Security Hub での検出結果の管理 - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub での検出結果の管理

Amazon ルールと Amazon EventBridge Simple Notification Service (Amazon SNS) トピックを使用して、Security Hub の検出結果のクラウドベースの通知システムを構築できます。このシステムは、結果の作成時に適切なチームに通知します。このアプローチでは、アプリケーションAWS アカウント 構造の開発が専用アカウントに分割されるため、 で説明されているマルチアカウント戦略が重要です。これにより、各結果について正しいチームに通知するのに役立ちます。

セキュリティチームまたはクラウドチームは、すべての からイベントを受信することを選択できます AWS アカウント。この場合、Security Hub の委任管理者アカウント内に EventBridge ルールを構築し、これらのチームに通知する Amazon SNS トピックをサブスクライブします。アプリケーションチームの場合は、それぞれのアプリケーションアカウント内で EventBridge ルールと SNS トピックを設定します。アプリケーションアカウント内で Security Hub の検出結果が発生すると、担当チームにその検出結果が通知されます。

Security Hub は、すべての新しい検出結果と既存の検出結果へのすべての更新を Security Hub の検出結果 - インポートされたイベント EventBridge として に自動的に送信します。Security Hub の検出結果 - インポートされたイベントごとに 1 つの検出結果が含まれます。 EventBridge ルールにフィルターを適用して、検出結果がフィルターと一致する場合にのみ、検出結果によってルールが開始されるようにできます。手順については、「自動的に送信される検出結果の EventBridge ルールの設定」を参照してください。Amazon SNS トピックの作成とサブスクライブの詳細については、Amazon SNS の設定」を参照してください。

このアプローチを使用する場合は、次の点を考慮してください。

  • アプリケーションチームの場合は、アプリケーションがホストされている各 AWS アカウント と AWS リージョン 内に EventBridge ルールを作成します。

  • セキュリティチームとクラウドチームの場合は、Security Hub の委任管理者アカウントに EventBridge ルールを作成します。これにより、メンバーアカウント内のすべての結果についてチームに通知されます。

  • セキュリティ検出結果のステータスが の場合、Amazon SNS は毎日通知を送信しますNEW。毎日の通知をオフにする場合は、Amazon SNS サブスクライバーが通知を受信NOTIFIEDした後NEW、検出結果のステータスを から に変更するカスタム AWS Lambda 関数を作成できます。 Amazon SNS