AWS Security Hub の検出結果を取り込むためのフィルターとアグリゲーション基準を定義する

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:7分

    • フィルター条件を定義および設定することで、受信した検出結果のうちでセキュリティインシデントを生み出すものを指定できます。追加のインシデントフィールドクライテリアを定義することで、同じ結果に対して別のセキュリティインシデントを生み出すのではなく、受信した検出結果が未解決のセキュリティインシデントに追加されるようにすることもできます。

    セキュリティインシデントを作成する AWS Security Hub 検出結果のフィルタリング条件を設定する

    フィルタリング条件が一致した場合にのみセキュリティインシデントが作成されるように、フィルタリング条件を設定します。

    始める前に

    必要なロール:sn_si.admin

    このタスクについて

    このタイプのフィルタリングは、セキュリティインシデントを分離し、作成するセキュリティインシデントの数を制限するのに役立ちます。追加のフィルタークライテリアを設定すると、クエリまたはトリガーされたインシデント構成を変更することなく、必要な検出結果のみが取り込まれます。

    セキュリティインシデントの作成のために受信される AWS Security Hub 検出結果が満たす必要があるクライテリアを定義するには、次の手順を実行します。

    手順

    1. [事前フィルタリング (Pre-Filtering)] セクションで [事前フィルターを適用 (Apply Pre-Filter)] を選択します。

      このオプションを使用することで、特定の検出結果をフィルタリングし、検出結果の取り込みの負荷を軽減できます。

      [API フィルター] フィールドに、条件に基づいて特定の結果を除外する JSON 条件を要件に従って入力します。たとえば、Security Hub で [ワークフローステータス] が [Resolved (解決済み)] である検出結果を除外するには、次の値を入力します。
      {"Filters"{
  "WorkflowStatus":[{
  "Comparison":"NOT_EQUALS",
  "Value": "RESOLVED"}]
 }
}

      指定された条件に基づいて、AWS Security Hub 結果が取り込まれ、 AWS Security Hub 結果の生テーブルに表示されます。

      移動先 すべて > AWS Security Hub 検索結果の統合 > AWS Security Hub 生の検索 生の検出結果データを表示します。

    2. [フィルター条件の検出結果フィールドを選択 (Select Finding fields for filter conditions)] セクションで、[利用可能な検出結果フィールドを表示 (Display available finding fields)] を選択して、AWS Security Hub 検出結果で利用可能なすべてのフィールドのリストを表示します。
      [すべての検出結果フィールド (All finding fields)] リストから、[セキュリティインシデント生成条件] セクションに表示する検出結果フィールドを選択します。
      注:
      AWS Security Hub 検出結果には複数のフィールドと値が入っています。[すべての検出結果フィールド (All finding fields)] リストで、要件に従って検出結果フィールドを検索して選択できます。
    3. [セキュリティインシデント生成条件] セクションで、[条件に基づいてフィルター]を選択し、受信する AWS Security Hub 検出結果がセキュリティインシデント作成の際に満たす必要のあるクライテリアを定義します。

      [フィルター条件] の最初のフィールドには、AWS Security Hub 検出結果で使用できる 200 のフィールドのデフォルトリストと、[フィルター条件の検出結果フィールドを選択 (Select Finding fields for filter conditions)] セクションで選択した検出結果フィールドが含まれています。

      [フィルター条件] の 2 番目のフィールドには、条件演算子が入っています。選択したオプションによって、検出結果を取り込むために満たす必要のある条件が決まります。

      [フィルター条件] の 3 番目のフィールドには、使用可能な検出結果フィールドでサポートされている値が入っています。入力した検出結果フィールドが検出結果の値と一致することを確認します。

