翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS のサービス Security Hub との統合
AWS Security Hub は、他のいくつかの との統合をサポートしています AWS のサービス。
注記
統合は、すべての で利用できるとは限りません AWS リージョン。統合が現在のリージョンでサポートされていない場合、統合ページには表示されません。
中国リージョンおよび で利用可能な統合のリストについては AWS GovCloud (US)、中国 (北京) および中国 (寧夏) でサポートされている統合「」および「」を参照してくださいAWS GovCloud (米国東部) および AWS GovCloud (米国西部) でサポートされている統合。
以下に示されていない限り、Security Hub およびその他のサービスを有効にすると、Security Hub に検出結果を送信する AWS のサービス 統合が自動的にアクティブ化されます。Security Hub の検出結果を受け取る統合では、アクティベーションに追加の手順が必要になる場合があります。詳細については、各統合に関する情報を確認してください。
Security Hub と AWS のサービス統合の概要
以下は、Security Hub に検出結果を送信したり、Security Hub から検出結果を受け取ったりする AWS サービスの概要です。
| 統合 AWS サービス | [Direction] (方向) |
|---|---|
|
結果の送信 |
|
|
結果の送信 |
|
|
結果の送信 |
|
|
結果の送信 |
|
|
結果の送信 |
|
|
結果の送信 |
|
|
結果の送信 |
|
|
結果の送信 |
|
|
結果の送信 |
|
|
結果の受信 |
|
|
結果の受信 |
|
|
結果の受信 |
|
|
結果の受信 |
|
|
結果の受信と更新 |
|
|
結果の受信 |
AWS Security Hub に検出結果を送信する サービス
次の AWS サービスは、Security Hub に検出結果を送信することで Security Hub と統合されます。Security Hub は検出結果を AWS Security Finding 形式 に変換します。
AWS Config (検出結果を送信)
AWS Config は、 AWS リソースの設定を評価、監査、評価できるサービスです。 は AWS 、リソース設定 AWS Config を継続的にモニタリングして記録し、記録した設定を目的の設定と照合して評価を自動化できます。
との統合を使用すると AWS Config、Security Hub で管理ルールとカスタムルールの評価の結果 AWS Config を調査結果として確認できます。これらの結果は、他の Security Hub の結果と一緒に表示でき、セキュリティ体制を包括的に概観できます。
AWS Config は Amazon EventBridge を使用して AWS Config ルール評価を Security Hub に送信します。Security Hub は、このルール評価を AWS Security Finding 形式に従う結果に変換します。次に、Security Hub は、Amazon リソースネーム (ARN)、リソースタグ、作成日など、影響を受けるリソースに関する詳細情報を取得することで、ベストエフォートベースで検出結果を強化します。
この統合に関する詳細は、以下のセクションを参照してください。
Security Hub のすべての検出結果は、標準のJSON形式である を使用しますASFF。ASFF には、検出結果のオリジン、影響を受けるリソース、検出結果の現在のステータスに関する詳細が含まれます。 は、 を介して Security Hub にマネージドルールとカスタムルールの評価 AWS Config を送信します EventBridge。Security Hub は、ルール評価を結果に変換ASFFし、ベストエフォートベースで結果を強化します。
Security Hub AWS Config に送信する検出結果のタイプ
統合がアクティブ化されると、 はすべての AWS Config マネージドルールとカスタムルールの評価を Security Hub AWS Config に送信します。Security Hub が有効になった後に実行された評価のみが送信されます。例えば、 AWS Config ルール評価で 5 つの失敗したリソースが明らかになったとします。その後、Security Hub を有効にし、ルールが 6 番目の失敗したリソースを公開すると、 は 6 番目のリソース評価のみを Security Hub AWS Config に送信します。
Security Hub コントロールでチェックを実行するために使用されるものなど、サービスにリンクされた AWS Config ルール からの評価は除外されます。
Security Hub への AWS Config 検出結果の送信
統合がアクティブ化されると、Security Hub は から結果を受け取るために必要なアクセス許可を自動的に割り当てます AWS Config。Security Hub は、この統合をアクティブ化し、Amazon AWS Config 経由で から検出結果をインポートする安全な方法を提供する service-to-serviceレベルアクセス許可を使用します EventBridge。
結果が送信されるまでのレイテンシー
が新しい検出結果 AWS Config を作成すると、通常、5 分以内に Security Hub で検出結果を表示できます。
Security Hub が使用できない場合の再試行
