-public-access-prohibited-config-integration-demo", "aws/config/ConfigComplianceType": "NON_COMPLIANT" }, "Resources": [{ "Type": "AwsS3Bucket", "Id": "arn:aws:s3:::amzn-s3-demo-bucket", "Partition": "aws", "Region": "eu-central-1", "Details": { "AwsS3Bucket": { "OwnerId": "4edbba300f1caa608fba2aad2c8fcfe30c32ca32777f64451eec4fb2a0f10d8c", "CreatedAt": "2022-04-15T04:32:53.000Z" } } }], "Compliance": { "Status": "FAILED" }, "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } }
Security Hub CSPM を有効にすると、この統合が自動的に有効になり、 AWS Config が Security Hub CSPM への検出結果を即座に送信開始します。
Security Hub CSPM への検出結果の送信を停止するには、Security Hub CSPM コンソールまたは Security Hub CSPM API を使用します。
検出結果のフローを停止する手順については、「Security Hub CSPM からの検出結果のフローを有効化」を参照してください。
AWS Firewall Manager (検出結果を送信します)
Firewall Manager は、リソースのウェブアプリケーションファイアウォール (WAF) ポリシーまたはウェブアクセスコントロールリスト (ウェブ ACL) ルールが非準拠である場合に、検出結果を Security Hub CSPM に送信します。Firewall Manager は、 AWS Shield Advanced がリソースを保護していない場合、または攻撃が特定された場合にも検出結果を送信します。
Security Hub CSPM を有効にすると、この統合は自動的に有効になります。Firewall Manager は、検出結果を Security Hub CSPM に送信します。
統合の詳細については、Security Hub CSPM コンソールの [統合] ページを参照してください。
Firewall Manager の詳細については、「AWS WAF 開発者ガイド」を参照してください。
Amazon GuardDuty (検出結果の送信)
GuardDuty は、生成されたすべての検出結果のタイプを Security Hub CSPM に送信します。一部の検出結果タイプには、前提条件、有効化要件、またはリージョンの制限があります。詳細については、「Amazon GuardDuty ユーザーガイド」の「GuardDuty 検出結果タイプ」を参照してください。
GuardDuty の新しい検出結果は、Security Hub CSPM に 5 分以内に送信されます。検出結果の更新は、GuardDuty 設定内の Amazon EventBridge の [Updated findings] (更新された検出結果) 設定に基づいて送信されます。
GuardDuty の [設定] ページを使用して GuardDuty の検出結果のサンプルを生成する場合、Security Hub CSPM は検出結果のサンプルを受信し、検出結果タイプのプレフィックス [Sample] を省略します。例えば、GuardDuty [SAMPLE] Recon:IAMUser/ResourcePermissions でのサンプルの検出結果タイプは、Security Hub CSPM では Recon:IAMUser/ResourcePermissions と表示されます。
Security Hub CSPM を有効にすると、この統合は自動的に有効になります。GuardDuty は、直ちに検出結果を Security Hub CSPM に送信し始めます。
GuardDuty 統合の詳細については、「Amazon GuardDuty ユーザーガイド」のAWS 「Security Hub CSPM との統合」を参照してください。 Amazon GuardDuty
AWS Health (検出結果を送信します)
AWS Health は、リソースのパフォーマンスと AWS のサービス および の可用性を継続的に可視化します AWS アカウント。 AWS Health イベントを使用することで、サービスおよびリソースの変更が、 AWSで実行されるアプリケーションにどのような影響を及ぼすか確認することができます。
との統合 AWS Health では、 は使用されませんBatchImportFindings。代わりに、 service-to-serviceイベントメッセージング AWS Health を使用して、結果を Security Hub CSPM に送信します。
統合の詳細については、以下のセクションを参照してください。
Security Hub CSPM では、セキュリティの問題が検出結果として追跡されます。一部の検出結果は、他の AWS サービスまたはサードパーティーパートナーによって検出された問題から発生します。Security Hub CSPM には、セキュリティの問題を検出し、検出結果を生成するために使用する一連のルールもあります。
Security Hub CSPM には、これらすべてのソースからの検出結果を管理するためのツールが用意されています。検出結果の一覧を表示およびフィルタリングして、検出結果の詳細を表示できます。「Security Hub CSPM での検出結果詳細と検出結果履歴のレビュー」を参照してください。結果の調査状況を追跡することもできます。「Security Hub CSPM 検出結果のワークフローステータスの設定」を参照してください。
Security Hub CSPM のすべての検出結果で、AWS Security Finding 形式 (ASFF) と呼ばれる標準の JSON 形式が使用されます。ASFF には、問題のソース、影響を受けるリソース、および結果の現在の状態に関する詳細が含まれます。
