SIRインシデントステータス別にAWS Security Hub検索の更新とクローズを自動化する

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:2分

    • SIRインシデントのステータスに従って、AWS Security Hub結果の更新とクローズを自動化します。AWS Security Hub統合には双方向インターフェイスがあり、検索結果の取り込みでセキュリティインシデントを作成し、SIRインシデントの変更に応じて検索結果のステータスを更新できます。

    始める前に

    必要なロール:sn_si.admin

    手順

    1. フォームで、詳細を入力します。
      指示に従って、SIR でセキュリティインシデントを作成またはクローズするときに、AWS Security Hub結果を更新するための構成を完了します。
      表 : 1. [インシデントの更新の自動化] フォーム
      カテゴリ フィールド 説明
      ステータスの更新 SIR インシデントステータス SIRインシデント状況のリストを表示します。このリストからオプションを選択して、 Security Hub 検索ステータスにマッピングします。
      Security Hub ステータスの検索 Security Hubワークフローステータスのリストを表示します。

      検出結果のワークフローステータスは、対応する SIR ステータスのインシデントステータスが変更されると、 AWS Security Hub に更新されます。
      優先度を更新 SIR インシデント優先度 SIRインシデントの優先度レベルのリストを表示します。このリストからオプションを選択して、 Security Hub 検索の優先度レベルにマッピングします。
      Security Hub 検索の優先度 Security Hub重大度レベルのリストからオプションを選択します。

      検出結果の重大度は、対応するセキュリティインシデントの優先度が変更されると、 AWS Security Hub に更新されます。
      作業メモを更新 対応するインシデントの作業メモが更新されたときにSecurity HubSIRのメモセクションを更新するには、このオプションを選択します。

      SIRの作業メモセクションには、Security Hub検出結果のメモセクションでサポートされているため、512 文字の制限があります。
      追加コメントを更新 選択すると、[ AWS Security Hub 結果コメント] セクションがインシデント SIR 入力した追加のコメントで更新されます。
      解決メモを更新 SIRインシデントの解決時に入力した解決メモで [AWS Security Hub終結コメント] セクションを更新する場合に選択します。
      注:
      作業メモの各更新は、 Security Hub 検出結果のメモセクションの最後の更新を上書きします。SIRインシデントに関連する作業メモを追加することをお勧めします。
    2. [完了] を選択します。

    次のタスク

    プロファイルは [待機中] ステータスに移行します。セットアップと構成が完了したことを示す確認メッセージが表示されたら、プロファイルを有効にできます。