Security Hub CSPM でのコントロールの詳細の確認 - AWS Security Hub
コントロールの詳細の表示

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub CSPM でのコントロールの詳細の確認

Security Hub CSPM コンソールのコントロールページまたは標準の詳細ページでコントロールを選択すると、コントロールの詳細のページが表示されます。

コントロールの詳細ページの上部には、コントロールのステータスが表示されます。コントロールステータスは、コントロールの検出結果のコンプライアンスステータスに基づき、コントロールのパフォーマンスを要約します。Security Hub CSPM は通常、Security Hub CSPM コンソールの 概要ページまたはセキュリティ標準ページに初めてアクセスしてから 30 分以内に初期コントロールステータスを生成します。ステータスは、これらのページにアクセスしたときに有効になっているコントロールでのみ使用できます。

[コントロールの詳細] ページには、過去 24 時間のコントロール結果のコンプライアンスステータスの内訳も表示されます。コントロールステータスとコンプライアンスステータスの詳細については、「コンプライアンスステータスとコントロールステータスの評価」 を参照してください。

AWS Config リソースの記録は、コントロールステータスが表示されるように設定する必要があります。コントロールステータスが初めて生成されると、Security Hub CSPM は、過去 24 時間の結果に基づいて 24 時間ごとにコントロールステータスを更新します。

管理者アカウントには、管理者アカウントとメンバーアカウントを横断して集約されたコントロールステータスが表示されます。集約リージョンを設定すると、コントロールステータスには、リンクされたすべてのリージョンの検出結果が含まれます。コントロールステータスの詳細については、コンプライアンスステータスとコントロールステータスの評価 を参照してください。

[コントロールの詳細] ページから、コントロールを無効または有効にすることもできます。

注記

有効にしてから、最初のコントロールステータスのコントロールが中国リージョンと AWS GovCloud (US) Regionsで生成されるまで、最大で 24 時間かかります。

[標準と要件] タブには、コントロールが有効化できる標準と、さまざまなコンプライアンスフレームワークからのコントロールに関連する要件が一覧表示されます。

チェックタブには、過去 24 時間のコントロールのアクティブな検出結果が一覧表示されます。コントロールの検出結果は、Security Hub CSPM がコントロールのセキュリティチェックを実行すると生成されます。このタブのリストには、アーカイブされた結果は含まれません。

各検出結果について、リストからコンプライアンスステータスや関連リソースなどの検出結果の詳細にアクセスできます。各結果のワークフローステータスを設定し、結果をカスタムアクションに送信することもできます。詳細については、「Security Hub CSPM でのコントロールの検出結果の確認と管理」を参照してください。

コントロールの詳細の表示

任意のアクセス方法を選択し、以下の手順に従ってコントロールの詳細を確認します。詳細は現在のアカウントとリージョンに適用されます。また、以下の内容を含みます。

  • コントロールのタイトルと説明。

  • 失敗したコントロールの検出結果の修正ガイダンスへのリンク。

  • コントロールの重要度。

  • コントロールのステータス。

コンソールでは、コントロールの最近の検出結果のリストを確認することもできます。プログラムでこれを行うには、Security Hub CSPM API の GetFindingsオペレーションを使用できます。

Security Hub CSPM console

  1. https://console.aws.amazon.com/securityhub/ で AWS Security Hub Cloud Security Posture Management (CSPM) コンソールを開きます。

  2. ナビゲーションペインで [コントロール] を選択します。

  3. コントロールを選択します。

Security Hub CSPM API

  1. ListSecurityControlDefinitions を実行し、1 つ以上の標準 ARN を提供して、その標準におけるコントロール ID のリストを取得します。標準 ARN を取得するには、DescribeStandards を実行します。標準 ARN を指定しない場合、この API はすべての Security Hub CSPM コントロール IDsを返します。この API は、これらの機能リリース以前に存在していた標準ベースのコントロール ID ではなく、標準に依存しないセキュリティコントロール ID を返します。

    リクエストの例:

    {
    "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
}

  2. を実行してBatchGetSecurityControls、現在の AWS アカウント および の 1 つ以上のコントロールに関する詳細を取得します AWS リージョン。

    リクエストの例:

    {
    "SecurityControlIds": ["Config.1", "IAM.1"]
}
AWS CLI

  1. list-security-control-definitions コマンドを実行し、1 つ以上の標準 ARN を提供してコントロール ID のリストを取得します。標準 ARN を取得するには、describe-standards コマンドを実行します。標準 ARN を指定しない場合、このコマンドはすべての Security Hub CSPM コントロール IDsを返します。このコマンドは、これらの機能リリース以前に存在していた標準ベースのコントロール ID ではなく、標準に依存しないセキュリティコントロール ID を返します。

    aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"

  2. batch-get-security-controls コマンドを実行し、 AWS アカウント および AWS リージョンにおける 1 つ以上のコントロールの詳細を取得します。

    
aws securityhub --region us-east-1 batch-get-security-controls --security-control-ids '["Config.1", "IAM.1"]'