AWS Config は、 を通じてベストエフォートベースで Security Hub に検出結果を送信します EventBridge。イベントが Security Hub に正常に配信されない場合、 EventBridge は最大 24 時間、または 185 回のいずれか早い方まで配信を再試行します。
Security Hub での既存の AWS Config 検出結果の更新
Security Hub に検出結果 AWS Config を送信すると、同じ検出結果の更新を Security Hub に送信して、検出結果アクティビティの追加観察結果を反映することができます。更新は ComplianceChangeNotification イベントについてのみ送信されます。コンプライアンスの変更が行われない場合、更新は Security Hub に送信されません。Security Hub では、結果は、最新の更新から 90 日後、または更新が行われない場合は作成日から 90 日後に削除されます。
Security Hub は、関連付けられたリソースを削除 AWS Config しても、 から送信された検出結果をアーカイブしません。
AWS Config 検出結果が存在するリージョン
AWS Config 検出結果はリージョンベースで発生します。 は検出結果が発生したのと同じリージョンの Security Hub に検出結果 AWS Config を送信します。
AWS Config 検出結果を表示するには、Security Hub ナビゲーションペインから検出結果を選択します。検出結果をフィルタリングして AWS Config 検出結果のみを表示するには、検索バーのドロップダウンで製品名を選択します。[Config] (設定) をクリックし、[Apply] (適用) を選択します。
Security Hub で AWS Config の検出結果名の解釈
Security Hub は、 AWS Config ルール評価を ルール評価に従う結果に変換しますAWS セキュリティ検出結果形式 (ASFF)。 AWS Config ルール評価では、 とは異なるイベントパターンが使用されますASFF。次の表は、Security Hub に表示される AWS Config ルール評価フィールドをASFF対応するフィールドとマッピングします。
| Config ルール評価の検索タイプ | ASFF 検出結果タイプ | ハードコードされた値 |
|---|---|---|
| 詳細。awsAccountId | AwsAccountId | |
| 詳細newEvaluationResult。resultRecordedTime | CreatedAt | |
| 詳細newEvaluationResult。resultRecordedTime | UpdatedAt | |
| ProductArn | 「arn:<partition>:securityhub:<region>::product/aws/config」 | |
| ProductName | "Config" | |
| CompanyName | "AWS" | |
| リージョン | "eu-central-1" | |
| configRuleArn | GeneratorId, ProductFields | |
| 詳細。ConfigRuleARN/finding/hash | ID | |
| 詳細。configRuleName | タイトル、 ProductFields | |
| 詳細。configRuleName | 説明 | 「この結果は、構成ルール ${detail.ConfigRuleName} のリソースコンプライアンスの変更に対して作成されます。」 |
| 計算された構成項目ARN「」または Security Hub ARN | Resources[i].id | |
| 詳細。resourceType | Resources[i].Type | "AwsS3Bucket" |
| Resources[i].Partition | "aws" | |
| Resources[i].Region | "eu-central-1" | |
| 構成項目「構成」 | Resources[i].Details | |
| SchemaVersion | 「2018-10-08」 | |
| Severity.Label | 以下の「重要度ラベルの解釈」を参照してください。 | |
| Types | ["Software and Configuration Checks"] | |
| 詳細newEvaluationResult。complianceType | Compliance.Status | FAILED「」、NOT「_AVAILABLE」、PASSED「」、またはWARNING「」 |
| Workflow.Status | RESOLVED AWS Config 「結果が Compliance.Status of」、「」で生成された場合PASSED、または Compliance.Status が「」からFAILED「」に変わった場合PASSED。」 それ以外の場合、Workflow.Status は「」になりますNEW。この値は BatchUpdateFindingsAPIオペレーションで変更できます。 |
重要度ラベルの解釈
AWS Config ルール評価のすべての検出結果のデフォルトの重要度ラベルは MEDIUMですASFF。BatchUpdateFindings API オペレーションを使用して、結果の重要度ラベルを更新できます。
からの一般的な検出結果 AWS Config
Security Hub は、 AWS Config ルール評価を に従う検出結果に変換しますASFF。以下は、 AWS Config の からの一般的な検出結果の例ですASFF。