AWS Health は、Security Hub CSPM に結果を送信する AWS サービスの 1 つです。
AWS Health が Security Hub CSPM に送信する検出結果の種類
統合を有効にすると、 はリストされている 1 つ以上の仕様を満たす検出結果を Security Hub CSPM AWS Health に送信します。Security Hub CSPM は、AWS Security Finding 形式 (ASFF) で検出結果を取り込みます。
-
AWS のサービスの以下の値のいずれかを含む検出結果:
-
RISK -
ABUSE -
ACM -
CLOUDHSM -
CLOUDTRAIL -
CONFIG -
CONTROLTOWER -
DETECTIVE -
EVENTS -
GUARDDUTY -
IAM -
INSPECTOR -
KMS -
MACIE -
SES -
SECURITYHUB -
SHIELD -
SSO -
COGNITO -
IOTDEVICEDEFENDER -
NETWORKFIREWALL -
ROUTE53 -
WAF -
FIREWALLMANAGER -
SECRETSMANAGER -
BACKUP -
AUDITMANAGER -
ARTIFACT -
CLOUDENDURE -
CODEGURU -
ORGANIZATIONS -
DIRECTORYSERVICE -
RESOURCEMANAGER -
CLOUDWATCH -
DRS -
INSPECTOR2 -
RESILIENCEHUB
-
-
certificateAWS HealthtypeCodeフィールドにsecurity、、abuseまたは という単語を含む結果 -
AWS Health サービスが
riskまたは である検出結果abuse
AWS Health の検出結果を Security Hub CSPM に送信する
から検出結果を受け入れることを選択すると AWS Health、Security Hub CSPM は検出結果の受信に必要なアクセス許可を自動的に割り当てます AWS Health。Security Hub CSPM はservice-to-serviceレベルのアクセス許可を使用して、この統合を有効にし、ユーザーに代わって Amazon EventBridge AWS Health 経由で から検出結果をインポートする安全かつ簡単な方法を提供します。[検出結果を受け入れる] を選択すると、 AWS Healthの検出結果を使用する許可が Security Hub CSPM に付与されます。
検出結果が送信されるまでのレイテンシー
が新しい検出結果 AWS Health を作成すると、通常 5 分以内に Security Hub CSPM に送信されます。
Security Hub CSPM が使用できない場合の再試行
AWS Health は、EventBridge を通じてベストエフォートベースで検出結果を Security Hub CSPM に送信します。イベントが Security Hub CSPM に正常に配信されない場合、EventBridge は 24 時間のイベントの送信を再試行します。
Security Hub CSPM の既存の検出結果を更新する
AWS Health は、Security Hub CSPM に検出結果を送信した後、同じ検出結果に更新を送信して、検出結果アクティビティの追加の観察結果を Security Hub CSPM にリフレクションできます。
検出結果が存在するリージョン
グローバルイベントの場合、 は、us-east-1 (AWS パーティション)、cn-northwest-1 (中国パーティション)、gov-us-west-1 (GovCloud パーティション) の Security Hub CSPM に結果 AWS Health を送信します。 は、イベントが発生するのと同じリージョンの Security Hub CSPM にリージョン固有のイベント AWS Health を送信します。
Security Hub CSPM で検出 AWS Health 結果を表示するには、ナビゲーションパネルから検出結果を選択します。検出結果をフィルタリングして AWS Health 検出結果のみを表示するには、製品名フィールドからヘルスを選択します。
Security Hub CSPM で AWS Health の検出結果名の解釈
AWS Health は、 を使用して検出結果を Security Hub CSPM に送信しますAWS Security Finding 形式 (ASFF)。 AWS Health 検出では、Security Hub CSPM ASFF 形式とは異なるイベントパターンが使用されます。次の表は、Security Hub CSPM に表示される ASFF に対応するすべての AWS Health 検出結果フィールドの詳細を示しています。
| Health 結果タイプ | ASFF 結果タイプ | ハードコードされた値 |
|---|---|---|
| アカウント | AwsAccountId | |
| detail.StartTime | CreatedAt | |
| detail.eventDescription.latestDescription | 説明 | |
| detail.eventTypeCode | GeneratorId | |
| detail.eventArn (including account) + hash of detail.startTime | ID | |
| 「arn: aws: securityhub:<region>:: product/aws/health」 | ProductArn | |
| アカウントまたは resourceId | Resources[i].id | |
| Resources[i].Type | 「その他」 | |
| SchemaVersion | 「2018-10-08」 | |
| Severity.Label | 以下の「重要度ラベルの解釈」を参照してください。 | |
| AWS Health 「-」 detail.eventTypeCode | タイトル | |
