AWS Security Hub検索の取得をスケジュール

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:2分

    • 検出結果データを取得し、プロファイルの基準に一致する AWS Security Hub 検出結果を取り込むスケジュールを設定します。

    始める前に

    必要なロール:sn_sni.admin

    このタスクについて

    AWS Security Hub 検出プロファイル構成に一致する将来のAWS Security Hub検出結果をポーリングする頻度を計画できます。

    ポーリング間隔は、各プロファイルで個別に設定されます。ポーリング間隔が異なると、 AWS Security Hub 所見統合のパフォーマンスに影響する可能性があります。スケジュールを設定するときは、インシデントの緊急度とシステム負荷のバランスを取るように計画してください。すべてのプロファイルに 1 分のデフォルト値が設定されています。この設定は、インシデントの緊急度とシステムの予想される負荷に基づいて変更できます。

    特定のポーリング間隔でインシデントに追加されたアラートは処理されてから、 AWS Security Hub アラート関連リストとコメントに追加されます。

    手順

    1. スケジュールフォームで、フィールドに入力します。

      スケジュールを構成して、 AWS Security Hub テナントから結果をプルする方法とタイミングを定義します。

      表 : 1. スケジュールフォーム
      フィールド 説明
      継続的な検索結果の取り込み Now Platformインスタンスが新しいインシデントの AWS Security Hub テナントからプルする進行中の検索結果の取り込み。トリガーされた検出結果が検出され、セキュリティインシデント生成のフィルタリング基準が一致すると、セキュリティインシデントが作成されます。
      クローズ済み結果のポーリング 解決済みのポーリング結果。

      これらの検出結果は、進行中のインシデントの取り込み中に取り込まれます。
      ポーリングインクリメント (分) 定義されたポーリング頻度 (分単位)。
      初期検索の取り込み時刻を設定 設定された日時に基づく検索結果の取り込み。

      このオプションを使用して、最初の取り込みに対する特定の日時を定義できます。それ以降の取り込みはポーリング間隔の時間に基づいて決まります。
      入力 初期検索の取り込み時刻

      インシデントの取り込みに指定した日時。
      1 回限りの取得 履歴 AWS Security Hub 所見を 1 回だけ取得し、データの調整を行うには、このチェックボックスをオンにします。このチェックボックスをオンにすると、約 90 日間までのオープンおよびクローズ済みの AWS Security Hub 結果がすべてプルされます。

      データを処理するときは、進行中の検出結果と履歴データの両方がプルされますが、進行中の検出結果の処理は履歴プルよりも優先されます。そうしないと、期間と取り込まれる結果の数に基づいて、履歴プルに時間がかかる場合があります。

      注:
      取得された履歴 AWS Security Hub 所見は、 セキュリティインシデントレスポンス アプリケーション内での重複を防ぐために重複排除チェックを受けます。
      開始日 履歴検出結果が AWS Security Hubから取り込まれてからの日付。
      注:
      検出結果データは、およそ過去 90 日間から取得されたものです。

      [スケジュール] ページでは、 AWS Security Hub テナントから検索結果をプルする方法とタイミングを定義できます。

    2. [他のオプション] ページに移動するには、[続行] をクリックします。