注記
説明が 1,024 文字を超えると 1,024 文字まで切り捨てられ、末尾に「(truncated)」(切り捨て) と表示されます。
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/45g070df80cb50b68fa6a43594kc6fda1e517932", "ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/config", "ProductName": "Config", "CompanyName": "AWS", "Region": "eu-central-1", "GeneratorId": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-04-15T05:00:37.181Z", "UpdatedAt": "2022-04-19T21:20:15.056Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "s3-bucket-level-public-access-prohibited-config-integration-demo", "Description": "This finding is created for a resource compliance change for config rule: s3-bucket-level-public-access-prohibited-config-integration-demo", "ProductFields": { "aws/securityhub/ProductName": "Config", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/config/arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/46f070df80cd50b68fa6a43594dc5fda1e517902", "aws/config/ConfigRuleArn": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "aws/config/ConfigRuleName": "s3-bucket-level-public-access-prohibited-config-integration-demo", "aws/config/ConfigComplianceType": "NON_COMPLIANT" }, "Resources": [{ "Type": "AwsS3Bucket", "Id": "arn:aws:s3:::amzn-s3-demo-bucket", "Partition": "aws", "Region": "eu-central-1", "Details": { "AwsS3Bucket": { "OwnerId": "4edbba300f1caa608fba2aad2c8fcfe30c32ca32777f64451eec4fb2a0f10d8c", "CreatedAt": "2022-04-15T04:32:53.000Z" } } }], "Compliance": { "Status": "FAILED" }, "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } }
Security Hub を有効にすると、この統合は自動的に有効になります。 AWS Config すぐに Security Hub に検出結果の送信が開始されます。
Security Hub への検出結果の送信を停止するには、Security Hub コンソールまたは Security Hub を使用できますAPI。
検出結果の流れを停止する手順については、「」を参照してください統合からの検出結果フローの有効化。
AWS Firewall Manager (検出結果を送信)
Firewall Manager は、リソースのウェブアプリケーションファイアウォール (WAF) ポリシーまたはウェブアクセスコントロールリスト (ウェブ ACL) ルールが準拠していない場合、Security Hub に検出結果を送信します。Firewall Manager は、 AWS Shield Advanced がリソースを保護していない場合、または攻撃が特定された場合に検出結果も送信します。
Security Hub を有効にすると、この統合は自動的に有効になります。Firewall Manager は、検出結果を Security Hub に送信します。
統合の詳細については、Security Hub コンソールの [Integrations] (統合) ページを参照してください。
Firewall Manager の詳細については、「AWS WAF 開発者ガイド」を参照してください。
Amazon GuardDuty (結果を送信)
GuardDuty は、生成したすべての検出結果を Security Hub に送信します。
からの新しい検出結果は GuardDuty 、5 分以内に Security Hub に送信されます。検出結果の更新は、Amazon の 設定の更新検出結果 GuardDuty 設定に基づいて送信 EventBridge されます。
GuardDuty 設定ページを使用して GuardDuty サンプル検出結果を生成すると、Security Hub はサンプル検出結果を受信し、検出結果タイプのプレフィックスを省略[Sample]します。例えば、 のサンプル検出結果タイプ GuardDuty [SAMPLE] Recon:IAMUser/ResourcePermissionsは Security Hub Recon:IAMUser/ResourcePermissionsで として表示されます。