| - | Types | ["Software and Configuration Checks"] |
| event.time | UpdatedAt | |
| Health コンソール上のイベントの URL | SourceUrl |
重要度ラベルの解釈
ASFF 結果の重要度ラベルは、次のロジックを使用して決定されます。
-
次の場合、重要度は [CRITICAL]:
-
AWS Health の結果の
serviceフィールドの値がRisk -
AWS Health の結果の
typeCodeフィールドの値がAWS_S3_OPEN_ACCESS_BUCKET_NOTIFICATION -
AWS Health の結果の
typeCodeフィールドの値がAWS_SHIELD_INTERNET_TRAFFIC_LIMITATIONS_PLACED_IN_RESPONSE_TO_DDOS_ATTACK -
AWS Health の結果の
typeCodeフィールドの値がAWS_SHIELD_IS_RESPONDING_TO_A_DDOS_ATTACK_AGAINST_YOUR_AWS_RESOURCES
次の場合、重要度は [HIGH]:
-
AWS Health の結果の
serviceフィールドの値がAbuse -
AWS Health 結果の
typeCodeフィールドの値にSECURITY_NOTIFICATIONが含まれている -
typeCode結果の AWS Health フィールドの値にABUSE_DETECTIONが含まれている
次の場合、重要度は [MEDIUM]:
-
結果の
serviceフィールドが次のいずれかである。ACM、ARTIFACT、AUDITMANAGER、BACKUP、CLOUDENDURE、CLOUDHSM、CLOUDTRAIL、CLOUDWATCH、CODEGURGU、COGNITO、CONFIG、CONTROLTOWER、DETECTIVE、DIRECTORYSERVICE、DRS、EVENTS、FIREWALLMANAGER、GUARDDUTY、IAM、INSPECTOR、INSPECTOR2、IOTDEVICEDEFENDER、KMS、MACIE、NETWORKFIREWALL、ORGANIZATIONS、RESILIENCEHUB、RESOURCEMANAGER、ROUTE53、SECURITYHUB、SECRETSMANAGER、SES、SHIELD、SSO、WAF -
AWS Health 結果の [typeCode] フィールドに値
CERTIFICATEが含まれている -
AWS Health 結果の [typeCode] フィールドに値
END_OF_SUPPORTが含まれている
-
からの一般的な検出結果 AWS Health
AWS Health は、 を使用して Security Hub CSPM に結果を送信しますAWS Security Finding 形式 (ASFF)。以下は、 からの一般的な検出結果の例です AWS Health。
注記
説明が 1,024 文字を超えると 1,024 文字まで切り捨てられ、末尾に (truncated) (切り捨て) と表示されます。
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:health:us-east-1:123456789012:event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96/101F7FBAEFC663977DA09CFF56A29236602834D2D361E6A8CA5140BFB3A69B30", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/health", "GeneratorId": "AWS_SES_CMF_PENDING_TO_SUCCESS", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-01-07T16:34:04.000Z", "UpdatedAt": "2022-01-07T19:17:43.000Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "AWS Health - AWS_SES_CMF_PENDING_TO_SUCCESS", "Description": "Congratulations! Amazon SES has successfully detected the MX record required to use 4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com as a custom MAIL FROM domain for verified identity cmf.pinpoint.sysmon-iad.adzel.com in AWS Region US East (N. Virginia).\\n\\nYou can now use this MAIL FROM domain with cmf.pinpoint.sysmon-iad.adzel.com and any other verified identity that is configured to use it. For information about how to configure a verified identity to use a custom MAIL FROM domain, see http://docs.aws.amazon.com/ses/latest/DeveloperGuide/mail-from-set.html .\\n\\nPlease note that this email only applies to AWS Region US East (N. Virginia).", "SourceUrl": "https://phd.aws.amazon.com/phd/home#/event-log?eventID=arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "ProductFields": { "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/health/arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "aws/securityhub/ProductName": "Health", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "Other", "Id": "4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com" } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } } ] }
