翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Security Hub の推奨事項
の次のセキュリティサービスは、検出結果を OCSF 形式で Security Hub AWSに送信します。Security Hub を有効にしたら、セキュリティを強化AWS のサービスするためにこれらを有効にすることをお勧めします。
Security Hub CSPM
Security Hub CSPM を有効にすると、AWS のセキュリティ状態が包括的に表示されます。これは、セキュリティ業界の標準とベストプラクティスに対してお使いの環境をチェックする上で役立ちます。Security Hub CSPM を有効にしなくても Security Hub の使用を開始できますが、Security Hub は Security Hub CSPM からのセキュリティシグナルを関連付けて体制管理を改善するため、Security Hub CSPM を有効にすることをお勧めします。
Security Hub CSPM を有効にする場合は、アカウントの AWSFoundational Security Best Practices 標準を有効にすることもお勧めします。この標準は、 AWS アカウントおよび リソースがセキュリティのベストプラクティスから逸脱した場合を検出する一連のコントロールで構成されています。アカウントの AWSFoundational Security Best Practices 標準を有効にすると、AWSSecurity Hub CSPM は、次のリソースタイプのコントロールを含むすべてのコントロールを自動的に有効にします。
-
アカウントコントロール
-
Amazon DynamoDB コントロール
-
Amazon Elastic Compute Cloud コントロール
-
AWS Identity and Access Management(IAM) コントロール
-
AWS Lambdaコントロール
-
Amazon Relational Database Service (Amazon RDS) のコントロール
-
Amazon Simple Storage Service コントロール
このリストのどの制御も無効にできます。ただし、これらのコントロールのいずれかを無効にすると、サポートされているリソースの公開検出結果を受け取ることはできません。Foundational Security Best Practices 標準に適用されるコントロールの詳細については、AWSAWS「 Foundational Security Best Practices v1.0.0 (FSBP) standard」を参照してください。
GuardDuty
GuardDuty を有効にすると、Security Hub コンソールのダッシュボードですべての脅威とセキュリティカバレッジの検出結果を表示できます。GuardDuty を有効にすると、GuardDuty は OCSF 形式で Security Hub へのデータの送信を自動的に開始します。
Amazon Inspector
Amazon Inspector を有効にすると、Security Hub コンソールのダッシュボードにすべての露出とセキュリティカバレッジの検出結果を表示できます。Amazon Inspector を有効にすると、Amazon Inspector は OCSF 形式で Security Hub へのデータの送信を自動的に開始します。
Amazon EC2 スキャンと Lambda 標準スキャンをアクティブ化することをお勧めします。Amazon EC2 スキャンをアクティブ化すると、Amazon Inspector はアカウント内の Amazon EC2 インスタンスをスキャンして、パッケージの脆弱性とネットワーク到達可能性の問題について調べます。Lambda 標準スキャンをアクティブ化すると、Amazon Inspector は Lambda 関数をスキャンして、パッケージの依存関係におけるソフトウェアの脆弱性を確認します。詳細については、「Amazon Inspector ユーザーガイド」の「Activating a scan type」を参照してください。
Macie
Macie を有効にすると、Amazon S3 バケットの追加露出を検出できます。Macie が Amazon S3 バケットインベントリを毎日評価できるように、機密データ自動検出を設定することをお勧めします。
