Security Hub での検出結果の詳細と検出結果履歴の確認 - AWS Security Hub
検出結果の詳細と履歴を確認する手順

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub での検出結果の詳細と検出結果履歴の確認

では AWS Security Hub、検出結果はセキュリティチェックまたはセキュリティ関連の検出の観測可能な記録です。Security Hub は、コントロールのセキュリティチェックを完了し、統合製品 AWS のサービス またはサードパーティー製品から検出結果を取り込むときに検出結果を生成します。各検出結果には、変更の履歴や、重要度の評価や影響を受けるリソースに関する情報など、その他の詳細が含まれます。

Security Hub コンソールで、および Security Hub API と AWS CLIを通じてプログラムで、検出結果履歴やその他の検出結果の詳細を確認できます。

分析を効率化するために、特定の検出結果を選択すると、Security Hub コンソールで検出結果パネルが開きます。パネルには、さまざまな検出結果の詳細を表示するためのさまざまなメニューとタブが含まれています。

アクションメニュー

このメニューから、検出結果の完全な JSON を確認したり、メモを追加したりできます。検出結果には、一度に 1 つ以上のメモをアタッチすることはできません。このメニューには、検出結果のワークフローステータスを設定したり、Amazon EventBridge のカスタムアクションに検出結果を送信したりするためのオプションもあります。

調査メニュー

このメニューから、Amazon Detective で検出結果を調査できます。Detective は、検出結果から IP アドレスや AWS ユーザーなどのエンティティを抽出し、そのアクティビティを視覚化します。エンティティアクティビティを出発点として使用して、検出結果の原因と影響を調べることができます。

[Overview (概要)] タブ

このタブには、検出結果の概要が表示されます。例えば、検出結果がいつ作成され、最後に更新されたか、どのアカウントに存在するか、および検出結果のソースを確認できます。コントロールの検出結果については、Security Hub ドキュメントで、関連する AWS Config ルールの名前と修復手順へのリンクを確認することもできます。

[概要] タブ内のリソーススナップショットでは、検出結果に関連するリソースの概要を確認できます。一部のリソースには、リソースを開き、関連する AWS のサービス コンソールで影響を受けるリソースを直接表示するオプションが含まれています。履歴スナップショットには、履歴が追跡されている最新の日付に検出結果に加えられた最大 2 つの変更が表示されます。日付は過去 90 日以内である必要があります。例えば、昨日 1 つの変更と今日 1 つの変更を行った場合、スナップショットには今日の変更のみが表示されます。以前のエントリを表示するには、[履歴] タブに切り替えます。

コンプライアンス行が展開され、詳細が表示されます。例えば、パラメータを含むコントロールの場合、セキュリティチェックを実行するときに Security Hub が使用する現在のパラメータ値を確認できます。

[リソース] タブ

このタブには、検出結果に関連するリソースの詳細が表示されます。リソースを所有するアカウントにサインインしている場合は、関連する AWS のサービス コンソールでリソースを表示できます。リソースの所有者でない場合は、コンソールに所有者の AWS アカウント ID が表示されます。

詳細行には、検出結果 JSON ResourceDetails のセクションが表示され、検出結果に関するリソース固有の詳細が表示されます。

タグ行には、検出結果に関連するリソースのタグキーと値情報が表示されます。 AWS Resource Groups タグ付け API の GetResourcesオペレーションでサポートされているリソースにはタグを付けることができます。Security Hub は、新規または更新された検出結果を処理するときにサービスにリンクされたロールを介してこのオペレーションを呼び出し、 AWS Security Finding 形式 (ASFF) Resource.Idフィールドにリソース ARN が入力されている場合は AWS リソースタグを取得します。Security Hub は無効なリソース ID を無視します。検出結果にリソースタグを含める方法の詳細については、「[タグ]」を参照してください。

[検出結果履歴] タブ

このタブは、過去 90 日間の検出結果の履歴を追跡します。検出結果履歴は、アクティブな検出結果とアーカイブされた検出結果に利用できます。これは、 AWS Security Finding 形式 (ASFF) フィールドのどのフィールドが変更されたか、いつ変更が行われたか、どのユーザーによって行われたかなど、時間の経過に伴う検出結果に対して加えられた変更の履歴を改変不能な形で記録します。最新の変更が最初に表示されます。Security Hub 管理者アカウントにサインインしている場合、表示される検出結果の履歴は、管理者アカウントとすべてのメンバーアカウントのためのものです。

検出履歴には、Security Hub 自動化ルール を通じてユーザーが手動でまたは自動的に行った変更が含まれます。ただし、検出結果履歴には、CreatedAtUpdatedAt などの最上位のタイムスタンプフィールドへの変更は含まれません。

