翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Security Hub での検出結果の詳細と検出結果履歴の確認
では AWS Security Hub、検出結果はセキュリティチェックまたはセキュリティ関連の検出の観測可能な記録です。Security Hub は、コントロールのセキュリティチェックを完了し、統合製品 AWS のサービス またはサードパーティー製品から検出結果を取り込むときに検出結果を生成します。各検出結果には、変更の履歴や、重要度の評価や影響を受けるリソースに関する情報など、その他の詳細が含まれます。
Security Hub コンソールで、および Security Hub API と AWS CLIを通じてプログラムで、検出結果履歴やその他の検出結果の詳細を確認できます。
分析を効率化するために、特定の検出結果を選択すると、Security Hub コンソールで検出結果パネルが開きます。パネルには、さまざまな検出結果の詳細を表示するためのさまざまなメニューとタブが含まれています。
- アクションメニュー
このメニューから、検出結果の完全な JSON を確認したり、メモを追加したりできます。検出結果には、一度に 1 つ以上のメモをアタッチすることはできません。このメニューには、検出結果のワークフローステータスを設定したり、Amazon EventBridge のカスタムアクションに検出結果を送信したりするためのオプションもあります。
- 調査メニュー
このメニューから、Amazon Detective で検出結果を調査できます。Detective は、検出結果から IP アドレスや AWS ユーザーなどのエンティティを抽出し、そのアクティビティを視覚化します。エンティティアクティビティを出発点として使用して、検出結果の原因と影響を調べることができます。
- [Overview (概要)] タブ
このタブには、検出結果の概要が表示されます。例えば、検出結果がいつ作成され、最後に更新されたか、どのアカウントに存在するか、および検出結果のソースを確認できます。コントロールの検出結果については、Security Hub ドキュメントで、関連する AWS Config ルールの名前と修復手順へのリンクを確認することもできます。
[概要] タブ内のリソーススナップショットでは、検出結果に関連するリソースの概要を確認できます。一部のリソースには、リソースを開き、関連する AWS のサービス コンソールで影響を受けるリソースを直接表示するオプションが含まれています。履歴スナップショットには、履歴が追跡されている最新の日付に検出結果に加えられた最大 2 つの変更が表示されます。日付は過去 90 日以内である必要があります。例えば、昨日 1 つの変更と今日 1 つの変更を行った場合、スナップショットには今日の変更のみが表示されます。以前のエントリを表示するには、[履歴] タブに切り替えます。
コンプライアンス行が展開され、詳細が表示されます。例えば、パラメータを含むコントロールの場合、セキュリティチェックを実行するときに Security Hub が使用する現在のパラメータ値を確認できます。
- [リソース] タブ
このタブには、検出結果に関連するリソースの詳細が表示されます。リソースを所有するアカウントにサインインしている場合は、関連する AWS のサービス コンソールでリソースを表示できます。リソースの所有者でない場合は、コンソールに所有者の AWS アカウント ID が表示されます。
詳細行には、検出結果 JSON ResourceDetails のセクションが表示され、検出結果に関するリソース固有の詳細が表示されます。
タグ行には、検出結果に関連するリソースのタグキーと値情報が表示されます。 AWS Resource Groups タグ付け API の GetResourcesオペレーションでサポートされているリソースにはタグを付けることができます。Security Hub は、新規または更新された検出結果を処理するときにサービスにリンクされたロールを介してこのオペレーションを呼び出し、 AWS Security Finding 形式 (ASFF)
Resource.Id
フィールドにリソース ARN が入力されている場合は AWS リソースタグを取得します。Security Hub は無効なリソース ID を無視します。検出結果にリソースタグを含める方法の詳細については、「[タグ]」を参照してください。- [検出結果履歴] タブ
このタブは、過去 90 日間の検出結果の履歴を追跡します。検出結果履歴は、アクティブな検出結果とアーカイブされた検出結果に利用できます。これは、 AWS Security Finding 形式 (ASFF) フィールドのどのフィールドが変更されたか、いつ変更が行われたか、どのユーザーによって行われたかなど、時間の経過に伴う検出結果に対して加えられた変更の履歴を改変不能な形で記録します。最新の変更が最初に表示されます。Security Hub 管理者アカウントにサインインしている場合、表示される検出結果の履歴は、管理者アカウントとすべてのメンバーアカウントのためのものです。
検出履歴には、Security Hub 自動化ルール を通じてユーザーが手動でまたは自動的に行った変更が含まれます。ただし、検出結果履歴には、
CreatedAt
やUpdatedAt
などの最上位のタイムスタンプフィールドへの変更は含まれません。- [脅威] タブ
このタブには、脅威のタイプやリソースがターゲットかアクターかなど、ASFF の Action、Malware、および ProcessDetails オブジェクトのデータが含まれます。このオブジェクトは、通常、Amazon GuardDuty で発生した検出結果に適用されます。
- [脆弱性] タブ
このタブには、検出結果に関連するエクスプロイトや利用可能な修正があるかどうかなど、ASFF の Vulnerability オブジェクトからのデータが表示されます。このオブジェクトは、通常、Amazon Inspector で発生した検出結果に適用されます。
各タブの行には、コピーまたはフィルターオプションが含まれます。例えば、ワークフローステータスが 通知済みである検出結果のパネルにいる場合は、ワークフローステータス行の横にあるフィルターオプションを選択できます。[この値ですべての検出結果を表示する] を選択すると、検出結果リストがフィルタリングされ、同じワークフローステータスの検出結果のみが表示されます。
次のセクションを確認して、検出結果の詳細にアクセスする方法を理解します。
検出結果の詳細と履歴を確認する手順
ご希望の方法を選択し、手順に従って Security Hub で検出結果の詳細を表示します。
クロスリージョン集約を有効にし、集約リージョンにサイインすると、集約リージョンとリンクされたリージョンからの検出結果が含まれます。他のリージョンでは、検出結果はそのリージョンにのみ固有です。クロスリージョン集約の詳細については、「Security Hub でのクロスリージョン集約について」を参照してください。
注記
なお、CompanyName
または ProductName
でフィルタリングする場合、Security Hub は ProductFields
ASFF プロジェクトの一部である値を使用します。Security Hub は、トップレベルの CompanyName
および ProductName
フィールドを使用しません。