翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Security Hub CSPM の検出結果を自動的に変更して動作を実行する
AWS Security Hub CSPM には、仕様に基づいて結果を自動的に変更してアクションを実行する機能があります。
Security Hub CSPM は現在、次の 2 種類の自動化をサポートしています。
+ **自動化ルール** — 定義した基準に基づいて、ほぼリアルタイムで検出結果を自動的に更新および非表示にします。
+ **自動対応と修正** — 特定の検出結果やインサイトに対して実行する自動アクションを定義するカスタム Amazon EventBridge ルールを作成できます。
自動化ルールは、 AWS Security Finding 形式 (ASFF) で検出結果フィールドを自動的に更新する場合に役立ちます。例えば、自動化ルールを使用して、特定のサードパーティー統合の結果の重要度レベルまたはワークフローステータスを更新できます。自動化ルールを使用すると、このサードパーティー製品の各検出結果の重要度レベルまたはワークフローステータスを手動で更新する必要がなくなります。
EventBridge ルールは、特定の検出結果に関して Security Hub CSPM の外部でアクションを実行したり、修正や追加調査のために特定の検出結果をサードパーティーツールに送信したりする場合に役立ちます。ルールを使用して、 AWS Lambda 関数の呼び出しや、特定の検出結果に関する Amazon Simple Notification Service (Amazon SNS) トピックの通知など、サポートされているアクションをトリガーできます。
自動化ルールは、EventBridge ルールが適用される前に有効になります。つまり、EventBridge が検出結果を受信する前に自動化ルールがトリガーされ、検出結果が更新されます。その後、EventBridge のルールが更新された検出結果に適用されます。
セキュリティコントロールの自動化を設定するときは、タイトルや説明ではなく、コントロール ID に基づいてフィルタリングすることをお勧めします。Security Hub CSPM でコントロールのタイトルや説明を更新することがありますが、コントロール ID は変わりません。
**Topics**
+ [Security Hub CSPM の自動化ルールについて](automation-rules.md)
+ [EventBridge を使用した自動応答と修復](securityhub-cloudwatch-events.md)
# Security Hub CSPM の自動化ルールについて
自動化ルールを使用して、 AWS Security Hub CSPM の結果を自動的に更新できます。検出結果が取り込まれると、Security Hub CSPM は検出結果の非表示、重要度の変更、メモの追加など、さまざまなルールアクションを適用できます。このようなルールアクションは、指定した条件に一致する検出結果を変更します。
自動化ルールの使用例には、次のようなものがあります。
+ 検出結果のリソース ID がビジネス上重要なリソースを参照している場合、検出結果の重大度を `CRITICAL` に上げます。
+ 検出結果が特定の本番稼働用アカウントのリソースに影響する場合は、検出結果の重要度を `HIGH` から `CRITICAL` に引き上げます。
+ `INFORMATIONAL` 重要度を持つ `SUPPRESSED` ワークフローステータスの特定の検出結果を割り当てます。
Security Hub CSPM 管理者アカウントからのみ自動化ルールを作成および管理できます。
ルールは、新しい検出結果と更新された検出結果の両方に適用されます。カスタムルールを最初から作成することも、Security Hub CSPM が提供するルールテンプレートを使用することもできます。テンプレートから開始し、必要に応じて変更することもできます。
## ルール基準とルールアクションの定義
Security Hub CSPM 管理者アカウントから、1 つ以上のルール*条件* と 1 つ以上のルール*アクション*を定義することで、自動化ルールを作成できます。検出結果が定義済みの条件と一致すると、Security Hub CSPM はその結果にルールアクションを適用します。使用可能な条件とアクションの詳細については、「[使用可能なルール基準とルールアクション](#automation-rules-criteria-actions)」を参照してください。
Security Hub CSPM は現在、管理者アカウントごとに最大 100 の自動化ルールをサポートしています。
Security Hub CSPM 管理者アカウントは、自動化ルールを編集、表示、削除できます。ルールは、管理者アカウントとすべてのメンバーアカウントの一致する検出結果に適用されます。メンバーアカウント ID をルール条件に指定することで、Security Hub CSPM 管理者は自動化ルールを使用して特定のメンバーアカウントの検出結果を更新したり、非表示にしたりすることもできます。
自動化ルールは、それが作成された AWS リージョン にのみ適用されます。複数のリージョンにルールを適用するには、管理者がリージョンごとにルールを作成する必要があります。これは、Security Hub CSPM コンソール、Security Hub CSPM API、または [AWS CloudFormation](creating-resources-with-cloudformation.md) を使用して実行できます。[マルチリージョンデプロイスクリプト](https://github.com/awslabs/aws-securityhub-multiaccount-scripts/blob/master/automation_rules)を使用することも可能です。
## 使用可能なルール基準とルールアクション
現在、自動化ルールの基準として次の AWS Security Finding Format (ASFF) フィールドがサポートされています。
| ルール基準 | フィルター演算子 | フィールドタイプ |
| --- | --- | --- |
| AwsAccountId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| AwsAccountName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 文字列 |
| CompanyName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 文字列 |
| ComplianceAssociatedStandardsId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 文字列 |
| ComplianceSecurityControlId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ComplianceStatus | Is, Is Not | 選択:[FAILED, NOT\$1AVAILABLE, PASSED, WARNING] |
| Confidence | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Number |
| CreatedAt | Start, End, DateRange | 日付 (形式例: 2022-12-01T21:47:39.269Z) |
| Criticality | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Number |
| Description | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| FirstObservedAt | Start, End, DateRange | 日付 (形式例: 2022-12-01T21:47:39.269Z) |
| GeneratorId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| Id | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| LastObservedAt | Start, End, DateRange | 日付 (形式例: 2022-12-01T21:47:39.269Z) |
| NoteText | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| NoteUpdatedAt | Start, End, DateRange | 日付 (形式例: 2022-12-01T21:47:39.269Z) |
| NoteUpdatedBy | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ProductArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 文字列 |
| ProductName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 文字列 |
| RecordState | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 文字列 |
| RelatedFindingsId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 文字列 |
| RelatedFindingsProductArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 文字列 |
| ResourceApplicationArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 文字列 |
| ResourceApplicationName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ResourceDetailsOther | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | マッピング |
