AWS セキュリティエクスポージャー管理の統合
AWS セキュリティエクスポージャー管理の統合により、 AWS 環境が ServiceNow AI Platform®に接続され、 AWS Inspector および Security Hub からセキュリティ結果をインポートできるようになります AWS 。
サポートされる統合
セキュリティエクスポージャー管理の AWS 統合は、次の AWS サービスとの統合をサポートしています。
- AWS インスペクター
- AWS Inspector は、EC2 インスタンス、ECR コンテナイメージ、Lambda 関数を継続的にスキャンして、ソフトウェアの脆弱性 (CVE) や意図しないネットワークエクスポージャーがないか確認する、自動化された脆弱性管理サービスです。脆弱性対応と AWS Inspector の統合では、AWS Inspector からインポートしたデータを使用して、資産の脆弱性に優先順位を付けて修正できます。
- AWS Security Hub
- AWS Security Hub は、 AWS アカウント全体のセキュリティチェックを一元化して更新するために使用されるセキュリティサービスです。さまざまな AWS サービスと統合することで、セキュリティアラートとコンプライアンスステータスの統一ビューを提供します。脆弱性対応と AWS Security Hub の統合は、AWS Security Hub からホスト、コンテナの脆弱性、および構成ミスをインポートします。
主な機能
AWS セキュリティエクスポージャー管理の統合には、次の主要な機能が含まれています。
- 複数の構成済み AWS リージョンからのマルチリージョンデータの取り込み。
- すべての統合のデルタインポート。前回の統合実行以降に更新された結果のみを取得します。
- Security Hub およびインスペクターホスト AWS 検出結果から脆弱性一致アイテム (VIT) および検出、コンテナの検出結果からコンテナ脆弱性一致アイテム (CVIT)、および コンフィグレーションコンプライアンス内のテスト結果にマッピングします。
- 構成アイテム (CI) マッピングと資産相関。
- 重複レコードを回避するための一意性の適用。
- ドメインセパレーション。
- ホスト検出結果の分割検出のサポート。
統合スケジュール
デフォルトでは、すべての統合は日次スケジュールで実行されます。次の統合を使用できます。
| 統合 | 説明 |
|---|---|
| AWS インスペクターホスト脆弱性統合 | EC2 インスタンスと Lambda 関数のホスト脆弱性結果を取得します。脆弱性一致アイテム (VIT)、検出されたアイテム、および検出を作成します。 |
| AWS インスペクターコンテナ脆弱性統合 | ECR コンテナイメージのコンテナ脆弱性結果を取得します。コンテナ脆弱性一致アイテム (CVIT)、検出されたコンテナイメージ、および検索結果を作成します。 |
| 統合 | 説明 |
|---|---|
| AWS Security Hub ホスト脆弱性統合 | AWS Security Hub からホスト脆弱性の結果 (EC2 インスタンス、Lambda 関数) を取得します。脆弱性一致アイテム (VIT)、検出されたアイテム、および検出を作成します。 |
| AWS コンテナ脆弱性統合 | AWS Security Hub からコンテナ脆弱性の結果 (ECR コンテナイメージ) を取得します。コンテナ脆弱性一致アイテム (CVIT)、検出されたコンテナイメージ、および検索結果を作成します。 |
| AWS テスト結果の統合 | AWS Security Hub からさまざまな資産の構成ミスを取得します。コンフィグレーションコンプライアンスでテストとテスト結果を作成します。 |
認証
統合は、IAM 認証情報と AWS 署名バージョン 4 (SigV4) 要求署名を使用して、AWS で認証します。ロール ARN を設定すると、統合は STS AssumeRole AWS 呼び出して、3,600 秒間有効な一時的なセキュリティ認証情報を取得します。
| フィールド | 説明 |
|---|---|
| アクセス キー | AWS IAM ユーザーのアクセスキー ID。 |
| 秘密キー | AWS 秘密アクセスキー (暗号化して保存)。 |
| ロール ARN | STS AssumeRole の IAM ロールの ARN(クロスアカウントアクセスに必要)。 |
| 地域 | 検出結果を取得する 1 つ以上の AWS リージョン。 |