Security Hub を有効にすると、この統合は自動的に有効になります。 GuardDuty すぐに、Security Hub への検出結果の送信が開始されます。
GuardDuty 統合の詳細については、「Amazon GuardDuty ユーザーガイド」のAWS 「Security Hub との統合」を参照してください。
AWS Health (検出結果を送信)
AWS Health は、リソースのパフォーマンスと AWS のサービス と の可用性を継続的に可視化します AWS アカウント。 AWS Health イベントを使用することで、サービスおよびリソースの変更が、 AWSで実行されるアプリケーションにどのような影響を及ぼすか確認することができます。
との統合 AWS Health では、 は使用されませんBatchImportFindings。代わりに、イベントメッセージング AWS Health を使用して service-to-service、Security Hub に検出結果を送信します。
統合の詳細については、以下のセクションを参照してください。
Security Hub では、セキュリティの問題が調査結果として追跡されます。一部の検出結果は、他の AWS サービスやサードパーティーパートナーによって検出された問題から発生します。Security Hub には、セキュリティの問題を検出し、検出結果を生成するために使用する一連のルールもあります。
Security Hub には、これらすべてのソースからの結果を管理するためのツールが用意されています。結果の一覧を表示およびフィルタリングして、結果の詳細を表示できます。「Security Hub での検出結果の詳細と検出結果履歴の確認」を参照してください。結果の調査状況を追跡することもできます。「Security Hub の検出結果のワークフローステータスの設定」を参照してください。
Security Hub のすべての検出結果は、 と呼ばれる標準JSON形式を使用しますAWS セキュリティ検出結果形式 (ASFF)。ASFF には、問題のソース、影響を受けるリソース、および検出結果の現在のステータスに関する詳細が含まれます。
AWS Health は、Security Hub に検出結果を送信する AWS サービスの 1 つです。
Security Hub AWS Health に送信する検出結果のタイプ
統合を有効にすると、 は、リストされている 1 つ以上の仕様を満たす検出結果を Security Hub AWS Health に送信します。Security Hub は、 で検出結果を取り込みますAWS セキュリティ検出結果形式 (ASFF)。
-
の以下の値のいずれかを含む結果 AWS のサービス:
RISKABUSEACMCLOUDHSMCLOUDTRAILCONFIGCONTROLTOWERDETECTIVEEVENTSGUARDDUTYIAMINSPECTORKMSMACIESESSECURITYHUBSHIELDSSOCOGNITOIOTDEVICEDEFENDERNETWORKFIREWALLROUTE53WAFFIREWALLMANAGERSECRETSMANAGERBACKUPAUDITMANAGERARTIFACTCLOUDENDURECODEGURUORGANIZATIONSDIRECTORYSERVICERESOURCEMANAGERCLOUDWATCHDRSINSPECTOR2RESILIENCEHUB
-
フィールド内の
security、abuse、またはcertificateという AWS HealthtypeCode単語を含む結果 -
AWS Health サービスが
riskまたは である検出結果abuse
Security Hub への AWS Health 検出結果の送信
から結果を受け入れることを選択すると AWS Health、Security Hub は から結果を受け取るために必要なアクセス許可を自動的に割り当てます AWS Health。Security Hub は service-to-service、ユーザーに代わって Amazon AWS Health 経由でこの統合と からのインポート結果を有効にする安全で簡単な方法を提供するレベルアクセス許可 EventBridge を使用します。Accept Findings を選択すると、Security Hub に から検出結果を消費するアクセス許可が付与されます AWS Health。
結果が送信されるまでのレイテンシー
が新しい検出結果 AWS Health を作成すると、通常 5 分以内に Security Hub に送信されます。
Security Hub が使用できない場合の再試行
AWS Health は、 を通じてベストエフォートベースで Security Hub に検出結果を送信します EventBridge。イベントが Security Hub に正常に配信されない場合、 EventBridge はイベントの送信を 24 時間再試行します。
Security Hub の既存の結果を更新する
Security Hub に検出結果 AWS Health を送信すると、同じ検出結果に更新を送信して、検出結果アクティビティの追加観察結果を Security Hub に反映できます。
結果が存在するリージョン
グローバルイベントの場合、 は、us-east-1 (AWS パーティション)、cn-northwest-1 (中国パーティション)、および gov-us-west-1 (GovCloud パーティション) の Security Hub に検出結果 AWS Health を送信します。 は、イベントが発生するのと同じリージョンまたはリージョンの Security Hub にリージョン固有のイベント AWS Health を送信します。