Security Hub CSPM を有効にすると、この統合が自動的に有効になり、 AWS Health が Security Hub CSPM への検出結果を即座に送信開始します。
Security Hub CSPM への検出結果の送信を停止するには、Security Hub CSPM コンソールまたは Security Hub CSPM API を使用します。
検出結果のフローを停止する手順については、「Security Hub CSPM からの検出結果のフローを有効化」を参照してください。
AWS Identity and Access Management Access Analyzer (検出結果を送信します)
IAM Access Analyzer では、すべての検出結果が Security Hub CSPM に送信されます。
IAM Access Analyzer は、論理ベースの推論を使用して、アカウントでサポートされるリソースに適用されたリソースベースのポリシーを分析します。IAM Access Analyzer は、外部プリンシパルがアカウント内のリソースにアクセスすることを許可するポリシーステートメントを検出すると、検出結果を生成します。
IAM Access Analyzer では、組織に適用されるアナライザーの検出結果を確認できるのは管理者アカウントだけです。組織アナライザーの場合、AwsAccountId ASFF フィールドには管理者アカウント ID が反映されます。ProductFields 下の ResourceOwnerAccountフィールドには、検出結果が発見されたアカウントが表示されます。アカウントごとにアナライザーを個別に有効にすると、Security Hub CSPM は複数の検出結果を生成します。1 つは管理者アカウント ID を識別し、もう 1 つはリソースアカウント ID を識別します。
詳細については、IAM ユーザーガイドのAWS 「Security Hub CSPM との統合」を参照してください。
Amazon Inspector (検出結果の送信)
Amazon Inspector は、 AWS のワークロードにおける脆弱性を継続的にスキャンする脆弱性管理サービスです。Amazon Inspector は、Amazon Elastic Container Registry に存在する EC2 インスタンスとコンテナイメージを自動的に検出してスキャンします。このスキャンでは、ソフトウェアの脆弱性と意図しないネットワークへのエクスポージャーがないかチェックします。
Security Hub CSPM を有効にすると、この統合は自動的に有効になります。Amazon Inspector から生成されたすべての検出結果が Security Hub CSPM に直ちに送信開始されます。
統合の詳細については、「Amazon Inspector ユーザーガイド」の「Integration with AWS Security Hub CSPM」を参照してください。
Security Hub CSPM は、Amazon Inspector Classic から検出結果を受信することもできます。Amazon Inspector Classic は、サポートされているすべてのルールパッケージの評価実行によって生成された Security Hub CSPM に、検出結果を送信します。
統合の詳細については、Amazon Inspector Classic ユーザーガイド」のAWS 「Security Hub CSPM との統合」を参照してください。
Amazon Inspector と Amazon Inspector Classic の検出結果では、同じ製品の ARN が使用されます。Amazon Inspector の検出結果には、ProductFields に次のエントリがあります。
"aws/inspector/ProductVersion": "2",
注記
Amazon Inspector Code Security によって生成されたセキュリティ検出結果は、この統合では使用できません。ただし、これらの特定の検出結果には、Amazon Inspector コンソールおよび Amazon Inspector API からアクセスできます。
AWS IoT Device Defender (検出結果を送信します)
AWS IoT Device Defender は、IoT デバイスの設定を監査し、接続されたデバイスをモニタリングして異常な動作を検出し、セキュリティリスクを軽減するのに役立つセキュリティサービスです。
AWS IoT Device Defender と Security Hub CSPM の両方を有効にしたら、Security Hub CSPM コンソールの統合ページ
AWS IoT Device Defender Audit は、特定の監査チェックタイプと監査タスクの一般情報を含むチェック概要を Security Hub CSPM に送信します。 AWS IoT Device Defender Detect は、機械学習 (ML)、統計、静的動作に関する違反の検出結果を Security Hub CSPM に送信します。監査も、検出結果の更新を Security Hub CSPM に送信します。
この統合の詳細については、「AWS IoT デベロッパーガイド」の「Integration with AWS Security Hub CSPM」を参照してください。
Amazon Macie (検出結果の送信)
