を使用した Security Hub API呼び出しのログ記録 CloudTrail - AWS Security Hub
の Security Hub 情報 CloudTrail例: Security Hub ログファイルのエントリ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を使用した Security Hub API呼び出しのログ記録 CloudTrail

AWS Security Hub は AWS CloudTrail、Security Hub. CloudTrail captures のユーザー、ロール、または サービスによって実行されたアクションの記録を提供する AWS サービスである と統合されています。 は、Security Hub をイベントとしてAPI呼び出します。キャプチャされた呼び出しには、Security Hub コンソールからの呼び出しと、Security Hub APIオペレーションへのコード呼び出しが含まれます。証跡を作成する場合は、Security Hub の CloudTrail イベントなど、Amazon S3 バケットへのイベントの継続的な配信を有効にすることができます。証跡を設定しない場合でも、イベント履歴 で CloudTrail コンソールで最新のイベントを表示できます。 が CloudTrail 収集する情報を使用して、Security Hub に対して行われたリクエスト、リクエスト元の IP アドレス、リクエスト者、リクエスト日時などの詳細を確認できます。

の設定と有効化の方法など CloudTrail、 の詳細については、AWS CloudTrail 「 ユーザーガイド」を参照してください。

の Security Hub 情報 CloudTrail

CloudTrail アカウントを作成する AWS アカウント と、 で が有効になります。Security Hub でサポートされているイベントアクティビティが発生すると、そのアクティビティは CloudTrail イベント履歴 の他の AWS サービスイベントとともにイベントに記録されます。 アカウントで最近のイベントを表示、検索、ダウンロードできます。詳細については、「イベント履歴 を含む CloudTrail イベントの表示」を参照してください。

Security Hub のイベントなど、アカウントのイベントを継続的に記録する場合は、追跡を作成します。証跡により CloudTrail 、 はログファイルを Amazon S3 バケットに配信できます。デフォルトでは、コンソールで追跡を作成すると、すべての AWS リージョンに追跡が適用されます。証跡は、 AWS パーティション内のすべてのリージョンからのイベントをログに記録し、指定した Amazon S3 バケットにログファイルを配信します。さらに、 CloudTrail ログで収集されたイベントデータをより詳細に分析し、それに基づいて行動するように、他の AWS サービスを設定できます。詳細については、次を参照してください:

Security Hub は、すべての Security Hub APIアクションをイベントとして CloudTrail ログに記録することをサポートしています。Security Hub オペレーションのリストを表示するには、「Security Hub APIリファレンス」を参照してください。

次のアクションのアクティビティが にログ記録されると CloudTrail、 の値は にresponseElements設定されますnull。これにより、機密情報が CloudTrail ログに含まれなくなります。

  • BatchImportFindings

  • GetFindings

  • GetInsights

  • GetMembers

  • UpdateFindings

各イベントまたはログエントリには、誰がリクエストを生成したかという情報が含まれます。アイデンティティ情報は、以下を判別するのに役立ちます:

  • リクエストがルートまたは AWS Identity and Access Management (IAM) ユーザー認証情報のどちらを使用して行われたか

  • リクエストが、ロールとフェデレーティッドユーザーのどちらの一時的なセキュリティ認証情報を使用して送信されたか

  • リクエストが別の AWS サービスによって行われたかどうか

詳細については、CloudTrail userIdentity 「」要素を参照してください。

例: Security Hub ログファイルのエントリ

証跡は、指定した Amazon S3 バケットにイベントをログファイルとして配信できるようにする設定です。 CloudTrail ログファイルには 1 つ以上のログエントリが含まれます。イベントは任意のソースからの単一のリクエストを表し、リクエストされたアクション、アクションの日時、リクエストパラメータなどに関する情報が含まれます。 CloudTrail ログファイルはパブリックAPIコールの順序付けられたスタックトレースではないため、特定の順序では表示されません。

次の例は、 CreateInsightアクションを示す CloudTrail ログエントリを示しています。この例では、Test Insight というインサイトが作成されます。ResourceId 属性は、[Group by] (グループ化の条件) アグリゲータとして指定され、このインサイトに対するオプションのフィルターは指定されません。インサイトの詳細については、「Security Hub でのインサイトの表示」を参照してください。

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAJK6U5DS22IAVUI7BW",
        "arn": "arn:aws:iam::012345678901:user/TestUser",
        "accountId": "012345678901",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "TestUser"
    },
    "eventTime": "2018-11-25T01:02:18Z",
    "eventSource": "securityhub.amazonaws.com",
    "eventName": "CreateInsight",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "205.251.233.179",
    "userAgent": "aws-cli/1.11.76 Python/2.7.10 Darwin/17.7.0 botocore/1.5.39",
    "requestParameters": {
        "Filters": {},
        "ResultField": "ResourceId",
        "Name": "Test Insight"
    },
    "responseElements": {
        "InsightArn": "arn:aws:securityhub:us-west-2:0123456789010:insight/custom/f4c4890b-ac6b-4c26-95f9-e62cc46f3055"
    },
    "requestID": "c0fffccd-f04d-11e8-93fc-ddcd14710066",
    "eventID": "3dabcebf-35b0-443f-a1a2-26e186ce23bf",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "recipientAccountId": "012345678901"
}