| ResourceId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ResourcePartition | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 文字列 |
| ResourceRegion | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ResourceTags | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | マッピング |
| ResourceType | Is, Is Not | 選択 (ASFF がサポートする[リソース](https://docs.aws.amazon.com/securityhub/latest/userguide/asff-resources.html)を参照) |
| SeverityLabel | Is, Is Not | 選択: [CRITICAL, HIGH, MEDIUM, LOW, INFORMATIONAL] |
| SourceUrl | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| Title | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 文字列 |
| Type | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| UpdatedAt | Start, End, DateRange | 日付 (形式例: 2022-12-01T21:47:39.269Z) |
| UserDefinedFields | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | マッピング |
| VerificationState | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| WorkflowStatus | Is, Is Not | 選択: [NEW, NOTIFIED, RESOLVED, SUPPRESSED] |
文字列フィールドとしてラベル付けされている条件の場合、同じフィールドで異なるフィルター演算子を使用すると、評価ロジックに影響します。詳細については、「*AWS Security Hub CSPM API リファレンス*」の「[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html)」を参照してください。
各基準は、一致する検出結果のフィルタリングに使用できる値の最大数をサポートしています。各基準の制限については、「*AWS Security Hub CSPM API リファレンス*」の「[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html)」を参照してください。
現在、次の ASFF フィールドが自動化ルールのアクションとしてサポートされています。
+ `Confidence`
+ `Criticality`
+ `Note`
+ `RelatedFindings`
+ `Severity`
+ `Types`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`
特定の ASFF フィールドの詳細については、「[AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html)」を参照してください。
**ヒント**
Security Hub CSPM で特定のコントロールに関する検出結果の生成を停止したい場合は、自動化ルールを使用する代わりにコントロールを無効にすることをお勧めします。コントロールを無効にすると、Security Hub CSPM はそのコントロールに対するセキュリティチェックの実行を停止し、検出結果の生成を停止するため、そのコントロールに対する料金は発生しません。自動化ルールを使用し、定義した条件に一致する検出結果に関して、特定の ASFF フィールド値を変更することをおすすめします。コントロールの無効化に関する詳細については、「[Security Hub CSPM でのコントロールの無効化](disable-controls-overview.md)」を参照してください。
## 自動化ルールが評価する検出結果
自動化ルールは、ルールの作成*後*に Security Hub CSPM が [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html) オペレーションを通じて生成または取り込む新規および更新された検出結果を評価します。Security Hub CSPM は、12~24 時間ごと、または関連リソースの状態が変化したときに、コントロール検出結果を更新します。詳細については、「[セキュリティチェックの実行スケジュール](securityhub-standards-schedule.md)」を参照してください。
自動化ルールは、プロバイダーが提供する元の検出結果を評価します。プロバイダーは、Security Hub CSPM API の `BatchImportFindings` オペレーションを通じて、新しい検出結果を提供し、既存の検出結果を更新できます。元の検出結果に次のフィールドが存在しない場合、Security Hub CSPM はフィールドを自動的に入力し、オートメーションルールによる評価で入力された値を使用します。
+ `AwsAccountName`
+ `CompanyName`
+ `ProductName`
+ `Resource.Tags`
+ `Workflow.Status`
1 つ以上の自動化ルールを作成したら、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html) オペレーションを使用して検出結果フィールドを更新しても、ルールはトリガーされません。自動化ルールを作成し、同じ検出結果フィールドに影響する `BatchUpdateFindings` 更新を行うと、最後の更新によってそのフィールドの値を設定します。次の例を見てみましょう。
1. `BatchUpdateFindings` オペレーションを使用して、検出結果の `Workflow.Status` フィールドの値を `NEW` から `NOTIFIED` に変更します。
1. `GetFindings` を呼び出すと、`Workflow.Status` フィールドの値が `NOTIFIED` になりました。
1. 検出結果の `Workflow.Status` フィールドを `NEW` から `SUPPRESSED` に変更する自動化ルールを作成します。(`BatchUpdateFindings` オペレーションを使用して行われた更新はルールで無視されます)。
1. 検出結果プロバイダーは、`BatchImportFindings` オペレーションを使用して検出結果を更新し、検出結果の `Workflow.Status` フィールドの値を `NEW` に変更します。
1. `GetFindings` を呼び出すと、`Workflow.Status` フィールドの値が `SUPPRESSED` になりました。自動化ルールが適用され、ルールが検出結果に対して最後に実行されたアクションであったためです。
Security Hub CSPM コンソールでルールを作成または編集すると、コンソールにルール条件に一致する検出結果のベータが表示されます。自動化ルールは検出結果プロバイダーによって送信された元の検出結果を評価しますが、コンソールベータは [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html) オペレーションへのレスポンス (つまり、ルールアクションやその他の更新が検出結果に適用された後) に表示されるため、最終状態の検出結果を反映します。
## ルールの順序の仕組み
自動化ルールを作成するときは、各ルールに順序を割り当てます。これにより、Security Hub CSPM が自動化ルールを適用する順序が決まり、複数のルールが同じ検出結果または検出結果フィールドに関連する場合に重要になってきます。
複数のルールアクションが同じ検出結果または検出結果フィールドに関連する場合、ルール順序の数値が最も大きいルールが最後に適用され、最終的な結果となります。
Security Hub CSPM コンソールでルールを作成すると、Security Hub CSPM はルールの作成順序に基づいて、ルールの順序を自動的に割り当てます。最後に作成されたルールは、ルール順序の数値が最も小さいため、最初に適用されます。Security Hub CSPM は後続のルールを昇順で適用します。
Security Hub CSPM API または を使用してルールを作成すると AWS CLI、Security Hub CSPM は`RuleOrder`最初に最も低い数値のルールを適用します。その後、後続のルールを昇順で適用します。複数の検出結果に同じ `RuleOrder` がある場合、Security Hub CSPM は `UpdatedAt` フィールドに以前の値のルールを最初に適用します (つまり、最後に編集されたルールが最後に適用されます)。
ルールの順序はいつでも変更できます。
**ルール順序の例**:
**ルール A (ルール順序は `1`)**:
+ ルール A の基準
+ `ProductName` = `Security Hub CSPM`
+ `Resources.Type` は `S3 Bucket`
+ `Compliance.Status` = `FAILED`
+ `RecordState` は `NEW`
+ `Workflow.Status` = `ACTIVE`
+ ルール A のアクション
+ `Confidence` を `95` に更新
+ `Severity` を `CRITICAL` に更新
**ルール B (ルールの順序は `2`)**:
+ ルール B の基準
+ `AwsAccountId` = `123456789012`
+ ルール B のアクション
+ `Severity` を `INFORMATIONAL` に更新