Security Hub で AWS Health 検出結果を表示するには、ナビゲーションパネルから検出結果を選択します。検出結果をフィルタリングして AWS Health 検出結果のみを表示するには、製品名フィールドからヘルスを選択します。
Security Hub で AWS Health の検出結果名の解釈
AWS Health は、 を使用して Security Hub に検出結果を送信しますAWS セキュリティ検出結果形式 (ASFF)。 AWS Health 検出では、Security Hub ASFF形式とは異なるイベントパターンが使用されます。次の表は、Security Hub に表示されるすべての AWS Health 検出結果フィールドとそのASFF対応するフィールドの詳細を示しています。
| Health 結果タイプ | ASFF 検出結果タイプ | ハードコードされた値 |
|---|---|---|
| アカウント | AwsAccountId | |
| 詳細。startTime | CreatedAt | |
| 詳細eventDescription。latestDescription | 説明 | |
| 詳細。eventTypeCode | GeneratorId | |
| detail. eventArn (アカウントを含む) + 詳細のハッシュ。startTime | ID | |
| 「arn:aws:securityhub:<region>::product/aws/health」 | ProductArn | |
| アカウントまたは resourceId | Resources[i].id | |
| Resources[i].Type | 「その他」 | |
| SchemaVersion | 「2018-10-08」 | |
| Severity.Label | 以下の「重要度ラベルの解釈」を参照してください。 | |
| AWS Health 「-」の詳細。eventTypeCode | タイトル | |
| - | Types | ["Software and Configuration Checks"] |
| event.time | UpdatedAt | |
| URL Health コンソールでの イベントの | SourceUrl |
重要度ラベルの解釈
ASFF 結果の重要度ラベルは、次のロジックを使用して決定されます。
-
以下のCRITICAL場合の重要度:
-
AWS Health 検出結果の
serviceフィールドには 値がありますRisk -
AWS Health 検出結果の
typeCodeフィールドには 値がありますAWS_S3_OPEN_ACCESS_BUCKET_NOTIFICATION -
AWS Health 検出結果の
typeCodeフィールドには 値がありますAWS_SHIELD_INTERNET_TRAFFIC_LIMITATIONS_PLACED_IN_RESPONSE_TO_DDOS_ATTACK -
AWS Health 検出結果の
typeCodeフィールドには 値がありますAWS_SHIELD_IS_RESPONDING_TO_A_DDOS_ATTACK_AGAINST_YOUR_AWS_RESOURCES
以下のHIGH場合の重要度:
-
AWS Health 検出結果の
serviceフィールドには 値がありますAbuse -
AWS Health 検出結果の
typeCodeフィールドには 値が含まれます。SECURITY_NOTIFICATION -
AWS Health 検出結果の
typeCodeフィールドには 値が含まれます。ABUSE_DETECTION
以下のMEDIUM場合の重要度:
-
結果の
serviceフィールドが次のいずれかである。ACM、ARTIFACT、AUDITMANAGER、BACKUP、CLOUDENDURE、CLOUDHSM、CLOUDTRAIL、CLOUDWATCH、CODEGURGU、COGNITO、CONFIG、CONTROLTOWER、DETECTIVE、DIRECTORYSERVICE、DRS、EVENTS、FIREWALLMANAGER、GUARDDUTY、IAM、INSPECTOR、INSPECTOR2、IOTDEVICEDEFENDER、KMS、MACIE、NETWORKFIREWALL、ORGANIZATIONS、RESILIENCEHUB、RESOURCEMANAGER、ROUTE53、SECURITYHUB、SECRETSMANAGER、SES、SHIELD、SSO、WAF -
検出結果の AWS Health typeCodeフィールドには 値が含まれます。
CERTIFICATE -
検出結果の AWS Health typeCodeフィールドには 値が含まれます。
END_OF_SUPPORT
-
からの一般的な検出結果 AWS Health
AWS Health は、 を使用して Security Hub に検出結果を送信しますAWS セキュリティ検出結果形式 (ASFF)。以下は、 からの一般的な検出結果の例です AWS Health。
注記
説明が 1,024 文字を超えると 1,024 文字まで切り捨てられ、末尾に (truncated) (切り捨て) と表示されます。
