Security Hub の概念

AWS リソースを含む標準 AWS アカウント。 AWS アカウント AWS で にサインインして、Security Hub を有効にします。

アカウントが に登録されている場合 AWS Organizations、組織は Security Hub 管理者アカウントを指定します。このアカウントは他の組織アカウントをメンバーアカウントとして有効にできます。

組織が持つことができる Macie 管理者アカウントは 1 つのみです。アカウントを、管理者アカウントとメンバーアカウントの両方のアカウントとして同時に設定することはできません。

Security Hub は、次のアカウントをサポートしています。

このタイプの AWS アカウントは、関連付けられたメンバーアカウントの結果を表示できます。

このタイプの AWS アカウントは、組織管理アカウントが Security Hub 管理者アカウントとして指定すると、管理者アカウントになります。Security Hub 管理者アカウントは、任意の組織アカウントをメンバーアカウントとして有効にできます。また、他のアカウントをメンバーアカウントに招待することもできます。

組織が持つことができる Macie 管理者アカウントは 1 つのみです。アカウントを、管理者アカウントとメンバーアカウントの両方のアカウントとして同時に設定することはできません。

集約リージョンを使用すると、複数の のセキュリティ検出結果を 1 つのペイン AWS リージョン に表示できます。

集約リージョンは、検出結果を表示および管理 AWS リージョン するための です。結果は、リンクされたリージョンから集約リージョンに集約されます。検出結果の更新は、リージョン全体で複製されます。

集約リージョンでは、ダッシュボードページとインベントリページには、リンクされたすべてのリージョンのデータが含まれます。オートメーションページは、集約リージョンでオートメーションルールを定義する場合にのみ使用できます。サードパーティーのチケット発行統合は、集約リージョンでのみ設定できます。

ステータスが ARCHIVED の検出結果。これらの検出結果は、検出結果を調査している検出結果プロバイダーまたは顧客が、検出結果に関連性がないと考えていることを示しています。

検出結果プロバイダーは、作成した検出結果をアーカイブできます。お客様は、Security Hub API の BatchUpdateFindingsV2 オペレーションを使用するか、Security Hub コンソールでステータスを更新することで、関連性がないと思われる検出結果をアーカイブできます。

Security Hub コンソールでは、デフォルトのフィルター設定により、アーカイブされた検出結果が検出結果リストとテーブルから除外されます。アーカイブされた結果を含めるようにフィルターを更新できます。GetFindingsV2 オペレーションを使用して検出結果を取得すると、アーカイブされた検出結果とアクティブな検出結果の両方が取得されます。次の例は、アーカイブされた結果を結果から除外する方法を示しています。

{
    "StringFilters":
    [
        {
            "FieldName": "status",
            "Filter":
            {
                "Value": "Archived",
                "Comparison": "EQUALS"
            }
        }
    ]
}

リンクされたリージョンから集約リージョンへの検出結果およびリソースの集約。集約リージョンのすべてのデータを表示し、集約リージョンの検出結果を更新できます。

では AWS Organizations、サービスの委任管理者アカウントは、組織のサービスの使用を管理できます。

Security Hub では、Security Hub 管理者アカウントが Security Hub の委任管理者アカウントとしての役割も担います。組織管理アカウントによって初めて Security Hub 管理者アカウントが指定されたとき、Security Hub では Organizations を呼び出して、そのアカウントを委任管理者アカウントに指定します。

次に、組織管理アカウントは、すべてのリージョンで Security Hub 管理者アカウントとして委任管理者アカウントを選択する必要があります。

露出とは、セキュリティコントロールの広範な弱点、設定ミス、またはアクティブな脅威によって悪用される可能性のあるその他の領域です。

露出の例は次のとおりです。

検出結果のタイプの 1 つで、環境内に存在する露出を示すもの。露出の検出結果には、特性とシグナルが含まれます。シグナルには、1 つ以上のタイプの露出の特性を含めることができます。 AWS Security Hub は、 AWS Security Hub CSPM、Amazon Inspector、Amazon GuardDuty、Amazon Macie、またはその他の AWS のサービスからのシグナルが露出の存在を示すと、露出検出結果を生成します。リソースは、1 つ以上の露出検出結果に関与できます。リソースに露出特性がない場合、または特性が不十分な場合、Security Hub はそのリソースについて露出の検出結果を生成しません。

公開検出結果の例は、インターネットから到達可能であり、ソフトウェアの脆弱性があり、悪用の可能性が高い EC2 インスタンスです。

セキュリティチェックまたはセキュリティ関連の検出の監視可能なレコード。Security Hub は、他のセキュリティ検出結果の相関関係を通じて検出結果を生成および更新します。これらは露出の検出結果と呼ばれます。検出結果は、他の AWS のサービス およびサードパーティー製品との統合からも得られます。

Security Hub への検出結果のインポート。結果取り込みイベントには、新しい結果と既存の結果の更新が含まれます。

クロスリージョン集約を有効にすると、リンクされたリージョンとは、検出結果とリソースインベントリを集約リージョンに集約するリージョンのことを指します。

リンクされたリージョンでは、ダッシュボードページとインベントリページには、その検出結果のみが含まれます AWS リージョン。

Open Cybersecurity Schema Framework (OCSF) は、サイバーセキュリティ業界の AWS および主要なパートナーによる、協力的なオープンソースの取り組みです。OCSF は、一般的なセキュリティイベントの標準スキーマを提供し、スキーマの進化を容易にするバージョニング基準を定義し、セキュリティログの作成者と利用者を対象とした自己管理プロセスを組み込んでいます。詳細については、「Security Hub での OCSF 検出結果」を参照してください。

検出結果を表示してアクションを実行するアクセス許可を管理者アカウントに AWS アカウント 付与した 。この種の は、Security Hub 管理者アカウントがメンバーアカウントとして有効にすると、メンバーアカウント AWS アカウント になります。

露出の検出結果に寄与する検出結果。シグナルは、寄与する検出結果と呼ばれる場合があります。シグナルは、Security Hub CSPM AWS Config、または Amazon Inspector AWS のサービスなどの他の から発信できます。

露出の検出結果を引き起こすセキュリティ上の逸脱 特性タイプには、[推測可能性]、[設定ミス]、[到達可能性]、[機密データ]、[脆弱性] などがあります。特性は 1 つのシグナルに関連付けられ、シグナルには複数の特性を含めることができます。例えば、Security Hub CSPM コントロールは、カスタマー管理ポリシーが管理アクセスコントロールを許可することを示します。このシグナルには、設定ミスの特性が含まれています。