ルール A のアクションは、ルール A の基準に一致する Security Hub CSPM の検出結果に最初に適用されます。次に、ルール B のアクションが指定されたアカウント ID の Security Hub CSPM の検出結果に適用されます。この例では、ルール B が最後に適用されるため、指定されたアカウント ID からの検出結果における `Severity` の最終値は `INFORMATIONAL` です。ルール A のアクションに基づくと、一致した検出結果の `Confidence` の最終値は `95` です。
# 自動化ルールの作成
自動化ルールを使用して、 AWS Security Hub CSPM の結果を自動的に更新できます。カスタム自動化ルールを最初から作成することも、Security Hub CSPM コンソールで事前に入力されているルールテンプレートを使用することもできます。自動化ルールの仕組みに関する背景情報については、「[Security Hub CSPM の自動化ルールについて](automation-rules.md)」を参照してください。
一度に作成できる自動化ルールは 1 つだけです。複数の自動化ルールを作成するには、コンソールの手順を複数回実行するか、必要なパラメータを指定して API またはコマンドを複数回呼び出します。
ルールを検出結果に適用させる各リージョンとアカウントで自動化ルールを作成する必要があります。
Security Hub CSPM コンソールで自動化ルールを作成すると、Security Hub CSPM では、そのルールが適用される検出結果のベータが表示されます。ルール条件に CONTAINS または NOT\$1CONTAINS フィルターが含まれている場合のベータは現在サポートされていません。これらのフィルターは、マッピングフィールドタイプと文字列フィールドタイプに対して選択できます。
**重要**
AWS では、ルール名、説明、またはその他のフィールドに個人を特定できる情報、機密情報、または機密情報を含めないことをお勧めします。
## カスタム自動化ルールの作成
ご希望の方法を選択し、次の手順を完了させ、カスタム自動化ルールを作成します。
------
#### [ Console ]
**カスタムオー自動化ルールを作成するには (コンソール)**
1. Security Hub CSPM 管理者の認証情報を使用して、[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。
1. ナビゲーションペインで **[オートメーション]** を選択します。
1. **[ルールを作成]** を選択します。**[ルールタイプ]** で **[カスタムルールを作成]** を選択します。
1. **[ルール]** セクションで、一意のルール名とルールの説明を入力します。
1. **[基準]** では、**[キー]**、**[オペレータ]**、および **[値]** のドロップダウンメニューを使用して、ルール条件を指定します。少なくとも 1 つのルール基準を指定する必要があります。
選択した基準でサポートされている場合、コンソールには、基準に一致する検出結果のベータが表示されます。
1. **[自動アクション]** の場合は、ドロップダウンメニューを使用して、検出結果がルール条件に一致したときに更新する結果フィールドを指定します。少なくとも 1 つのルールアクションを指定する必要があります。
1. **[ルールステータス]** では、ルールを作成した後でそのルールを **[有効]** にするか **[無効]** にするかを選択します。
1. (オプション) **[詳細設定]** セクションを展開します。このルールをルール条件に一致する検出結果に適用する最後のルールにしたい場合は、**[これらの条件に一致する検出結果については後続のルールを無視する]** を選択します。
1. (オプション) **[タグ]** でタグをキーと値のペアとして追加すると、ルールを簡単に識別できるようになります。
1. **[ルールを作成]** を選択します。
------
#### [ API ]
**カスタム自動化ルールを作成するには (API)**
1. Security Hub CSPM 管理者アカウントで、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html) を実行します。この API は、特定の Amazon リソースネーム (ARN) を使用してルールを作成します。
1. ルールの名前と説明を入力します。
1. このルールを、ルール条件に一致する検出結果に適用する最後のルールにする場合は、`IsTerminal` パラメーターを `true` に設定します。
1. `RuleOrder` パラメータでは、ルールの順序を指定します。Security Hub CSPM は、このパラメータで最初に小さい数値のルールを適用します。
1. `RuleStatus` パラメータでは、Security Hub CSPM を有効にするかどうかを指定し、作成後、検出結果にルールを適用し始めます。値を指定しない場合、デフォルトは `ENABLED` になります。値が `DISABLED` の場合、ルールは作成後に一時停止されます。
1. `Criteria` パラメータでは、Security Hub CSPM に検出結果のフィルタリングで使用したい条件を指定します。ルールアクションは、条件に一致する検出結果に適用されます。サポートされている条件のリストについては、「[使用可能なルール基準とルールアクション](automation-rules.md#automation-rules-criteria-actions)」を参照してください。
1. `Actions` パラメータでは、検出結果と定義した条件が一致した場合に Security Hub CSPM に実行させたいアクションを指定します。サポートされているアクションのリストについては、「[使用可能なルール基準とルールアクション](automation-rules.md#automation-rules-criteria-actions)」 を参照してください。
次の AWS CLI コマンド例では、自動化ルールを作成し、ワークフローのステータスと一致する結果のメモを更新します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ aws securityhub create-automation-rule \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "HIGH"
},
"Note": {
"Text": "Known issue that is a risk. Updated by automation rules",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--criteria '{
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--description "A sample rule" \
--no-is-terminal \
--rule-name "sample rule" \
--rule-order 1 \
--rule-status "ENABLED" \
--region us-east-1
```
------
## テンプレートからの自動化ルールの作成 (コンソールのみ)
ルールテンプレートには、自動化ルールの一般的なユースケースが反映されています。現在、Security Hub CSPM コンソールのみがルールテンプレートをサポートしています。以下の手順を完了して、コンソールのテンプレートから自動化ルールを作成します。
**テンプレートから自動化ルールを作成するには (コンソール)**
1. Security Hub CSPM 管理者の認証情報を使用して、[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。
1. ナビゲーションペインで **[オートメーション]** を選択します。
1. **[ルールを作成]** を選択します。**[ルールタイプ]** で、**[テンプレートからルールを作成]** を選択します。
1. ドロップダウンメニューからルールテンプレートを選択します。
1. (オプション) 使用状況の必要に応じて、**[ルール]**、**[基準]**、**[自動化アクション]** セクションを変更します。少なくとも 1 つのルール基準と 1 つのルールアクションを指定する必要があります。
選択した基準でサポートされている場合、コンソールには、基準に一致する検出結果のベータが表示されます。
1. **[ルールステータス]** では、ルールを作成した後でそのルールを **[有効]** にするか **[無効]** にするかを選択します。
1. (オプション) **[詳細設定]** セクションを展開します。このルールをルール条件に一致する検出結果に適用する最後のルールにしたい場合は、**[これらの条件に一致する検出結果については後続のルールを無視する]** を選択します。
1. (オプション) **[タグ]** でタグをキーと値のペアとして追加すると、ルールを簡単に識別できるようになります。
1. **[ルールを作成]** を選択します。
# 自動化ルールを表示する
自動化ルールを使用して、 AWS Security Hub CSPM の結果を自動的に更新できます。自動化ルールの仕組みに関する背景情報については、「[Security Hub CSPM の自動化ルールについて](automation-rules.md)」を参照してください。
ご希望の方法を選択し、手順に従って既存の自動化ルールと各ルールの詳細を確認してください。
自動化ルールによって検出結果がどのように変化したかの履歴を表示するには、「[Security Hub CSPM での検出結果詳細と検出結果履歴のレビュー](securityhub-findings-viewing.md)」を参照してください。
------
#### [ Console ]
**自動化ルールを表示するには (コンソール)**
1. Security Hub CSPM 管理者の認証情報を使用して、[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。
1. ナビゲーションペインで **[オートメーション]** を選択します。
1. ルール名を選択します。または、ルールを選択してください。
1. **[アクション]**、**[ログの表示]** の順に選択します。
------