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:health:us-east-1:123456789012:event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96/101F7FBAEFC663977DA09CFF56A29236602834D2D361E6A8CA5140BFB3A69B30", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/health", "GeneratorId": "AWS_SES_CMF_PENDING_TO_SUCCESS", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-01-07T16:34:04.000Z", "UpdatedAt": "2022-01-07T19:17:43.000Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "AWS Health - AWS_SES_CMF_PENDING_TO_SUCCESS", "Description": "Congratulations! Amazon SES has successfully detected the MX record required to use 4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com as a custom MAIL FROM domain for verified identity cmf.pinpoint.sysmon-iad.adzel.com in AWS Region US East (N. Virginia).\\n\\nYou can now use this MAIL FROM domain with cmf.pinpoint.sysmon-iad.adzel.com and any other verified identity that is configured to use it. For information about how to configure a verified identity to use a custom MAIL FROM domain, see http://docs.aws.amazon.com/ses/latest/DeveloperGuide/mail-from-set.html .\\n\\nPlease note that this email only applies to AWS Region US East (N. Virginia).", "SourceUrl": "https://phd.aws.amazon.com/phd/home#/event-log?eventID=arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "ProductFields": { "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/health/arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "aws/securityhub/ProductName": "Health", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "Other", "Id": "4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com" } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } } ] }
Security Hub を有効にすると、この統合は自動的に有効になります。 AWS Health すぐに Security Hub に検出結果の送信が開始されます。
Security Hub への検出結果の送信を停止するには、Security Hub コンソールまたは Security Hub を使用できますAPI。
検出結果の流れを停止する手順については、「」を参照してください統合からの検出結果フローの有効化。
AWS Identity and Access Management Access Analyzer (検出結果を送信)
IAM Access Analyzer を使用すると、すべての検出結果は Security Hub に送信されます。
IAM Access Analyzer は、ロジックベースの推論を使用して、アカウントでサポートされているリソースに適用されるリソースベースのポリシーを分析します。IAM Access Analyzer は、外部プリンシパルがアカウントのリソースにアクセスできるようにするポリシーステートメントを検出すると、検出結果を生成します。
IAM Access Analyzer では、組織に適用されるアナライザーの検出結果を表示できるのは管理者アカウントのみです。組織アナライザーの場合、 AwsAccountIdASFFフィールドには管理者アカウント ID が反映されます。ProductFields 下の ResourceOwnerAccountフィールドには、検出結果が発見されたアカウントが表示されます。アカウントごとにアナライザーを個別に有効にすると、Security Hub は複数の検出結果を生成します。1 つは管理者アカウント ID を識別し、もう 1 つはリソースアカウント ID を識別します。
詳細については、IAM「 ユーザーガイド」のAWS 「Security Hub との統合」を参照してください。
Amazon Inspector (結果の送信)
Amazon Inspector は、 AWS のワークロードにおける脆弱性を継続的にスキャンする脆弱性管理サービスです。Amazon Inspector は、Amazon Elastic Container Registry に存在する Amazon EC2インスタンスとコンテナイメージを自動的に検出してスキャンします。このスキャンでは、ソフトウェアの脆弱性と意図しないネットワークへのエクスポージャーがないかチェックします。
