AWS Security Hub検索結果の取り込みのためのフィルターとアグリゲーション基準の定義

Yokohama 市セキュリティマネジメント

Release

yokohama

ft:locale

ja-JP

ft:publication_title

Yokohama 市セキュリティマネジメント

ft:clusterId

security

bundleId

security

workflow

Technology

AWS Security Hub検索結果の取り込みのためのフィルターとアグリゲーション基準の定義

リリースバージョン: Yokohama

更新日 2025年01月30日

所要時間：6分

フィルター条件を定義して設定することで、セキュリティインシデントを作成する受信検出結果を指定できます。同じ検出結果に対して別のセキュリティインシデントを作成する代わりに、受信検出結果をオープンセキュリティインシデントに追加できるように、追加のインシデントフィールド基準を定義することもできます。

検索結果 AWS Security Hub フィルタリング条件を設定してセキュリティインシデントを作成する

フィルタリング条件が一致した場合にのみセキュリティインシデントが作成されるように、フィルタリング条件を設定します。

始める前に

必要なロール：sn_si.admin

このタスクについて

このタイプのフィルタリングは、セキュリティインシデントを分離し、作成するセキュリティインシデントの数を制限するのに役立ちます。追加のフィルタリング基準を設定すると、クエリまたはトリガーされたインシデント構成を変更することなく、必要な結果のみが取り込まれます。

セキュリティインシデントを作成するために、受信 AWS Security Hub 結果が満たす必要がある基準を定義するには、次の手順を実行します。

手順

[事前フィルタリング] セクションで [ 事前フィルターの適用 ] を選択します。
このオプションを使用すると、特定の検索結果をフィルタリングし、検索結果の取り込みの負荷を軽減できます。
[ API フィルター ] フィールドに、要件に従って JSON 条件を入力し、条件に基づいて特定の検出結果を除外します。たとえば、次の値を入力して、Security Hub でワークフローステータスが解決済みである検索結果を除外します。
```
{"Filters"{
  "WorkflowStatus":[{
  "Comparison":"NOT_EQUALS",
  "Value": "RESOLVED"}]
 }
}
```
指定された条件に基づいて、 AWS Security Hub 検出結果が取り込まれ、 AWS Security Hub 検出結果の生テーブルに表示されます。
次のように移動する。 All (すべて) > AWS Security Hub 検索結果の統合 > AWS Security Hub 生の検索をクリックして生の検出結果データを表示します。
[フィルター条件の検索結果フィールドを選択] セクションで、[ 利用可能な検索結果フィールドを表示 ] を選択して、 AWS Security Hub 検索結果で利用可能なすべてのフィールドのリストを表示します。
[すべての検索結果フィールド] リストから、[セキュリティインシデント生成条件] セクションに表示する検索結果フィールドを選択します。
注:
AWS Security Hub の結果に複数のフィールドと値が含まれています。[ すべての検索フィールド ] リストで、要件に従って検索フィールドを検索して選択できます。
[セキュリティインシデント生成条件] セクションで、[ 条件に基づいてフィルター ] を選択し、セキュリティインシデントを作成するために受信 AWS Security Hub 結果が満たす必要がある基準を定義します。
[フィルター条件] の最初のフィールドには、 AWS Security Hub 検索で使用可能な 200 フィールドのデフォルトリストと、[フィルター条件の検索フィールドを選択] セクションで選択した検索結果フィールドが含まれています。
フィルター条件の 2 番目のフィールドには、条件演算子が含まれています。選択したオプションによって、結果を取り込むために満たす必要のある条件が決まります。
フィルター条件の 3 番目のフィールドには、利用可能な検索フィールドでサポートされる値が含まれています。入力した検出結果フィールドが検出結果の値と一致していることを確認します。
たとえば、複数の値を持つ次のフィールドには、フィルター条件 contains を使用します。
- ワークフロー (ステータス)
- WorkflowState
条件ビルダーのリストとフィールドを使用して、最初の行のフィルターを設定します。
条件を追加するには、[AND] または [OR] をクリックします。
- [AND] を選択した場合は、すべての条件に一致する必要があります。
- [OR] を選択した場合は、一致すべき条件がいずれか 1 つになります。
2 つ目のフィルター条件を設定するには、[新しい基準] をクリックします。