#### [ API ]
**自動化ルール (API) を表示するには**
1. アカウントの自動化ルールを表示するには、Security Hub CSPM 管理者アカウントから [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html) を実行します。この API は、使用中のルールのルール ARN とその他のメタデータを返します。この API には入力パラメータは必要ありませんが、オプションで結果の数を制限するために `MaxResults` を指定したり、ページ区切りパラメータとして `NextToken` を指定したりできます。`NextToken` の初期値は `NULL` である必要があります。
1. ルールの基準やアクションなど、その他のルールの詳細については、Security Hub CSPM 管理者アカウントから [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html) を実行してください。詳細を指定する自動化ルールの ARN を指定します。
次の例では、指定した自動化ルールに関する詳細を取得します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ aws securityhub batch-get-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222"]' \
--region us-east-1
```
------
# 自動化ルールの編集
自動化ルールを使用して、 AWS Security Hub CSPM の結果を自動的に更新できます。自動化ルールの仕組みに関する背景情報については、「[Security Hub CSPM の自動化ルールについて](automation-rules.md)」を参照してください。
自動化ルールを作成した後、Security Hub CSPM の委任管理者はルールを編集できます。自動化ルールを編集すると、ルール編集後に Security Hub CSPM が生成または取り込む新しい検出結果や更新された結果に変更が適用されます。
ご希望の方法を選択し、手順に従って自動化ルールの内容を編集します。1 回のリクエストで 1 つ以上のルールを編集できます。ルール順序の編集方法については、「[自動化ルールの順序の編集](edit-rule-order.md)」を参照してください。
------
#### [ Console ]
**自動化ルールを編集するには (コンソール)**
1. Security Hub CSPM 管理者の認証情報を使用して、[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。
1. ナビゲーションペインで **[オートメーション]** を選択します。
1. 編集するルールを選択します。**[アクション]**、**[編集]** の順に選択します。
1. 必要に応じてルールを変更し、**[変更を保存]** を選択します。
------
#### [ API ]
**自動化ルール (API) を編集するには**
1. Security Hub CSPM 管理者アカウントで、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html) を実行します。
1. `RuleArn` パラメータでは、編集するルールの ARN を指定します。
1. 編集するパラメータの新しい値を指定します。`RuleArn` 以外の任意のパラメータを編集できます。
次の例では、指定された自動化ルールを更新します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ aws securityhub batch-update-automation-rules \
--update-automation-rules-request-items '[
{
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Note": {
"Text": "Known issue that is a risk",
"UpdatedBy": "sechub-automation"
},
"Workflow": {
"Status": "NEW"
}
}
}],
"Criteria": {
"SeverityLabel": [{
"Value": "LOW",
"Comparison": "EQUALS"
}]
},
"RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"RuleOrder": 14,
"RuleStatus": "DISABLED",
}
]' \
--region us-east-1
```
------
# 自動化ルールの順序の編集
自動化ルールを使用して、 AWS Security Hub CSPM の結果を自動的に更新できます。自動化ルールの仕組みに関する背景情報については、「[Security Hub CSPM の自動化ルールについて](automation-rules.md)」を参照してください。
自動化ルールを作成した後、Security Hub CSPM の委任管理者はルールを編集できます。
ルールの条件とアクションはそのままで、Security Hub CSPM が自動化ルールを適用する順序を変更する場合は、ルールの順序のみ編集できます。ご希望の方法を選択し、手順に従ってルールの順序を編集します。
自動化ルールの基準またはアクションを編集する手順については、「[自動化ルールの編集](edit-automation-rules.md)」を参照してください。
------
#### [ Console ]
**自動化ルールの順序を編集するには (コンソール)**
1. Security Hub CSPM 管理者の認証情報を使用して、[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。
1. ナビゲーションペインで **[オートメーション]** を選択します。
1. 順序を変更するルールを選択します。**[優先度を編集]** を選択します。
1. ルールの優先度を 1 単位上げるには、**[上に移動]** を選択します。ルールの優先度を 1 単位下げるには、**[下に移動]** を選択します。ルールに **[1]** の順序を割り当てるには、**[先頭に移動]** を選択します (これにより、このルールが他の既存のルールよりも優先されます)。
**注記**
Security Hub CSPM コンソールでルールを作成すると、Security Hub CSPM はルールの作成順序に基づいて、ルールの順序を自動的に割り当てます。最後に作成されたルールは、ルール順序の数値が最も小さいため、最初に適用されます。
------
#### [ API ]
**自動化ルールの順序を編集するには (API)**
1. Security Hub CSPM 管理者アカウントから [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html) オペレーションを使用します。
1. `RuleArn` パラメータでは、順序を編集するルールの ARN を指定します。
1. `RuleOrder` フィールドの値を変更します。
**注記**
複数のルールに同じ `RuleOrder` がある場合、Security Hub CSPM は `UpdatedAt` フィールドに以前の値のルールを最初に適用します (つまり、最後に編集されたルールが最後に適用されます)。
------
# 自動化ルールの削除または無効化
自動化ルールを使用して、 AWS Security Hub CSPM の結果を自動的に更新できます。自動化ルールの仕組みに関する背景情報については、「[Security Hub CSPM の自動化ルールについて](automation-rules.md)」を参照してください。
自動化ルールを削除すると、Security Hub CSPM はそのルールをアカウントから削除し、検出結果に適用されなくなります。削除の代わりに、ルールを*無効にする*こともできます。これにより、ルールは後で使用できるよう保持されますが、Security Hub CSPM は、有効にするまで一致する検出結果にはルールを適用しません。
ご希望の方法を選択し、手順に従って自動化ルールを削除します。1 回のリクエストで 1 つ以上のルールを削除できます。
------
#### [ Console ]
**自動化ルールを削除または無効にするには (コンソール)**
1. Security Hub CSPM 管理者の認証情報を使用して、[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。
1. ナビゲーションペインで **[オートメーション]** を選択します。
1. 削除するルールを選択します。**[アクション]**、**[削除]** の順に選択します (ルールを保持しながら一時的に無効にするには、**[無効]** を選択します)。
1. 選択を確認して、[**削除**] をクリックします。
------
#### [ API ]
**自動化ルール (API) を削除または無効にするには**
1. Security Hub CSPM 管理者アカウントから [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html) オペレーションを使用します。
1. `AutomationRulesArns` パラメータでは、削除するルールの ARN を指定します (ルールを保持しながら一時的に無効にするには、`RuleStatus` パラメータの `DISABLED` を指定します)。
次の例は、指定された自動化ルールを削除します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ aws securityhub batch-delete-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]' \
--region us-east-1
```
------
# 自動化ルールの例
このセクションでは、Security Hub CSPM の一般的なユースケースにおける自動化ルールの例を示します。これらの例は、Security Hub CSPM コンソールで利用できるルールテンプレートに対応しています。
## S3 バケットなどの特定のリソースが危険にさらされている場合は、重要度を「重大」に引き上げます。
この例では、検出結果の `ResourceId` が特定の Amazon Simple Storage Service (Amazon S3) バケットである場合にルール条件が一致します。ルールアクションは、一致した検出結果の重要度を `CRITICAL` に変更することです。このテンプレートを変更して他のリソースに適用できます。