Security Hub を有効にすると、この統合は自動的に有効になります。Amazon Inspector から生成されたすべての検出結果が Security Hub に直ちに送信開始されます。
統合の詳細については、Amazon Inspector ユーザーガイド」のAWS 「Security Hub との統合」を参照してください。
Security Hub は、Amazon Inspector Classic から結果を受信することもできます。Amazon Inspector Classic は、サポートされているすべてのルールパッケージの評価実行によって生成された Security Hub に、結果を送信します。
統合の詳細については、Amazon Inspector Classic ユーザーガイド」のAWS 「Security Hub との統合」を参照してください。
Amazon Inspector と Amazon Inspector Classic の結果は、同じ製品 を使用しますARN。Amazon Inspector の調査結果には、ProductFields に次のエントリがあります。
"aws/inspector/ProductVersion": "2",
AWS IoT Device Defender (検出結果を送信)
AWS IoT Device Defender は、IoT デバイスの設定を監査し、接続されたデバイスをモニタリングして異常な動作を検出し、セキュリティリスクを軽減するセキュリティサービスです。
AWS IoT Device Defender と Security Hub の両方を有効にしたら、Security Hub コンソール の統合ページ
AWS IoT Device Defender Audit は、特定の監査チェックタイプと監査タスクの一般情報を含むチェック概要を Security Hub に送信します。 AWS IoT Device Defender Detect は、機械学習 (ML)、統計、静的動作の違反検出結果を Security Hub に送信します。Audit も、検出結果の更新を Security Hub に送信します。
この統合の詳細については、「 AWS IoT デベロッパーガイド」のAWS 「Security Hub との統合」を参照してください。
Amazon Macie (結果の送信)
Macie の検出結果は、ポリシー違反の可能性や、個人を特定できる情報 (PII) などの機密データが、組織が Amazon S3 に保存するデータに存在することを示している可能性があります。
Security Hub を有効にすると、Macie はポリシー検出結果を自動的に Security Hub に送信し始めます。機密データの調査結果も Security Hub に送信するように統合を構成できます。
Security Hub では、ポリシーまたは機密データの検出結果の検出結果タイプが、 と互換性のある値に変更されますASFF。例えば、Macie での Policy:IAMUser/S3BucketPublic 結果タイプは、Security Hub では Effects/Data Exposure/Policy:IAMUser-S3BucketPublic と表示されます。
Macie は、生成されたサンプル結果を Security Hub に送信します。結果のサンプルでは、影響を受けるリソースの名前は macie-sample-finding-bucket であり、Sample フィールドの値は true です。
詳細については、「Amazon Macie ユーザーガイド」の「Amazon Macie と AWS Security Hub との統合」を参照してください。
AWS Systems Manager パッチマネージャー (検出結果を送信)
AWS Systems Manager Patch Manager は、お客様のフリート内のインスタンスがパッチコンプライアンス標準に準拠していない場合に、Security Hub に検出結果を送信します。
Patch Manager は、セキュリティ関連のアップグレードと他の種類のアップグレードの両方で、マネージドインスタンスにパッチを適用するプロセスを自動化します。
Security Hub を有効にすると、この統合は自動的に有効になります。Systems Manager Patch Manager は、検出結果を Security Hub に直ちに送信します。
Patch Manager の使用の詳細については、「AWS Systems Manager ユーザーガイド」の「AWS Systems Manager Patch Manager」を参照してください。
AWS Security Hub から検出結果を受信する のサービス
次の AWS サービスは Security Hub と統合されており、Security Hub から検出結果を受け取ります。特に明記されている場合、統合されたサービスは結果を更新する場合もあります。この場合、統合されたサービスで行った更新が見つかると、Security Hub にも反映されます。
AWS Audit Manager (検出結果を受信)
AWS Audit Manager は Security Hub から検出結果を受け取ります。これらの結果は、Audit Manager ユーザーが監査の準備をするうえで役立ちます。
