AWS Security Hub

[Security Hub の概念](https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-concepts.html)

### 設定単位
リージョン

### 主なコンポーネント
```
AWS::SecurityHub::Hub
```
https://docs.aws.amazon.com/ja_jp/AWSCloudFormation/latest/UserGuide/aws-resource-securityhub-hub.html

### 前提条件
https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-setup-prereqs.html#securityhub-prereq-config  
> Security Hub では、Security Hub が有効になっているすべてのアカウントで AWS Config が有効になっていることが必要です。Security Hub コントロールは AWS Config ルールを使用してセキュリティチェックを完了します。 

### 設定項目
- セキュリティ基準
  - AWS 基礎セキュリティのベストプラクティス v1.0.0 を有効にする(デフォルト)
  - CIS AWS Foundations Benchmark v1.2.0 を有効にする(デフォルト)
  - CIS AWS Foundations Benchmark v1.4.0 を有効にする
  - NIST Special Publication 800-53 Revision 5 を有効にする
  - PCI DSS v3.2.1 を有効にする
[https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/standards-reference.html](https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/standards-reference.html)
```
  SecurityHub:
    Type: AWS::SecurityHub::Hub
    DependsOn:
      - ConfigRecorder
    Properties:
      AutoEnableControls: true
      ControlFindingGenerator: 'SECURITY_CONTROL'
      EnableDefaultStandards: true
```
- 追加の標準を有効化する場合  
[https://docs.aws.amazon.com/ja_jp/AWSCloudFormation/latest/UserGuide/aws-resource-securityhub-standard.html](https://docs.aws.amazon.com/ja_jp/AWSCloudFormation/latest/UserGuide/aws-resource-securityhub-standard.html)  
```      
# CIS AWS Foundations Benchmark v1.4.0を有効化
  Standard:
    Type: AWS::SecurityHub::Standard
    DependsOn:
      - SecurityHub
    Properties:
      StandardsArn: !Sub 'arn:${AWS::Partition}:securityhub:${AWS::Region}::standards/cis-aws-foundations-benchmark/v/1.4.0'
```

- AWS のサービス と AWS Security Hub との統合  
https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-internal-providers.html  
> Security Hub に検出結果を送信する AWS のサービス 統合は、Security Hub を有効にした後で自動的にアクティブ化されます。  

### AWS Config(結果の送信)  
- AWS Config が Security Hub に送信する結果の種類  
> 統合が有効化されると、AWS Config がすべての AWS Config マネージドルールおよびカスタムルールに関する評価を Security Hub に送信します。

### 管理者アカウントおよびメンバーアカウントの管理
[https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-accounts.html](https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-accounts.html)

- 委任された管理者
> Security Hub 管理者アカウントの指定  
[https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/designate-orgs-admin-account.html](https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/designate-orgs-admin-account.html)  

- アカウントに許可されるアクション  
[https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-accounts-allowed-actions.html](https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-accounts-allowed-actions.html)

- メンバーアカウント
  - Via AWS Organizations
  - By invitation

- 集約リージョン
  - 集約リージョンなし
  - 現在のリージョン

- 1 つのリージョンからすべての検出結果を管理
> 検出結果の集約を使用すると、単一の集約リージョンを使用して、複数のリンクされたリージョンからの検出結果を表示および更新できます。管理者アカウントが集約を設定します。Security Hub は、リンクされたリージョン内のすべてのメンバーアカウントの検出結果と検出結果の更新をレプリケートします。