      たとえば、複数の値を持つ次のフィールドに対して、[次の値を含む (contains)] というフィルター条件を使用します。
      • ワークフロー (ステータス)
      • WorkflowState
    4. 条件ビルダーのリストとフィールドを使用して、最初の行のフィルターを設定します。
    5. 条件を追加するには、[AND] または [OR] をクリックします。
      • [AND] を選択した場合は、すべての条件に一致する必要があります。
      • [OR] を選択した場合は、一致すべき条件がいずれか 1 つになります。
    6. 2 つ目のフィルター条件を設定するには、[新しい基準] をクリックします。

    タスクの結果

    フィルター条件に基づいて、AWS Security Hub 検出結果が SIR にインポートされます。移動先 すべて > AWS Security Hub 検索結果の統合 > AWS Security Hub インポートの検索 インポートされた結果を表示します。

    AWS Security Hub 検出結果をセキュリティインシデントにアグリゲートする条件を定義する

    類似の重複する可能性があるインシデントを作成するのではなく、受信される AWS Security Hub 検出結果を既存の SIR セキュリティインシデントにアグリゲーションする追加のインシデント集計クライテリアを定義します。この追加の集計では、各プロファイルのフィールド一致値基準を使用して、関連するすべてのインシデントデータを単一のセキュリティインシデントに配置することで、アクティブな重複するセキュリティインシデントの数を減らすことができます。

    始める前に

    必要なロール:sn_si.admin

    このタスクについて

    新しいインシデントが、マッピングステップの集計フィールド条件で選択されたすべての値と一致する場合、新しいインシデントは、同じフィールド値を持つ最新のオープンセキュリティインシデントに自動的に追加されます。セキュリティインシデントを扱う sn_si.analyst ロールを持つユーザーは、セキュリティインシデントの関連リストで、追加されたすべての集計インシデントを表示できます。

    セキュリティインシデントに関するアグリゲートされた AWS Security Hub 検出結果はすべて、AWS Security Hub 関連リストに表示されます。このリストには、関連するタイムスタンプと集計されたフィールド値の詳細が表示されます。この情報は、AWS Security Hub 検出結果が既存のセキュリティインシデントに追加される理由を理解するのに役立ちます。

    手順

    1. 新しいインシデントを作成する代わりに、受信される AWS Security Hub 検出結果がオープンなセキュリティインシデントに追加されるようにする追加のインシデントフィールドクライテリアを定義するには、[集計条件] オプションを選択します。
    2. [値が一致するインシデントフィールド (Incident fields with matching values)] フィールドに、ServiceNow AI Platform インスタンスの既存のセキュリティインシデントで照合するフィールド値を入力します。
      集計基準が満たされ、この受信インシデントを既存のセキュリティインシデントに追加できるように、複数選択入力フィールドで選択したすべてのフィールド値が一致する必要があります。この選択は、複数のフィールド値を持つ可能性がある [観測事象] や [構成アイテム] などのフィールドがマッピングされる AND 条件を意味します。値のサブセットのみが一致した場合、AWS Security Hub 検出結果の集計条件は満たされず、新しいセキュリティインシデントが作成されます。
    3. 複数のフィールド一致条件を追加するには、[新しいクライテリアを追加] をクリックします。
      定義した複数選択フィールド条件のいずれかが満たされると、集計が行われます。この選択は OR 条件を意味します。
    4. 新しい検出結果がセキュリティインシデントに追加されたときにその作業メモを更新するには、[新規検出結果の作業メモをログ記録 (Log work note for new finding)] を選択します。

      作業メモには、検出結果の詳細へのリンクを含め、新しい検出結果が追加されたことが記録されます。作業メモの記録では、マッピングセクションの作業メモフィールドに追加した詳細も更新されます。

    5. スケジュールを設定するには、[続行] をクリックします。

    タスクの結果

    集計条件に基づいて、AWS Security Hub 検出結果が集計され、SIR インシデントが作成されます。移動先 すべて > AWS Security Hub 検索結果の統合 > AWS Security Hub タスクに対する検索結果 で、作成されたセキュリティインシデントのリストを表示します。

    次のタスク

    プロファイルのクライテリアに一致する検出結果データと検出結果インシデントを取得するスケジュールを設定します。