[脅威] タブ

このタブには、脅威のタイプやリソースがターゲットかアクターかなど、ASFF の ActionMalware、および ProcessDetails オブジェクトのデータが含まれます。このオブジェクトは、通常、Amazon GuardDuty で発生した検出結果に適用されます。

[脆弱性] タブ

このタブには、検出結果に関連するエクスプロイトや利用可能な修正があるかどうかなど、ASFF の Vulnerability オブジェクトからのデータが表示されます。このオブジェクトは、通常、Amazon Inspector で発生した検出結果に適用されます。

各タブの行には、コピーまたはフィルターオプションが含まれます。例えば、ワークフローステータスが 通知済みである検出結果のパネルにいる場合は、ワークフローステータス行の横にあるフィルターオプションを選択できます。[この値ですべての検出結果を表示する] を選択すると、検出結果リストがフィルタリングされ、同じワークフローステータスの検出結果のみが表示されます。

次のセクションを確認して、検出結果の詳細にアクセスする方法を理解します。

検出結果の詳細と履歴を確認する手順

ご希望の方法を選択し、手順に従って Security Hub で検出結果の詳細を表示します。

クロスリージョン集約を有効にし、集約リージョンにサイインすると、集約リージョンとリンクされたリージョンからの検出結果が含まれます。他のリージョンでは、検出結果はそのリージョンにのみ固有です。クロスリージョン集約の詳細については、「Security Hub でのクロスリージョン集約について」を参照してください。

Security Hub console
検出結果の詳細と履歴の確認 (コンソール)

  1. https://console.aws.amazon.com/securityhub/ で AWS Security Hub コンソールを開きます。

  2. 検出結果リストを表示するには、以下のいずれかのアクションを実行します。

    • Security Hub ナビゲーションペインで、[検出結果] を選択します。必要に応じて検索フィルターを追加して、検出結果リストを絞り込みます。

    • Security Hub ナビゲーションペインで、[インサイト] を選択します。インサイトを選択します。次に、検出結果リストで、インサイトの結果を選択します。

    • Security Hub ナビゲーションペインで、[統合] を選択します。統合の [検出結果を表示] を選択します。

    • Security Hub ナビゲーションペインで、[コントロール] を選択します。

  3. 結果のタイトルを選択します。

  4. 検出結果パネルで、次のいずれかの操作を行います。

    • [アクション] メニューを選択して、検出結果に対してアクションを実行します。

    • Amazon Detective で検出結果を調査するには、[調査] メニューを選択します。

    • タブを選択すると、検出結果の詳細が表示されます。

注記

と統合 AWS Organizations し、サインインしているアカウントが組織メンバーアカウントである場合、検出結果パネルにはアカウント名が含まれます。Organizations ではなく手動で招待されたメンバーアカウントの場合、検出結果パネルにはアカウント ID のみが表示されます。

Security Hub API

検出結果の詳細と履歴の確認 (API)

Security Hub API の GetFindingsオペレーションを使用するか、 を使用している場合は AWS CLIコマンドを実行しますget-findings

Filters パラメータに 1 つ以上の値を指定して、取得する検出結果を絞り込むことができます。

検出結果の量が多すぎる場合は、MaxResults パラメータを使用して結果を指定された数に制限し、NextToken パラメータを使用して検出結果をページ分割できます。SortCriteria パラメータを使用して、特定のフィールドで検出結果を並べ替えます。

クロスリージョン集約を有効にすると、集約リージョンからこのオペレーションを呼び出す場合、集約リージョンとリンクされたリージョンからの検出結果が含まれます。

次の CLI コマンドは、提供されたフィルターに一致する検出結果を取得し、LastObservedAt フィールドの降順でソートします。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

$ aws securityhub get-findings \
--filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100

検出結果の履歴を確認するには、GetFindingHistory オペレーションを使用します。を使用している場合は AWS CLI、 get-finding-history コマンドを実行します。

ProductArn および Id フィールドを使用して、履歴を取得する検出結果を特定します。フィールドの詳細については、「AwsSecurityFindingIdentifier」を参照してください。リクエストあたり 1 つの検出結果の履歴のみ取得できます。

次の CLI コマンドは、指定された検出結果の履歴を取得します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

$ aws securityhub get-finding-history \
--region us-west-2 \
--finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \
--max-results 2 \
--start-time "2021-09-30T15:53:35.573Z" \
--end-time "2021-09-31T15:53:35.573Z"
PowerShell

検出結果の詳細の確認 (PowerShell )

Get-SHUBFinding コマンドレットを使用します。

オプションで、Filter パラメータを入力して、取得したい結果を絞り込むこともできます。

次のコマンドレットは、提供されたフィルターに一致する検出結果を取得します。

Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
注記

なお、CompanyName または ProductName でフィルタリングする場合、Security Hub は ProductFields ASFF プロジェクトの一部である値を使用します。Security Hub は、トップレベルの CompanyName および ProductName フィールドを使用しません。