**API リクエストの例**:
```
{
"IsTerminal": true,
"RuleName": "Elevate severity of findings that relate to important resources",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk",
"Criteria": {
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**CLI コマンドの例**:
```
$
aws securityhub create-automation-rule \
--is-terminal \
--rule-name "Elevate severity of findings that relate to important resources" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
## 本番稼働用アカウントのリソースに関連する検出結果の重大度を上げます。
この例では、特定の本番稼働用アカウントで重要度 `HIGH` の検出結果が生成されると、ルール条件が一致します。ルールアクションは、一致した検出結果の重要度を `CRITICAL` に変更することです。
**API リクエストの例**:
```
{
"IsTerminal": false,
"RuleName": "Elevate severity for production accounts",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts",
"Criteria": {
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**CLI コマンドの例**:
```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Elevate severity of findings that relate to resources in production accounts" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
## 情報の検出結果を非表示にする
この例では、Amazon GuardDuty から Security Hub CSPM に送信された重要度 `INFORMATIONAL` の検出結果に対してルール条件が一致しています。ルールアクションは、一致した検出結果のワークフローステータスを `SUPPRESSED` に変更することです。
**API リクエストの例**:
```
{
"IsTerminal": false,
"RuleName": "Suppress informational findings",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Suppress GuardDuty findings with INFORMATIONAL severity",
"Criteria": {
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**CLI コマンドの例**:
```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Suppress informational findings" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Suppress GuardDuty findings with INFORMATIONAL severity" \
--criteria '{
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
# EventBridge を使用した自動応答と修復
Amazon EventBridge でルールを作成することで、 AWS Security Hub CSPM の検出結果に自動的に応答できます。Security Hub CSPM は、検出結果を*イベント*として EventBridge にほぼリアルタイムで送信します。簡単なルールを記述して、注目するイベントと、イベントがルールに一致した場合に自動的に実行するアクションを指定できます。自動的にトリガーできるオペレーションには、以下が含まれます。
+ AWS Lambda 関数の呼び出し
+ Amazon EC2 Run Command の呼び出し
+ Amazon Kinesis Data Streams へのイベントの中継
+ AWS Step Functions ステートマシンのアクティブ化
+ Amazon SNS トピックまたは Amazon SQS キューの通知
+ サードパーティーのチケット発行、チャット、SIEM、またはインシデント対応および管理ツールへの結果の送信
Security Hub CSPM は、すべての新しい結果と既存の結果のすべての更新を EventBridge イベントとして EventBridge に自動的に送信します。また、選択した結果とインサイト結果を EventBridge に送信できるカスタムアクションを作成することもできます。
次に、それぞれの種類のイベントに応答するように EventBridge ルールを設定します。
EventBridge の使用方法の詳細については、「[https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html)」を参照してください。
**注記**
ベストプラクティスとして、EventBridge にアクセスするためにユーザーに付与されたアクセス許可が、必要なアクセス許可のみを付与する最小特権 AWS Identity and Access Management (IAM) ポリシーを使用していることを確認してください。
詳細については、「[Amazon EventBridge でのアイデンティティとアクセス管理](https://docs.aws.amazon.com/eventbridge/latest/userguide/auth-and-access-control-eventbridge.html)」を参照してください。
クロスアカウント自動応答と修復用のテンプレートのセットは、 AWS ソリューションでも使用できます。このテンプレートでは、EventBridge イベントルールと Lambda 関数を利用します。 CloudFormation および を使用してソリューションをデプロイします AWS Systems Manager。このソリューションによって、完全に自動化された応答と修復のアクションが作成されます。また、Security Hub CSPM カスタムアクションを使用して、ユーザによってトリガーされる応答と修復のアクションを作成することもできます。ソリューションの設定方法と使用方法の詳細については、「[AWSでの自動化されたセキュリティ対応](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/)」ソリューションページを参照してください。
**Topics**
+ [EventBridge の Security Hub CSPM イベントタイプ](securityhub-cwe-integration-types.md)
+ [Security Hub CSPM の EventBridge イベント形式](securityhub-cwe-event-formats.md)
+ [Security Hub CSPM の検出結果の EventBridge ルールの設定](securityhub-cwe-all-findings.md)
+ [カスタムアクションを使用して結果とインサイト結果を EventBridge に送信する](securityhub-cwe-custom-actions.md)
# EventBridge の Security Hub CSPM イベントタイプ
Security Hub CSPM では、次の Amazon EventBridge イベントタイプを使用して、EventBridge と統合します。
Security Hub CSPM の EventBridge ダッシュボードの **[すべてのイベント]** には、これらのイベントタイプがすべて含まれています。
## すべての結果 (Security Hub Findings - Imported)
Security Hub CSPM は、すべての新しい検出結果と既存の検出結果のすべての更新を **Security Hub Findings - Imported** イベントとして EventBridge に自動的に送信します。各 **Security Hub Findings - Imported** イベントには 1 つの結果が含まれています。
どの [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) および [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) リクエストでも **Security Hub Findings - Imported** イベントがトリガーされます。
管理者アカウントの場合、EventBridge のイベントフィードには、管理者アカウントとメンバーアカウントの両方からの結果に関するイベントが含まれます。
集約リージョンでは、イベントフィードには、集約リージョンとリンクされたリージョンからの結果のイベントが含まれます。クロスリージョン結果は、ほぼリアルタイムでイベントフィードに追加されます。結果の集約を設定する方法については、「[Security Hub CSPM でのクロスリージョン集約について](finding-aggregation.md)」を参照してください。
検出結果を自動的に修復ワークフロー、サードパーティーツール、または[その他のサポートされている EventBridge ターゲット](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html)にルーティングするルールを EventBridge で定義できます。ルールでは、結果に特定の属性値が含まれている場合にのみルールを適用するフィルターを指定できます。