Amazon Macie は、機械学習とパターンマッチングを使用して機密データを検出し、データセキュリティリスクを可視化し、それらのリスクに対する自動保護を可能にするデータセキュリティサービスです。Macie の検出結果は、Amazon S3 データ資産に潜在的なポリシー違反または機密データが存在することを示している可能性があります。
Security Hub CSPM を有効にすると、Macie はポリシー検出結果を自動的に Security Hub CSPM に送信し始めます。機密データの検出結果も Security Hub CSPM に送信するように統合を構成できます。
Security Hub CSPM では、ポリシーまたは機密データの検出結果のタイプが、ASFF と互換性のある値に変更されます。例えば、Macie での Policy:IAMUser/S3BucketPublic 検出結果タイプは、Security Hub CSPM では Effects/Data Exposure/Policy:IAMUser-S3BucketPublic と表示されます。
Macie は、生成された検出結果のサンプルを Security Hub CSPM に送信します。検出結果のサンプルでは、影響を受けるリソースの名前は macie-sample-finding-bucket であり、Sample フィールドの値は true です。
詳細については、「Amazon Macie ユーザーガイド」の「Evaluating Macie findings with Security Hub」を参照してください。
Amazon Route 53 Resolver DNS ファイアウォール (検出結果を送信)
Amazon Route 53 Resolver DNS Firewall を使用すると、仮想プライベートクラウド (VPC) のアウトバウンド DNS トラフィックをフィルタリングおよび規制できます。これを行うには、DNS Firewall のルールグループで再利用可能なフィルタリングルールのコレクションを作成し、それらのルールグループを VPC に関連付け、さらに DNS Firewall のログやメトリクスでアクティビティを監視します。アクティビティに基づいて、DNS Firewall の動作を調整できます。DNS Firewall は Route 53 Resolver の機能です。
Route 53 Resolver DNS Firewall は、いくつかのタイプの検出結果を Security Hub CSPM に送信できます。
-
が管理するドメインリスト AWS である AWS Managed Domain Lists に関連付けられたドメインについて、 でブロックまたはアラートが発生したクエリに関連する結果。
-
定義したカスタムドメインリストに関連付けられたドメインに対してブロックまたはアラートが発生したクエリに関連する検出結果。
-
DNS Firewall Advanced によってブロックまたはアラートされたクエリに関連する検出結果。DNS Firewall Advanced は、ドメイン生成アルゴリズム (DGA) や DNS トンネリングなどの高度な DNS 脅威に関連するクエリを検出できる Route 53 Resolver の機能です。
Security Hub CSPM と Route 53 Resolver DNS Firewall を有効にすると、DNS Firewall は AWS Managed Domain Lists と DNS Firewall Advanced の結果を Security Hub CSPM に自動的に送信し始めます。カスタムドメインリストの検出結果を Security Hub CSPM に送信するには、Security Hub CSPM で統合を手動で有効にします。
Security Hub CSPM では、Route 53 Resolver DNS Firewall のすべての検出結果のタイプは TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation です。
詳細については、「Amazon Route 53 デベロッパーガイド」の「Sending findings from Route 53 Resolver DNS Firewall to Security Hub」を参照してください。
AWS Systems Manager Patch Manager (結果を送信)
AWS Systems Manager Patch Manager は、お客様のフリート内のインスタンスがパッチコンプライアンス標準に準拠していない場合、結果を Security Hub CSPM に送信します。
Patch Manager は、セキュリティ関連のアップデートと他のタイプのアップデートの両方でマネージドインスタンスにパッチを適用するプロセスを自動化します。
Security Hub CSPM を有効にすると、この統合は自動的に有効になります。Systems Manager Patch Manager は、検出結果を Security Hub CSPM に直ちに送信します。
Patch Manager の使用の詳細については、「AWS Systems Manager ユーザーガイド」の「AWS Systems Manager Patch Manager」を参照してください。
AWS Security Hub CSPM から検出結果を受け取る サービス
以下の AWS サービスは Security Hub CSPM と統合されており、Security Hub CSPM から検出結果を受け取ります。特に明記されている場合、統合されたサービスは検出結果を更新する場合もあります。この場合、統合されたサービスで行った更新が見つかると、Security Hub CSPM にも反映されます。
AWS Audit Manager (検出結果を受信)
AWS Audit Manager は Security Hub CSPM から検出結果を受け取ります。これらの検出結果は、Audit Manager ユーザーが監査の準備をするうえで役立ちます。
