Security Hub CSPM でのコントロールの詳細の確認 - AWS Security Hub
コントロールの詳細の表示

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub CSPM でのコントロールの詳細の確認

Security Hub CSPM コンソールの [コントロール] ページまたは [標準の詳細] ページで [コントロール] を選択すると、コントロールの詳細のページが表示されます。

コントロールの詳細ページの上部には、コントロールのステータスが表示されます。コントロールステータスは、コントロールの検出結果のコンプライアンスステータスに基づき、コントロールのパフォーマンスを要約します。Security Hub CSPM は通常、Security Hub CSPM コンソールの [概要] ページまたは [セキュリティ標準] ページへの最初のアクセスから 30 分以内に最初のコントロールステータスを生成します。ステータスは、これらのページにアクセスしたときに有効になっているコントロールでのみ使用できます。

[コントロールの詳細] ページには、過去 24 時間のコントロール検出結果のコンプライアンスステータスの内訳も表示されます。コントロールステータスとコンプライアンスステータスの詳細については、「コンプライアンスステータスとコントロールステータスの評価」 を参照してください。

AWS Config リソースの記録は、コントロールステータスが表示されるように設定する必要があります。最初のコントロールステータスが生成された後、Security Hub CSPM は、過去 24 時間の結果に基づき、24 時間おきにコントロールステータスを更新します。

管理者アカウントには、管理者アカウントとメンバーアカウントを横断して集約されたコントロールステータスが表示されます。集約リージョンを設定すると、コントロールステータスには、リンクされたすべてのリージョンの検出結果が含まれます。コントロールステータスの詳細については、コンプライアンスステータスとコントロールステータスの評価 を参照してください。

[コントロールの詳細] ページから、コントロールを無効または有効にすることもできます。

注記

有効にしてから、最初のコントロールステータスのコントロールが中国リージョンと AWS GovCloud (US) Regionsで生成されるまで、最大で 24 時間かかります。

[標準と要件] タブには、コントロールが有効化できる標準と、さまざまなコンプライアンスフレームワークからのコントロールに関連する要件が一覧表示されます。

[チェック] タブには、過去 24 時間のコントロールのアクティブな検出結果が一覧表示されます。コントロールの検出結果は、Security Hub CSPM がコントロールに対してセキュリティチェックを実行したときに生成および更新されます。このタブのリストには、アーカイブされた検出結果は含まれません。

各検出結果について、リストからコンプライアンスステータスや関連リソースなどの検出結果の詳細にアクセスできます。各結果のワークフローステータスを設定し、結果をカスタムアクションに送信することもできます。詳細については、「コントロール検出結果の確認と管理」を参照してください。

コントロールの詳細の表示

お好みのアクセス方法を選択し、以下の手順に従ってコントロールの詳細を確認します。詳細は現在のアカウントとリージョンに適用されます。また、以下の内容を含みます。

  • コントロールのタイトルと説明。

  • 失敗したコントロールの検出結果の修正ガイダンスへのリンク。

  • コントロールの重要度。

  • コントロールのステータス。

コンソール上で、コントロールの最近の検出結果のリストも確認できます。プログラムで実行するには、Security Hub CSPM API の GetFindings オペレーションを使用します。

Security Hub CSPM console

  1. https://console.aws.amazon.com/securityhub/ で AWS Security Hub CSPM コンソールを開きます。

  2. ナビゲーションペインで [コントロール] を選択します。

  3. コントロールを選択します。

Security Hub CSPM API

  1. ListSecurityControlDefinitions を実行し、1 つ以上の標準 ARN を提供して、その標準におけるコントロール ID のリストを取得します。標準 ARN を取得するには、DescribeStandards を実行します。標準 ARN を提供しない場合、この API はすべての Security Hub CSPM コントロール ID を返します。この API は、これらの機能リリース以前に存在していた標準ベースのコントロール ID ではなく、標準に依存しないセキュリティコントロール ID を返します。

    リクエストの例:

    {
    "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
}

  2. を実行してBatchGetSecurityControls、現在の AWS アカウント および の 1 つ以上のコントロールに関する詳細を取得します AWS リージョン。

    リクエストの例:

    {
    "SecurityControlIds": ["Config.1", "IAM.1"]
}
AWS CLI

  1. list-security-control-definitions コマンドを実行し、1 つ以上の標準 ARN を提供してコントロール ID のリストを取得します。標準 ARN を取得するには、describe-standards コマンドを実行します。標準 ARN を提供しない場合、このコマンドはすべての Security Hub CSPM コントロール ID を返します。このコマンドは、これらの機能リリース以前に存在していた標準ベースのコントロール ID ではなく、標準に依存しないセキュリティコントロール ID を返します。

    aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"

  2. batch-get-security-controls コマンドを実行し、 AWS アカウント および AWS リージョンにおける 1 つ以上のコントロールの詳細を取得します。

    
aws securityhub --region us-east-1 batch-get-security-controls --security-control-ids '["Config.1", "IAM.1"]'