このメソッドを使用して、すべての結果、または固有の特徴を持つすべての結果を応答または修復ワークフローに自動的に送信します。
「[Security Hub CSPM の検出結果の EventBridge ルールの設定](securityhub-cwe-all-findings.md)」を参照してください。
## カスタムアクションの結果 (Security Hub Findings - Custom Action)
Security Hub CSPM では、カスタムアクションに関連付けられた結果も **Security Hub Findings - Custom Action**イベントとして EventBridge に送信します。
これは、Security Hub CSPM コンソールを操作し、特定の検出結果、または少数の一連の検出結果を応答または修復ワークフローに送信するアナリストの役に立ちます。一度に最大 20 件の結果のカスタムアクションを選択できます。各結果は、個別の EventBridge イベントとして EventBridge に送信されます。
カスタムアクションを作成したら、カスタムアクションにカスタムアクション ID を割り当てます。この ID を使用すると、そのカスタムアクション ID に関連付けられた結果を受け取った後、指定されたアクションを実行する EventBridge ルールを作成できます。
「[カスタムアクションを使用して結果とインサイト結果を EventBridge に送信する](securityhub-cwe-custom-actions.md)」を参照してください。
例えば、Security Hub CSPM で `send_to_ticketing` というカスタムアクションを作成するとします。次に EventBridge で、`send_to_ticketing` カスタムアクション ID を含む結果を EventBridge が受信したときにトリガーされるルールを作成します。ルールには、結果をチケット発行システムに送信するロジックが含まれています。次に、Security Hub CSPM 内で結果を選択して Security Hub CSPM のカスタムアクションを使用して、手動で結果をチケット発行システムに送信できます。
さらなる処理のために Security Hub CSPM の検出結果を EventBridge に送信する方法の例については、 AWS パートナーネットワーク (APN) ブログの[AWS 「Security Hub CSPM カスタムアクションを PagerDuty と統合](https://aws.amazon.com/blogs/apn/how-to-integrate-aws-security-hub-custom-actions-with-pagerduty/)する方法」および[AWS 「Security Hub CSPM でカスタムアクションを有効にする方法](https://aws.amazon.com/blogs/apn/how-to-enable-custom-actions-in-aws-security-hub/)」を参照してください。
## カスタムアクションのインサイト結果 (Security Hub Insight Results)
カスタムアクションを使用すると、インサイト結果のセットも **Security Hub Insight Results** イベントとして EventBridge に送信できます。インサイト結果は、インサイトに一致するリソースです。インサイト結果を EventBridge に送信するとき、結果を EventBridge に送信しているわけではないことに注意してください。インサイト結果に関連付けられたリソース識別子を送信しているだけです。最大 100 個のリソース識別子を一度に送信できます。
検出結果に対するカスタムアクションと同様に、Security Hub CSPM でカスタムアクションを作成してから、EventBridge でルールを作成します。
「[カスタムアクションを使用して結果とインサイト結果を EventBridge に送信する](securityhub-cwe-custom-actions.md)」を参照してください。
例えば、同僚と共有する必要がある特定のインサイト結果があるとします。この場合、カスタムアクションを使用して、チャットまたはチケット発行システム経由で、そのインサイト結果を同僚に送信できます。
# Security Hub CSPM の EventBridge イベント形式
**Security Hub Findings - Imported**、**Security Findings - Custom Action**、および **Security Hub Insight Results** イベントタイプでは、次のイベント形式を使用します。
イベント形式は、Security Hub CSPM が EventBridge にイベントを送信するときに使用される形式です。
## Security Hub Findings - Imported
Security Hub CSPM から EventBridge に送信される **Security Hub Findings - Imported** イベントには、次の形式が使用されます。
```
{
"version":"0",
"id":"CWE-event-id",
"detail-type":"Security Hub Findings - Imported",
"source":"aws.securityhub",
"account":"111122223333",
"time":"2019-04-11T21:52:17Z",
"region":"us-west-2",
"resources":[
"arn:aws:securityhub:us-west-2::product/aws/macie/arn:aws:macie:us-west-2:111122223333:integtest/trigger/6294d71b927c41cbab915159a8f326a3/alert/f2893b211841"
],
"detail":{
"findings": [{
}]
}
}
```
`` は、イベントによって送信される結果の JSON 形式のコンテンツです。各イベントは 1 つの結果を送信します。
結果の属性の詳細なリストについては、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。
このようなイベントによってトリガーされる EventBridge ルールを設定する方法については、「[Security Hub CSPM の検出結果の EventBridge ルールの設定](securityhub-cwe-all-findings.md)」を参照してください。
## Security Hub Findings - Custom Action
Security Hub CSPM から EventBridge に送信される **Security Hub Findings - Custom Action** イベントには、次の形式が使用されます。各結果は個別のイベントで送信されます。
```
{
"version": "0",
"id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
"detail-type": "Security Hub Findings - Custom Action",
"source": "aws.securityhub",
"account": "111122223333",
"time": "2019-04-11T18:43:48Z",
"region": "us-west-1",
"resources": [
"arn:aws:securityhub:us-west-1:111122223333:action/custom/custom-action-name"
],
"detail": {
"actionName":"custom-action-name",
"actionDescription": "description of the action",
"findings": [
{
}
]
}
}
```
`` は、イベントによって送信される結果の JSON 形式のコンテンツです。各イベントは 1 つの結果を送信します。
結果の属性の詳細なリストについては、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。
このようなイベントによってトリガーされる EventBridge ルールを設定する方法については、「[カスタムアクションを使用して結果とインサイト結果を EventBridge に送信する](securityhub-cwe-custom-actions.md)」を参照してください。
## Security Hub Insight Results
Security Hub CSPM から EventBridge に送信される **Security Hub Insight Results** イベントには、次の形式が使用されます。
```
{
"version": "0",
"id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
"detail-type": "Security Hub Insight Results",
"source": "aws.securityhub",
"account": "111122223333",
"time": "2017-12-22T18:43:48Z",
"region": "us-west-1",
"resources": [
"arn:aws:securityhub:us-west-1:111122223333::product/aws/macie:us-west-1:222233334444:test/trigger/1ec9cf700ef6be062b19584e0b7d84ec/alert/f2893b211841"
],
"detail": {
"actionName":"name of the action",
"actionDescription":"description of the action",
"insightArn":"ARN of the insight",
"insightName":"Name of the insight",
"resultType":"ResourceAwsIamAccessKeyUserName",
"number of results":"number of results, max of 100",
