自定义见解 - Amazon Security Hub
创建自定义见解(控制台)创建自定义见解(编程方式)修改自定义见解(控制台)修改自定义见解(编程方式)从托管见解创建新的自定义见解(控制台)删除自定义见解(控制台)删除自定义见解(编程方式)
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

自定义见解

除了 Amazon Security Hub 托管见解之外,您还可以在 Security Hub 中创建自定义见解来跟踪特定于环境的问题。自定义见解提供了一种跟踪精选问题子集的方法。

以下是一些可能有助于设置的自定义见解示例:

  • 如果您拥有管理员账户,则可以设置自定义见解来跟踪影响成员账户的关键和高严重性调查发现。

  • 如果您依赖特定的集成 Amazon 服务,则可以设置自定义见解来跟踪该服务的关键和高严重性调查发现。

  • 如果您依赖第三方集成,您可以设置一个自定义见解来跟踪来自该集成产品的关键和高严重性结果。

您可以创建全新的自定义见解,也可以从现有的自定义见解或托管见解开始。

每个见解均配置了以下选项。

  • 分组属性——分组属性确定了在见解结果列表中显示哪些项目。例如,如果分组属性是产品名称,则见解结果将显示与每个调查发现提供商关联的调查发现数。

  • 可选筛选条件——筛选条件将缩小见解的匹配调查发现的范围。

    在查询结果时,Security Hub 会将 Boolean AND 逻辑应用于筛选条件集。换句话说,仅在结果符合所有提供的筛选条件时才被视为匹配的结果。例如,如果筛选条件是“产品名称是 GuardDuty”和“资源类型是 AwsS3Bucket”,则匹配的调查发现必须同时符合这两个条件。

    不过,Security Hub 会对使用的属性相同但值不同的筛选条件应用 Boolean OR 逻辑。例如,如果筛选条件是“产品名称是 GuardDuty”和“产品名称是 Amazon Inspector”,则仅在调查发现由 GuardDuty 或 Amazon Inspector 生成时才被视为匹配的调查发现。

请注意,如果您使用资源标识符或资源类型作为分组属性,则见解结果将包括匹配调查发现中的所有资源。该列表不限于与资源类型筛选条件匹配的资源。例如,见解可以识别与 S3 存储桶关联的调查发现,并按资源标识符对这些调查发现进行分组。匹配的调查发现同时包含 S3 存储桶资源和 IAM 访问密钥资源。见解结果包括这两种资源。

创建自定义见解(控制台)

可以从控制台中创建全新的见解。

创建自定义见解

  1. 打开 Amazon Security Hub 控制台,登陆:https://console.aws.amazon.com/securityhub/

  2. 在导航窗格中,选择 Insights

  3. 选择 Create insight (创建见解)

  4. 要为见解选择分组属性,请执行以下操作:

    1. 选择搜索框以显示筛选选项。

    2. 选择 Group by (分组依据)

    3. 选择要用于对与该见解关联的调查发现进行分组的属性。

    4. 选择 Apply(应用)。

  5. (可选)选择要用于此见解的任何其他筛选条件。为每个筛选条件定义筛选标准,然后选择应用

  6. 选择 Create insight (创建见解)

  7. 输入 Insight name (见解名称),然后选择 Create insight (创建见解)

创建自定义见解(编程方式)

选择您的首选方法,然后按照以下步骤在 Security Hub 中以编程方式创建自定义见解。您可以指定筛选条件,将见解中的调查发现集合范围缩小到特定的子集。

以下选项卡包含几种语言的创建自定义见解的说明。有关其他语言的支持,请参阅在 Amazon 上构建的工具

Security Hub API

  1. 运行CreateInsight操作。

  2. 为自定义洞察输入 Name 参数名称。

  3. 填充 Filters 参数以指定要在见解中包含哪些调查发现。

  4. 填充 GroupByAttribute 参数以指定使用哪个属性对包含在见解中的调查发现进行分组。

  5. 或者,填充 SortCriteria 参数以按特定字段对调查发现进行排序。

如果您启用了跨区域聚合并从聚合区域调用此 API,则该见解将应用于聚合和关联区域中的匹配调查发现。

Amazon CLI

  1. 在命令行处,运行 create-insight 命令。

  2. 为自定义洞察输入 name 参数名称。

  3. 填充 filters 参数以指定要在见解中包含哪些调查发现。

  4. 填充 group-by-attribute 参数以指定使用哪个属性对包含在见解中的调查发现进行分组。

如果您启用了跨区域聚合并从聚合区域运行此命令,则该见解将应用于聚合和关联区域的匹配调查发现。

aws securityhub create-insight --name <insight name> --filters <filter values> --group-by-attribute <attribute name>

