创建自定义洞察 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建自定义洞察

在 Sec Amazon urity Hub 中,自定义见解可用于收集一组特定的调查结果并跟踪您的环境所特有的问题。有关自定义洞察的背景信息,请参阅了解 Security Hub 中的自定义洞察

选择您的首选方法,然后按照以下步骤在 Security Hub 中创建自定义洞察

Security Hub console
创建自定义洞察(控制台)
  1. 打开 S Amazon ecurity Hub 控制台,网址为https://console.aws.amazon.com/securityhub/

  2. 在导航窗格中,选择 Insights

  3. 选择 Create insight (创建见解)

  4. 要为见解选择分组属性,请执行以下操作:

    1. 选择搜索框以显示筛选选项。

    2. 选择 Group by (分组依据)

    3. 选择要用于对与该见解关联的调查发现进行分组的属性。

    4. 选择应用

  5. (可选)选择要用于此洞察的任何其他筛选条件。为每个筛选条件定义筛选标准,然后选择应用

  6. 选择 Create insight (创建见解)

  7. 输入洞察名称,然后选择创建洞察

Security Hub API
创建自定义见解 (API)
  1. 要创建自定义见解,请使用 CreateInsightSecurity Hub 的运营API。如果你使用 Amazon CLI,请运行 create-insight 命令。

  2. 为自定义见解输入 Name 参数名称。

  3. 填充 Filters 参数以指定要在见解中包含哪些调查发现。

  4. 填充 GroupByAttribute 参数以指定使用哪个属性对包含在见解中的调查发现进行分组。

  5. 或者,填充 SortCriteria 参数以按特定字段对调查发现进行排序。

以下示例会创建一个自定义洞察,其中包括具有 AwsIamRole 资源类型的重要调查发现。此示例是针对 Linux、macOS 或 Unix 进行格式化的,它使用反斜杠 (\) 行继续符来提高可读性。

$ aws securityhub create-insight --name "Critical role findings" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' --group-by-attribute "ResourceId"
PowerShell
创建自定义见解 (PowerShell)
  1. 使用 New-SHUBInsight cmdlet。

  2. 为自定义见解输入 Name 参数名称。

  3. 填充 Filter 参数以指定要在见解中包含哪些调查发现。

  4. 填充 GroupByAttribute 参数以指定使用哪个属性对包含在见解中的调查发现进行分组。

如果您已启用跨区域聚合并使用聚合区域中的此 cmdlet,则该见解将应用于聚合和关联区域的匹配调查发现。

示例

$Filter = @{ AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{ Comparison = "EQUALS" Value = "XXX" } ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{ Comparison = "EQUALS" Value = 'FAILED' } } New-SHUBInsight -Filter $Filter -Name TestInsight -GroupByAttribute ResourceId

从托管洞察创建自定义洞察(仅限控制台)

您无法保存对托管洞察的更改,也无法删除托管洞察。但是,您可以将托管洞察用作自定义洞察的基础。这仅是 Security Hub 控制台中的一个选项。

从托管洞察创建自定义洞察(控制台)
  1. 打开 S Amazon ecurity Hub 控制台,网址为https://console.aws.amazon.com/securityhub/

  2. 在导航窗格中,选择 Insights

  3. 选择要使用的托管见解。

  4. 根据需要编辑见解配置。

    • 要更改用于对见解中的结果进行分组的属性,请执行以下操作:

      1. 要删除现有分组,请选择分组设置旁边的 X

      2. 选择搜索框。

      3. 选择要用于分组的属性。

      4. 选择应用

    • 要从见解中删除筛选条件,请选择筛选条件旁边带圆圈的 X

    • 要将筛选条件添加到见解,请执行以下操作:

      1. 选择搜索框。

      2. 选择要用作筛选条件的属性和值。

      3. 选择应用

  5. 更新完成后,请选择 Create insight (创建见解)

  6. 在出现提示时,输入见解名称,然后选择创建见解