Audit Manager の詳細については、AWS Audit Manager ユーザーガイドを参照してください。AWSAWS Audit Managerでサポートされている Security Hub CSPM のチェックでは、Security Hub CSPM が検出結果を Audit Manager に送信するコントロールの一覧が表示されます。
チャットアプリケーション での Amazon Q Developer (検出結果を受け取る)
チャットアプリケーションの Amazon Q Developer は、Slack チャンネルと Amazon Chime チャットルームの AWS リソースの監視と操作に役立つ対話型エージェントです。
チャットアプリケーションの Amazon Q Developer は、Security Hub CSPM から検出結果を受け取ります。
Security Hub CSPM とチャットアプリケーションの統合における Amazon Q Developer の詳細については、「Amazon Q Developer in chat applications Administrator Guide」の「Security Hub CSPM integration overview」を参照してください。
Amazon Detective (検出結果の受信)
Detective は AWS リソースからログデータを自動的に収集し、機械学習、統計分析、グラフ理論を使用して、より迅速かつ効率的なセキュリティ調査を視覚化して実行できるようにします。
Detective と Security Hub CSPM を統合することで、Security Hub CSPM の Amazon GuardDuty の検出結果を、Detective にピボットすることが許可されます。その後、Detective のツールと視覚化を使用して調査することができます。統合には、Security Hub CSPM または Detective に追加の設定をする必要はありません。
他の から受け取った検出結果の場合 AWS のサービス、Security Hub CSPM コンソールの検出結果の詳細パネルには、Detective サブセクションに調査が含まれています。そのサブセクションには Detective へのリンクが含まれており、調査結果によって特定されたセキュリティ問題をさらに調査できます。Security Hub CSPM の検出結果に基づいて Detective で行動グラフを作成して、より効果的な調査を行うこともできます。詳細については、「Amazon Detective 管理ガイド」の「AWS セキュリティ検出結果」を参照してください。
クロスリージョン集約を有効にし、集約リージョンから方向を転換した場合、検出元のリージョンで Detective が開きます。
リンクが機能しない場合のトラブルシューティングのアドバイスについては、「ピボットのトラブルシューティング」を参照してください。
Amazon Security Lake (検出結果の受信)
Security Lake は、完全マネージド型のセキュリティデータレイクサービスです。Security Lake を使用すると、クラウド、オンプレミス、カスタムソースのセキュリティデータを、アカウントに保存されているデータレイクに自動的に一元化できます。サブスクライバーは、Security Lake のデータを調査や分析のユースケースに使用できます。
この統合をアクティブ化するには、両方のサービスを有効にし、Security Lake コンソール、Security Lake API、または で Security Hub CSPM をソースとして追加する必要があります AWS CLI。これらの手順を完了すると、Security Hub CSPM はすべての検出結果を Security Lake に送信し始めます。
Security Lake は、Security Hub CSPM の検出結果を自動的に正規化し、Open Cybersecurity Schema Framework (OCSF) と呼ばれる標準化されたオープンソーススキーマに変換します。Security Lake では、Security Hub CSPM の検出結果を使用するサブスクライバーを 1 人以上追加できます。
Security Hub CSPM をソースとして追加する手順やサブスクライバーを作成する手順など、この統合の詳細については、「Amazon Security Lake ユーザーガイド」のAWS 「Security Hub CSPM との統合」を参照してください。
AWS Systems Manager Explorer と OpsCenter (結果の受信と更新)
AWS Systems Manager Explorer と OpsCenter は Security Hub CSPM から検出結果を受け取り、これらの検出結果を Security Hub CSPM で更新します。
Explorer は、カスタマイズ可能なダッシュボードを提供し、ユーザーの運用の健全性と AWS 環境のパフォーマンスに関する主要なインサイトと分析を提供します。
OpsCenterでは、運用作業項目が一元的に表示され、調査と解決が可能です。
Explorer と OpsCenter の詳細については、「AWS Systems Manager ユーザーガイド」の「オペレーション管理」を参照してください。
AWS Trusted Advisor (検出結果を受信)
Trusted Advisor は、数十万の AWS 顧客へのサービス提供から学んだベストプラクティスを活用します。 は AWS 環境 Trusted Advisor を検査し、コスト削減、システムの可用性とパフォーマンスの向上、セキュリティギャップの解消に役立つ機会があれば、レコメンデーションを行います。
Trusted Advisor と Security Hub CSPM の両方を有効にすると、統合は自動的に更新されます。
Security Hub CSPM は、 AWS 基本的なセキュリティのベストプラクティスチェックの結果を に送信します Trusted Advisor。
Security Hub CSPM との統合の詳細については Trusted Advisor、AWS 「 サポートユーザーガイド」の「 での AWS Security Hub CSPM コントロールの表示 AWS Trusted Advisor」を参照してください。
