AWS セキュリティハブのアラートの検出

あなたは組織全体の AWS リソースとサービスを管理するアマゾンウェブサービス (AWS) 管理者です。あなたの役割の一部として、以下を検出できる必要があります。 Security Hub AWS から生成されたアラート。

AWS Security Hub お客様の環境で有効になっている AWS セキュリティサービスから、次のような結果を収集して統合します。

からの侵入検知結果 Amazon GuardDuty
からの脆弱性スキャン Amazon Inspector
の S3 バケットポリシーの調査結果 Amazon Macie
IAM Access Analyzer からパブリックにアクセス可能でクロスアカウントのリソース
WAF の対応範囲にないリソース AWS Firewall Manager

この検索は、これらのアラートを発見することを目的としています。

必要なデータ

このユースケースで Splunk ソフトウェアを使用する方法

このユースケースを導入するには、以下のものが揃っていることを確認してください。 Splunk ES Content Updates にインストールされています。 Splunk エンタープライズセキュリティデプロイ。この豊富なコンテンツライブラリにより、すぐに使えるセキュリティ検出と分析ストーリーを導入して、調査を強化し、セキュリティ体制を改善することができます。Splunk Enterprise Securityを利用していない場合でも、これらの検出機能により、Splunkプラットフォームまたは無料アプリで SPL で何ができるかがわかります。 Splunk セキュリティエッセンシャル。

このユースケースで役立つ検出には、次のようなものがあります。

Detect spike in AWS Security Hub alerts for EC2 instance

次のステップ

Splunk Enterprise Securityには、クラウドセキュリティ体制の強化に役立つ次のようなさまざまな検索機能が用意されています。

Splunk ランタンの記事: AWS の疑わしいプロビジョニングアクティビティの検出
Splunk ランタンの記事: AWS でのユーザーアクティビティの急増の監視
Splunk ランタンの記事: AWS S3 の疑わしいアクティビティの監視

さらに、以下のリソースは、このガイダンスの理解と実装に役立つ場合があります。

Splunk OnDemand Services: これらのクレジットベースのサービスを利用すると、事前定義されたカタログからさまざまな技術サービスを受けられる Splunk の技術コンサルタントに直接アクセスできます。ほとんどのお客様はオンデマンドサービス彼らによるとサクセスプラン。ODSチームとの連携は以下の通りです。 ondemand@cisco.com サポートが必要な場合。