"insightResults": [
{"result 1": 5},
{"result 2": 6}
]
}
}
```
このようなイベントによってトリガーされる EventBridge ルールを作成する方法については、「[カスタムアクションを使用して結果とインサイト結果を EventBridge に送信する](securityhub-cwe-custom-actions.md)」を参照してください。
# Security Hub CSPM の検出結果の EventBridge ルールの設定
**Security Hub Findings - Imported** イベントの受信時に実行するアクションを定義するルールを Amazon EventBridge で作成できます。**Security Hub Findings - Imported** イベントは、[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) オペレーションと [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) オペレーションの両方による更新によってトリガーされます。
各ルールには、ルールをトリガーするイベントを識別するイベントパターンが含まれています。イベントパターンにはイベントソース (`aws.securityhub`) とイベントタイプ (**Security Hub Findings - Imported**) が必ず含まれています。イベントパターンでは、ルールが適用される結果を識別するためのフィルターを指定することもできます。
次に、イベントルールによってルールターゲットが識別されます。ターゲットは、EventBridge が **Security Hub Findings - Imported** イベントを受信し、検索条件がフィルターと一致したときに実行されるアクションです。
ここで説明する手順では、EventBridge コンソールを使用します。このコンソールを使用すると、EventBridge による Amazon CloudWatch Logs への書き込みを有効にする必要なリソースベースポリシーが EventBridge によって自動的に作成されます。
また、EventBridge API の [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html) オペレーションを使用することもできます。ただし、EventBridge API を使用する場合は、リソースベースのポリシーを作成する必要があります。必要なポリシーの詳細については、「*Amazon EventBridge ユーザーガイド*」の「[CloudWatch Logs の許可](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions)」を参照してください。
## イベントパターンの形式
**Security Hub Findings - Imported** イベントのイベントパターンの形式は次のとおりです。
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Imported"
],
"detail": {
"findings": {
}
}
}
```
+ `source` は、イベントを生成するサービスとして Security Hub CSPM を識別します。
+ `detail-type` は、イベントのタイプを示します。
+ `detail` はオプションで、イベントパターンのフィルター値を提供します。イベントパターンに `detail` フィールドが含まれていない場合、すべての結果でルールがトリガーされます。
結果は、どの結果属性に基づいてもフィルタリングできます。属性ごとに、1 つ以上の値のカンマ区切りの配列を指定します。
```
"": [ "", ""]
```
属性に複数の値を指定すると、それらの値は `OR` で結合されます。結果にリストされている値が含まれている場合、結果は個々の属性のフィルターと一致しています。例えば、`Severity.Label` の値として `INFORMATIONAL` と `LOW` の両方を指定した場合、結果に `INFORMATIONAL` または `LOW` の重要度ラベルが含まれていると、結果は一致となります。
属性が `AND` で結合されている場合、結果が、指定されたすべての属性のフィルター条件に一致すると、その結果は一致となります。
属性値を指定するときは、 AWS Security Finding Format (ASFF) 構造内のその属性の場所を反映する必要があります。
**ヒント**
コントロールの検出結果をフィルタリングする場合は、`Title` または `Description` ではなく、`SecurityControlId` または `SecurityControlArn` [ASFF フィールド](securityhub-findings-format.md)をフィルターとして使用することをお勧めします。前者のフィールドは変更される可能性がありますが、コントロール ID と ARN は静的な識別子です。
次の例では、イベントパターンによって `ProductArn` と `Severity.Label` のフィルタ値が提供されています。したがって、Amazon Inspector が生成し、その重要度のラベルが `INFORMATIONAL` または `LOW` である場合は、結果が一致します。
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Imported"
],
"detail": {
"findings": {
"ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"],
"Severity": {
"Label": ["INFORMATIONAL", "LOW"]
}
}
}
}
```
## イベントルールの作成
定義済みのイベントパターンまたはカスタムのイベントパターンを使用して、EventBridge でルールを作成することができます。定義済みのパターンを選択した場合、EventBridge で `source` と `detail-type` が自動的に入力されます。EventBridge には、次の結果の属性のフィルター値を指定するフィールドもあります。
+ `AwsAccountId`
+ `Compliance.Status`
+ `Criticality`
+ `ProductArn`
+ `RecordState`
+ `ResourceId`
+ `ResourceType`
+ `Severity.Label`
+ `Types`
+ `Workflow.Status`
**EventBridge ルールを作成する (コンソール)**
1. Amazon EventBridge コンソールの [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/) を開いてください。
1. 次の値を使用して、検索イベントをモニタリングする EventBridge ルールを作成します。
+ **[ルールタイプ]** で、**[イベントパターンを持つルール]** を選択してください。
+ イベントパターンの作成方法を選択します。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-cwe-all-findings.html)
+ **ターゲットタイプ**で**AWS サービス**を選択し、**ターゲットの選択**で Amazon SNS トピックや AWS Lambda 関数などのターゲットを選択します。ターゲットは、ルールで定義したイベントパターンに一致するイベントが返されたときにトリガーされます。
ルールの作成に関する詳細については、「*Amazon EventBridge ユーザーガイド*」の「[イベントに反応する Amazon EventBridge ルールの作成](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html)」を参照してください。
# カスタムアクションを使用して結果とインサイト結果を EventBridge に送信する
AWS Security Hub CSPM カスタムアクションを使用して検出結果またはインサイト結果を Amazon EventBridge に送信するには、まず Security Hub CSPM でカスタムアクションを作成します。次に、EventBridge でカスタムアクションに適用されるルールを定義できます。
最大 50 個のカスタムアクションを作成できます。
クロスリージョン集約を有効にし、集約リージョンの結果を管理する場合は、集約リージョンでカスタムアクションを作成します。
EventBridge のルールでは、カスタムアクションの Amazon リソースネーム (ARN)が使用されます。
# カスタムアクションを作成する
AWS Security Hub CSPM でカスタムアクションを作成するときは、その名前、説明、一意の識別子を指定します。
カスタムアクションは、EventBridge イベントが EventBridge ルールと一致するときに実行するアクションを指定します。Security Hub CSPM は、各検出結果をイベントとして EventBridge に送信します。
ご希望の方法を選択し、次の手順を従ってカスタムアクションを作成します。
------
#### [ Console ]
**Security Hub CSPM (コンソール) でカスタムアクションを作成するには**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。
1. ナビゲーションペインで、**[Settings]** (設定) を選択して、**[Custom actions]** (カスタムアクション) を選択します。
1. **[Create custom action]** (カスタムアクションの作成) を選択します。
1. アクションの **[Name]** (名前)、**[Description]** (説明)、および **[Custom action ID]** (カスタムアクション ID) を指定します。
**[Name]** (名前) は 20 文字未満で指定する必要があります。
**[Custom action ID]** (カスタムアクション ID) は AWS アカウントごとに一意にする必要があります。
1. **[Create custom action]** (カスタムアクションの作成) を選択します。
