Explorer の AWS Security Hub から結果を受け取る
AWS Security Hub は、AWS のセキュリティ状態の包括的なビューを提供します。このサービスは AWS アカウント 全体、サービス、およびサポートされているサードパーティ製品から検出結果と呼ばれるセキュリティデータを収集します。Security Hub の検出結果は、セキュリティ業界標準とベストプラクティスに照らして環境をチェックしたり、セキュリティの傾向を分析し、最も優先度の高いセキュリティ問題を特定したりするのに役立ちます。
Security Hub は Amazon EventBridge に結果を送信し、Amazon EventBridge はイベントルールを使用して検出結果を Explorer に送信します。こちらの説明に従って統合を有効にすると、Security Hub の検出結果を Explorer ウィジェットで表示し、検出結果の詳細を OpsCenter OpsItems で表示できます。ウィジェットには、Security Hub のすべての検出結果の概要が重要度に基づいて表示されます。Security Hub の新しい検出結果は、通常、数秒以内に作成され、Explorer で表示されます。
警告
次の重要な情報に注意してください。
-
Explorer は、Systems Manager の一機能である OpsCenter と統合されています。Security Hub と Explorer の統合を有効化したあと、OpsCenter は Security Hub の検出結果用に OpsItems を自動的に作成します。ご使用の AWS 環境によって、統合を有効にすることで、大量の OpsItems が発生する場合があります。これは有料です。
続行する前に、Security Hub と OpsCenter の統合についてお読みください。このトピックでは、検出結果および OpsItems への変更と更新がどのようにお客様のアカウントに請求されるかについて解説しています。詳細については、「OpsCenter と AWS Security Hub の統合について」を参照してください。OpsCenter 料金情報については、「AWS Systems Manager の料金表
」を参照してください。 -
Explorer でリソースデータの同期を作成すると、データが同期されます。管理者アカウントにログインすると、管理者と同期中のすべてのメンバーアカウントの Security Hub 統合が自動的に有効になります。有効になると、OpsCenter は Security Hub の検出結果に OpsItems を自動的に作成します。この処理は有料です。リソースデータ同期の作成の詳細については、「複数のアカウントおよびリージョンのデータを表示するように Systems Manager Explorer を設定する」を参照してください。
Explorer が受け取る検出結果の種類
Explorer は、Security Hub からすべての結果を受け取ります。Security Hub のデフォルト設定を有効にすると、Explorer ウィジェットで重要度に基づくすべての結果を確認できます。デフォルトでは、Explorer は重大かつ重大度の高い検出結果に OpsItems を作成します。重要度が Medium および Low の検出結果に対して OpsItems を作成するために、手動で Explorer を設定できます。
Explorer は情報提供の検出結果に対しては OpsItems を作成しないものの、Security Hub の調査結果概要ウィジェットに情報操作データ (OpsData) を表示できます。Explorer 重大度に関係なく、すべての調査結果の OpsData を作成します。Security Hub 重大度レベルの詳細については、「AWS Security Hub API リファレンス」の「重大度」を参照してください。
統合の有効化
このセクションでは、Explorer が Security Hub の検出結果の受信を開始できるように、有効化し、設定する方法について説明します。
開始する前に
Explorer を設定して Security Hub の検出結果の受信を開始する前に、次のタスクを完了します。
-
Security Hub を有効にして設定します。詳細については、AWS Security Hub ユーザーガイドの「Security Hub の設定」を参照してください。
-
AWS Organizations 管理アカウントにログインします。Systems Manager では、Security Hub の検出結果から OpsItems を作成するには、AWS Organizations へのアクセスが必要です。管理アカウントにログインした後、次の手順で説明するように、Explorer の [ダッシュボードの設定] タブで [アクセスを有効にする] ボタンをクリックするよう求められます。AWS Organizations 管理アカウントにログインしないと、アクセスを有効にすることができず、Explorer は Security Hub の検出結果から OpsItems を作成できません。
Security Hub の検出結果の受信を開始するには
AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/
) を開きます。 -
ナビゲーションペインで、[Explorer] を選択します。
-
[設定] を選択します。
-
[ダッシュボードの設定] タブを選択します。
-
AWS Security Hub を選択します。
-
[Disabled (無効)] スライダーを選択して AWS Security Hub を有効にします。
デフォルトでは、Critical と High の重大度の検出結果が表示されます。Medium と Low の重大度検出結果を表示するには、Medium、Low の横にある [無効] スライダーを選択します。
-
[Security Hub の検出結果によって作成された OpsItems] セクションで、[アクセスを有効にする] を選択します。このボタンが表示されない場合は、AWS Organizations 管理アカウントにログインし、このページに戻ってボタンを選択します。
Security Hub の検出結果を表示する方法
次の手順では、Security Hub の検出結果を表示する方法について説明します。
Security Hub の検出結果を表示するには
AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/
) を開きます。 -
ナビゲーションペインで、[Explorer] を選択します。
-
AWS Security Hub 結果の概要ウィジェットを検索します。これにより、Security Hub の検出結果が表示されます。重要度を選択すると、対応する OpsItem の詳細な説明を表示できます。
検出結果の受け取りを停止する方法
次の手順では、Security Hub の検出結果の受信を停止する方法について説明します。
Security Hub の検出結果の受信を停止するには
AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/
) を開きます。 -
ナビゲーションペインで、[Explorer] を選択します。
-
[設定] を選択します。
-
[ダッシュボードの設定] タブを選択します。
-
[Enabled (有効)] スライダーを選択して AWS Security Hub を無効にします。
重要
コンソールで Security Hub の検出結果を無効にするオプションがグレー表示になっている場合は、AWS CLI で次のコマンドを実行して、この設定を無効にすることができます。コマンドは、AWS Organizations 管理アカウントまたは Systems Manager の委任された管理者アカウントにログイン中に実行する必要があります。region
パラメータでは、Explorer で Security Hub の検出結果の受信を停止する AWS リージョン を指定します。
aws ssm update-service-setting --setting-id /ssm/opsdata/SecurityHub --setting-value Disabled --region
AWS リージョン
以下に例を示します。
aws ssm update-service-setting --setting-id /ssm/opsdata/SecurityHub --setting-value Disabled --region us-east-1