Security Hub CSPM でのコントロールの詳細の確認 - AWS Security Hub
コントロールの詳細の表示

Security Hub CSPM でのコントロールの詳細の確認

Security Hub CSPM コンソールの [コントロール] ページまたは [標準の詳細] ページで [コントロール] を選択すると、コントロールの詳細のページが表示されます。

コントロールの詳細ページの上部には、コントロールのステータスが表示されます。コントロールステータスは、コントロールの検出結果のコンプライアンスステータスに基づき、コントロールのパフォーマンスを要約します。Security Hub CSPM は通常、Security Hub CSPM コンソールの [概要] ページまたは [セキュリティ標準] ページへの最初のアクセスから 30 分以内に最初のコントロールステータスを生成します。ステータスは、これらのページにアクセスしたときに有効になっているコントロールでのみ使用できます。

[コントロールの詳細] ページには、過去 24 時間のコントロール検出結果のコンプライアンスステータスの内訳も表示されます。コントロールステータスとコンプライアンスステータスの詳細については、「コンプライアンスステータスとコントロールステータスの評価」 を参照してください。

コントロールステータスを表示するには、AWS Config リソースレコードを設定する必要があります。最初のコントロールステータスが生成された後、Security Hub CSPM は、過去 24 時間の結果に基づき、24 時間おきにコントロールステータスを更新します。

管理者アカウントには、管理者アカウントとメンバーアカウントを横断して集約されたコントロールステータスが表示されます。集約リージョンを設定すると、コントロールステータスには、リンクされたすべてのリージョンの検出結果が含まれます。コントロールステータスの詳細については、コンプライアンスステータスとコントロールステータスの評価 を参照してください。

[コントロールの詳細] ページから、コントロールを無効または有効にすることもできます。

注記

有効にしてから、最初のコントロールステータスのコントロールが中国リージョンと AWS GovCloud (US) Regions で生成されるまで、最大で 24 時間かかります。

[標準と要件] タブには、コントロールが有効化できる標準と、さまざまなコンプライアンスフレームワークからのコントロールに関連する要件が一覧表示されます。

[チェック] タブには、過去 24 時間のコントロールのアクティブな検出結果が一覧表示されます。コントロールの検出結果は、Security Hub CSPM がコントロールに対してセキュリティチェックを実行したときに生成および更新されます。このタブのリストには、アーカイブされた検出結果は含まれません。

各検出結果について、リストからコンプライアンスステータスや関連リソースなどの検出結果の詳細にアクセスできます。各結果のワークフローステータスを設定し、結果をカスタムアクションに送信することもできます。詳細については、「コントロール検出結果の確認と管理」を参照してください。

コントロールの詳細の表示

お好みのアクセス方法を選択し、以下の手順に従ってコントロールの詳細を確認します。詳細は現在のアカウントとリージョンに適用されます。また、以下の内容を含みます。

  • コントロールのタイトルと説明。

  • 失敗したコントロールの検出結果の修正ガイダンスへのリンク。

  • コントロールの重要度。

  • コントロールのステータス。

コンソール上で、コントロールの最近の検出結果のリストも確認できます。プログラムで実行するには、Security Hub CSPM API の GetFindings オペレーションを使用します。

Security Hub CSPM console

  1. AWS Security Hub CSPM コンソール (https://console.aws.amazon.com/securityhub/) を開きます。

  2. ナビゲーションペインで [コントロール] を選択します。

  3. コントロールを選択します。

Security Hub CSPM API

  1. ListSecurityControlDefinitions を実行し、1 つ以上の標準 ARN を提供して、その標準におけるコントロール ID のリストを取得します。標準 ARN を取得するには、DescribeStandards を実行します。標準 ARN を提供しない場合、この API はすべての Security Hub CSPM コントロール ID を返します。この API は、これらの機能リリース以前に存在していた標準ベースのコントロール ID ではなく、標準に依存しないセキュリティコントロール ID を返します。

    リクエストの例:

    {
    "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
}

  2. BatchGetSecurityControls を実行し、AWS アカウント および AWS リージョン における 1 つ以上のコントロールの詳細を取得します。

    リクエストの例:

    {
    "SecurityControlIds": ["Config.1", "IAM.1"]
}
AWS CLI

  1. list-security-control-definitions コマンドを実行し、1 つ以上の標準 ARN を提供してコントロール ID のリストを取得します。標準 ARN を取得するには、describe-standards コマンドを実行します。標準 ARN を提供しない場合、このコマンドはすべての Security Hub CSPM コントロール ID を返します。このコマンドは、これらの機能リリース以前に存在していた標準ベースのコントロール ID ではなく、標準に依存しないセキュリティコントロール ID を返します。

    aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"

  2. batch-get-security-controls コマンドを実行し、AWS アカウント および AWS リージョン における 1 つ以上のコントロールの詳細を取得します。

    
aws securityhub --region us-east-1 batch-get-security-controls --security-control-ids '["Config.1", "IAM.1"]'