タスクの結果

フィルタリング条件に基づいて、 AWS Security Hub 検出結果が SIR にインポートされます。次のように移動する。 All (すべて) > AWS Security Hub 検索結果の統合 > AWS Security Hub インポートの検索をクリックして、インポートされた結果を表示します。

AWS Security Hub検索結果をセキュリティインシデントにアグリゲートする条件を定義します

類似の重複する可能性があるインシデントを作成するのではなく、既存の SIR セキュリティインシデントに受信 AWS Security Hub 結果を集計する追加のインシデント集計基準を定義します。この追加の集計では、各プロファイルのフィールド一致値基準を使用して、関連するすべてのインシデントデータを単一のセキュリティインシデントに配置することで、アクティブな重複するセキュリティインシデントの数を減らすことができます。

始める前に

必要なロール：sn_si.admin

このタスクについて

新しいインシデントが、マッピングステップの集計フィールド条件で選択されたすべての値と一致する場合、新しいインシデントは、同じフィールド値を持つ最新のオープンセキュリティインシデントに自動的に追加されます。セキュリティインシデントを扱う sn_si.analyst ロールを持つユーザーは、セキュリティインシデントの関連リストで、追加されたすべての集計インシデントを表示できます。

セキュリティインシデントのすべての集計 AWS Security Hub 結果は、[ AWS Security Hub ] 関連リストに表示されます。このリストには、関連するタイムスタンプと集計されたフィールド値の詳細が表示されます。この情報は、 AWS Security Hub 検出結果が既存のセキュリティインシデントに追加される理由を理解するのに役立ちます。

手順

新しいインシデントを作成する代わりに、受信した AWS Security Hub 結果をオープンセキュリティインシデントに追加できるようにする追加のインシデントフィールド基準を定義するには、[ 集計条件 ] オプションを選択します。
[値が一致するインシデントフィールド (Incident fields with matching values)] フィールドに、Now Platform インスタンスの既存のセキュリティインシデントで照合するフィールド値を入力します。
集計基準が満たされ、この受信インシデントを既存のセキュリティインシデントに追加できるように、複数選択入力フィールドで選択したすべてのフィールド値が一致する必要があります。この選択は、複数のフィールド値を持つ可能性がある [観測事象] や [構成アイテム] などのフィールドがマッピングされる AND 条件を意味します。値のサブセットのみが一致した場合、 AWS Security Hub 検索結果の集計条件は満たされず、新しいセキュリティインシデントが作成されます。
複数のフィールド一致条件を追加するには、[ 新しい基準を追加] をクリックします。
定義した複数選択フィールド条件のいずれかが満たされると、集計が行われます。この選択は OR 条件を意味します。
新しい検出結果がセキュリティインシデントに追加されたときにその検出結果の作業メモを更新するには、[ 新しい検出結果の作業メモをログ記録] を選択します。

作業メモには、新しい検出結果が追加されたことが記録され、検出結果の詳細へのリンクが含まれています。作業メモの記録では、マッピングセクションの作業メモフィールドに追加した詳細も更新されます。
スケジュールを設定するには、[続行] をクリックします。

タスクの結果

集計条件に基づいて、 AWS Security Hub 結果が集計されて作成され、 SIR インシデントが作成されます。次のように移動する。 All (すべて) > AWS Security Hub 検索結果の統合 > AWS Security Hub タスクに対する検索結果作成済みのセキュリティインシデントのリストを表示します。

次のタスク

プロファイルの基準に一致する検索データと検索インシデントを取得するスケジュールを設定します。