1. **[Custom action ARN]** (カスタムアクション ARN) を書き留めます。この ARN は、EventBridge でルールを作成してこのアクションに関連付けるときに使用する必要があります。
------
#### [ API ]
**カスタムアクションを作成するには (API)**
[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html) 操作を使用します。を使用している場合は AWS CLI、[create-action-target](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-action-target.html) コマンドを実行します。
次の例では、カスタムアクションを作成して、検出結果を修復ツールに送信します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ aws securityhub create-action-target --name "Send to remediation" --description "Action to send the finding for remediation tracking" --id "Remediation"
```
------
# EventBridge でルールを定義する
Amazon EventBridge でカスタムアクションをトリガーするには、EventBridge で対応するルールを作成する必要があります。ルールの定義には、カスタムアクションの Amazon リソースネーム (ARN) が含まれます。
**Security Hub Findings - Custom Action** イベントのイベントパターンの形式は次のとおりです。
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Custom Action"
],
"resources": [ "" ]
}
```
**Security Hub Insight Results** イベントのイベントパターンの形式は次のとおりです。
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Insight Results"
],
"resources": [ "" ]
}
```
どちらのパターンでも、`` がカスタムアクションの ARN です。したがって、複数のカスタムアクションに適用されるルールを構成できます。
ここで説明する手順では、EventBridge コンソールを使用します。このコンソールを使用すると、EventBridge による CloudWatch Logs への書き込みを有効にする必要なリソースベースポリシーが EventBridge によって自動的に作成されます。
また、EventBridge API の [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html) API オペレーションを使用することもできます。ただし、EventBridge API を使用する場合は、リソースベースのポリシーを作成する必要があります。必要なポリシーの詳細については、「*Amazon EventBridge ユーザーガイド*」の「[CloudWatch Logs permissions](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions)」を参照してください。
**EventBridge でルールを定義するには (EventBridge コンソール)**
1. Amazon EventBridge コンソール ([https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/)) を開きます。
1. ナビゲーションペインで **[ルール]** を選択します。
1. **[ルールの作成]** を選択します。
1. ルールの名前と説明を入力します。
1. **[イベントバス]** では、このルールに関連付けるイベントバスを選択します。このルールをアカウントからのイベントと一致させるには、**[default]** (デフォルト) を選択します。アカウントの AWS サービスがイベントを発行すると、常にアカウントのデフォルトのイベントバスに移動します。
1. **[Rule type]** (ルールタイプ) では、**[Rule with an event pattern]** (イベントパターンを持つルール) を選択します。
1. **[Next]** (次へ) を選択します。
1. **[Event source]** (イベントソース) で、**[AWS events]** (イベント) を選択します。
1. **[イベントパターン]** で、**[イベントパターンフォーム]** を選択します。
1. **[イベントパターンフォーム]** では、**AWS [サービス]** を選択します。
1. **[AWS のサービス]** で、**[Security Hub]** を選択します。
1. [**イベントタイプ**] の場合は、次のいずれかの操作を実行します。
+ 結果をカスタムアクションに送信するときに適用するルールを作成するには、**[Security Hub Findings - Custom Action]** (Security Hub 結果 - カスタムアクション) を選択します。
+ インサイト結果をカスタムアクションに送信するときに適用するルールを作成するには、**[Security Hub Insight Results]** (Security Hub インサイト結果) を選択します。
1. **[Specific custom action ARNs]** (特定のカスタムアクション ARN) を選択し、カスタムアクション ARN を追加します。
このルールを複数のカスタムアクションに適用する場合は、**[Add]** (追加) を選択し、カスタムアクション ARN をさらに追加します。
1. [**次へ**] を選択します。
1. **[Select targets]** (ターゲットの選択) で、このルールが一致した場合に呼び出すターゲットを選択し設定します。
1. [**次へ**] を選択します。
1. (オプション) ルールに 1 つ以上のタグを入力します。詳細については、*Amazon EventBridge ユーザーガイド*の[Amazon EventBridge のタグ](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html)を参照してください。
1. **次へ**をクリックします。
1. ルールの詳細を確認し、**ルールの作成** を選択します。
アカウントで、結果またはインサイト結果に対してカスタムアクションを実行すると、EventBridge でイベントが生成されます。
# 結果とインサイト結果のカスタムアクションを選択する
AWS Security Hub CSPM カスタムアクションと Amazon EventBridge ルールを作成したら、検出結果とインサイト結果を EventBridge に送信して、自動管理と処理を行うことができます。
イベントは、そのイベントが表示されているアカウントでのみ、EventBridge に送信されます。管理者アカウントを使用して結果を表示すると、イベントは管理者アカウントで EventBridge に送信されます。
AWS API コールを有効にするには、ターゲットコードの実装でロールをメンバーアカウントに切り替える必要があります。つまり、切り替えるロールは、アクションが必要な各メンバーにもデプロイされる必要があります。
**検出結果を EventBridge に送信するには (コンソール)**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。
1. 結果のリストを表示します。
+ **[Findings]** (結果) では、有効になっているすべての製品の統合とコントロールの結果を表示できます。
+ **[セキュリティ標準]** では、特定のコントロールから生成された検出結果のリストに移動できます。詳細については、「[Security Hub CSPM でのコントロールの詳細の確認](securityhub-standards-control-details.md)」を参照してください。
+ **[Integrations]** (統合) では、有効にした統合によって生成された結果のリストに移動できます。詳細については、「[Security Hub CSPM 統合からの検出結果の表示](securityhub-integration-view-findings.md)」を参照してください。
+ **[Insights]** (インサイト) では、インサイト結果のリストに移動できます。詳細については、「[Security Hub CSPM でのインサイトの確認と対応](securityhub-insights-view-take-action.md)」を参照してください。
1. 結果を選択して、EventBridge に送信します。一度に最大 20 件の結果を選択できます。
1. **[Actions]** (アクション) ドロップダウンから、適用する EventBridge ルールと一致するカスタムアクションを選択します。
Security Hub CSPM によって、検出結果ごとに個別の **Security Hub Findings – Custom Action** イベントが送信されます。
**インサイト結果を EventBridge に送信するには (コンソール)**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。
1. ナビゲーションペインで、**[Insights]** (インサイト) を選択します。
1. **[Insights]** (インサイト) ページで、EventBridge に送信する結果が含まれているインサイトを選択します。
1. EventBridge に送信するインサイト結果を選択します。一度に最大 20 件の結果を選択できます。
1. **[Actions]** (アクション) ドロップダウンから、適用する EventBridge ルールと一致するカスタムアクションを選択します。