翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
セキュリティ検出結果の評価と優先順位付け
効果的な脆弱性管理プログラムの重要な要素は、セキュリティ検出結果を評価して優先順位を付ける能力です。ここで、コンテキストのプルイン、組織履歴、およびチューニング検出システムが導入されます。セキュリティ検出結果の優先順位付けは、応答レベルに適した速度を確立するのに役立ちます。
Amazon Inspector AWS Security Hubおよび Amazon GuardDuty の場合、検出結果には重要度ラベルまたはスコアが含まれます。Foundational Security Best Practices (FSBP) 標準、Amazon Inspector、GuardDuty に関連する検出結果を含め、Security Hub のすべての重大度と重要度の高い検出結果の調査を優先することをお勧めします。検出結果の重要度ラベルは、スコアとして次のように決定されます。
-
Amazon Inspector スコアは、各検出結果の高度にコンテキスト化されたスコアです。これは、共通脆弱性評価システム (CVSS) の基本スコア情報を、ネットワーク到達可能性の結果と悪用可能性データに関連付けることによって計算されます。このスコアを使用すると、検出結果に優先順位を付け、最も重要な検出結果と脆弱なリソースに集中できます。Amazon Inspector は、スコアに加えて、共通脆弱性識別子 (CVE)
に関する拡張脆弱性インテリジェンスも提供します。これは、Amazon からの CVE に関する利用可能なインテリジェンスと、Recorded Future and Cybersecurity and Infrastructure Security Agency (CISA) などの業界標準のセキュリティインテリジェンスソースの概要です。例えば、Amazon Inspector は、脆弱性を悪用するために使用される既知のマルウェアキットの名前を提供できます。詳細については、「脆弱性インテリジェンス」を参照してください。 -
各 GuardDuty の検出結果には、環境に対する検出結果の潜在的なリスクを反映する重要度レベルと値が割り当てられます。このレベルと値は、セキュリティエンジニアによって AWS 決定されます。例えば、
High重要度レベルは、リソースが侵害され、不正な目的でアクティブに使用されていることを示します。GuardDuty のHigh重要度の検出結果を優先度として扱い、さらなる不正使用を防ぐためにすぐに修正することをお勧めします。 -
Security Hub コントロールの検出結果の重要度は、悪用の難しさと侵害の可能性によって決まります。この難易度は、弱点を利用して脅威シナリオを実行するために必要な洗練度または複雑さの度合いによって決まります。侵害の可能性は、脅威シナリオが AWS のサービス または リソースの中断または侵害につながる可能性を示します。
検出結果を調整するには、特定の検出結果をそれぞれのサービスコンソールで直接、またはサービスの API を使用して抑制またはアーカイブできます。さらに、自動化ルールを使用して、Security Hub で検出結果を変更することもできます。GuardDuty と Amazon Inspector の検出結果は、Security Hub に自動的に送信されます。自動化ルールを使用して、定義した基準に基づいて、ほぼリアルタイムで結果を自動的に更新 (重要度の変更など) または抑制できます。自動化ルールを作成するときは、作成日や変更日、作成者、ルールが必要な理由など、ルールの説明にコンテキストを追加することをお勧めします。この情報は、将来の参照に役立ちます。