Audit Manager の詳細については、AWS 「Audit Manager ユーザーガイド」を参照してください。AWSAWS Audit Managerでサポートされている Security Hub のチェックでは、Security Hub が結果を Audit Manager に送信するコントロールの一覧が表示されます。
AWS Chatbot (検出結果を受信)
AWS Chatbot は、Slack チャネルと Amazon Chime チャットルームの AWS リソースをモニタリングして操作するのに役立つインタラクティブエージェントです。
AWS Chatbot は Security Hub から検出結果を受け取ります。
Security Hub と AWS Chatbot の統合の詳細については、 AWS Chatbot 管理者ガイドの「Security Hub の統合の概要」を参照してください。
Amazon Detective (結果の受信)
Detective は AWS 、リソースからログデータを自動的に収集し、機械学習、統計分析、グラフ理論を使用して、迅速かつ効率的なセキュリティ調査を視覚化して実行できるようにします。
Security Hub と Detective の統合により、Security Hub の Amazon GuardDuty の検出結果を Detective にピボットできます。その後、Detective のツールと視覚化を使用して調査することができます。統合には、Security Hub または Detective に追加の設定をする必要はありません。
他の から受信した検出結果の場合 AWS のサービス、Security Hub コンソールの検出結果の詳細パネルには、Detective サブセクションの調査が含まれます。そのサブセクションには Detective へのリンクが含まれており、調査結果によって特定されたセキュリティ問題をさらに調査できます。Security Hub の調査結果に基づいて Detective で行動グラフを作成して、より効果的な調査を行うこともできます。詳細については、「Amazon Detective 管理ガイド」の「AWS セキュリティ結果」を参照してください。
クロスリージョン集約を有効にし、集約リージョンから方向を転換した場合、検出元のリージョンで Detective が開きます。
リンクが機能しない場合のトラブルシューティングのアドバイスについては、「ピボットのトラブルシューティング」を参照してください。
Amazon Security Lake (結果の受信)
Security Lake は、完全マネージド型のセキュリティデータレイクサービスです。Security Lake を使用すると、クラウド、オンプレミス、カスタムソースのセキュリティデータを、アカウントに保存されているデータレイクに自動的に一元化できます。サブスクライバーは、Security Lake のデータを調査や分析のユースケースに使用できます。
この統合を有効にするには、両方のサービスを有効にし、Security Lake コンソール、Security Lake 、APIまたは のソースとして Security Hub を追加する必要があります AWS CLI。これらの手順を完了すると、Security Hub はすべての検出結果を Security Lake に送信し始めます。
Security Lake は、Security Hub の検出結果を自動的に正規化し、Open Cybersecurity Schema Framework () と呼ばれる標準化されたオープンソーススキーマに変換しますOCSF。Security Lake では、Security Hub の検出結果を使用するサブスクライバーを 1 人以上追加できます。
Security Hub をソースとして追加し、サブスクライバーを作成する手順など、この統合の詳細については、「Amazon Security Lake ユーザーガイド」のAWS 「Security Hub との統合」を参照してください。
AWS Systems Manager Explorer と OpsCenter (結果を受信して更新)
AWS Systems Manager Security Hub から検出結果を探索して OpsCenter 受信し、Security Hub でそれらの検出結果を更新します。
Explorer は、カスタマイズ可能なダッシュボードを提供し、ユーザーの運用の健全性と AWS 環境のパフォーマンスに関する主要なインサイトと分析を提供します。
OpsCenter は、運用作業項目を表示、調査、解決するための一元的な場所を提供します。
Explorer と の詳細については OpsCenter、「 ユーザーガイド」の「オペレーション管理」を参照してください。 AWS Systems Manager
AWS Trusted Advisor (検出結果を受信)
Trusted Advisor は、数十万人の AWS 顧客にサービスを提供することから学んだベストプラクティスを活用します。 は、 AWS 環境 Trusted Advisor を検査し、コストを節約したり、システムの可用性とパフォーマンスを向上させたり、セキュリティギャップを埋めたりする機会が存在する場合にレコメンデーションを行います。
Trusted Advisor と Security Hub の両方を有効にすると、統合が自動的に更新されます。
Security Hub は AWS 、基礎セキュリティのベストプラクティスチェックの結果を に送信します Trusted Advisor。
Security Hub と の統合の詳細については Trusted Advisor、 AWS サポートユーザーガイドの「」の AWS 「Security Hub コントロールの表示 AWS Trusted Advisor」を参照してください。