示例

aws securityhub create-insight --name "Critical role findings" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' --group-by-attribute "ResourceId"
PowerShell

  1. 使用 New-SHUBInsight cmdlet。

  2. 为自定义洞察输入 Name 参数名称。

  3. 填充 Filter 参数以指定要在见解中包含哪些调查发现。

  4. 填充 GroupByAttribute 参数以指定使用哪个属性对包含在见解中的调查发现进行分组。

如果您已启用跨区域聚合并使用聚合区域中的此 cmdlet,则该见解将应用于聚合和关联区域的匹配调查发现。

示例

$Filter = @{
    AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "XXX"
    }
    ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = 'FAILED'
    }
}
New-SHUBInsight -Filter $Filter -Name TestInsight -GroupByAttribute ResourceId

修改自定义见解(控制台)

您可以修改现有的自定义见解来更改分组值和筛选条件。进行更改后,您可以保存对原始见解的更新,或将更新后的版本另存为新见解。

修改见解

  1. 打开 Amazon Security Hub 控制台,登陆:https://console.aws.amazon.com/securityhub/

  2. 在导航窗格中,选择 Insights

  3. 选择要修改的自定义见解。

  4. 根据需要编辑见解配置。

    • 要更改用于对见解中的结果进行分组的属性,请执行以下操作:

      1. 要删除现有分组,请选择分组设置旁边的 X

      2. 选择搜索框。

      3. 选择要用于分组的属性。

      4. 选择 Apply(应用)。

    • 要从见解中删除筛选条件,请选择筛选条件旁边带圆圈的 X

    • 要将筛选条件添加到见解,请执行以下操作:

      1. 选择搜索框。

      2. 选择要用作筛选条件的属性和值。

      3. 选择 Apply(应用)。

  5. 完成更新后,请选择 Save insight (保存见解)

  6. 在出现提示时,执行下列操作之一:

    • 要更新现有见解以反映您的更改,请选择 Update <Insight_Name> (更新 <Insight_Name>),然后选择 Save insight (保存见解)

    • 要使用更新创建新的见解,请选择 Save new insight (保存新见解)。输入 Insight name (见解名称),然后选择 Save insight (保存见解)

修改自定义见解(编程方式)

要修改自定义见解,请选择您的首选方法,然后按照说明操作。

Security Hub API

  1. 运行UpdateInsight操作。

  2. 要识别自定义见解,请提供见解的 Amazon 资源名称(ARN)。要获取自定义见解的 ARN,请运行 GetInsights 操作。

  3. 根据需要更新参数 NameFiltersGroupByAttribute

Amazon CLI

  1. 在命令行处,运行 update-insight 命令。

  2. 要识别自定义见解,请提供见解的 Amazon 资源名称(ARN)。要获取自定义见解的 ARN,请运行 get-insights 命令。

  3. 根据需要更新参数 namefiltersgroup-by-attribute

aws securityhub update-insight --insight-arn <insight ARN> [--name <new name>] [--filters <new filters>] [--group-by-attribute <new grouping attribute>]

示例

aws securityhub update-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' --name "High severity role findings"
PowerShell

  1. 使用 Update-SHUBInsight cmdlet。

  2. 要识别自定义见解,请提供见解的 Amazon 资源名称(ARN)。要获取自定义见解的 ARN,请使用 Get-SHUBInsight cmdlet。

  3. 根据需要更新参数 NameFilterGroupByAttribute

示例

$Filter = @{
    ResourceType = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "AwsIamRole"
    }
    SeverityLabel = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "HIGH"
    }
}

Update-SHUBInsight -InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" -Filter $Filter -Name "High severity role findings"

从托管见解创建新的自定义见解(控制台)

您无法保存对托管见解的更改,也无法删除托管见解。您可以将托管见解用作新的自定义见解的基础。

从托管见解创建新的自定义见解

  1. 打开 Amazon Security Hub 控制台,登陆:https://console.aws.amazon.com/securityhub/

  2. 在导航窗格中,选择 Insights

  3. 选择要使用的托管见解。

  4. 根据需要编辑见解配置。

    • 要更改用于对见解中的结果进行分组的属性,请执行以下操作:

      1. 要删除现有分组,请选择分组设置旁边的 X

      2. 选择搜索框。

      3. 选择要用于分组的属性。

      4. 选择 Apply(应用)。

    • 要从见解中删除筛选条件,请选择筛选条件旁边带圆圈的 X

    • 要将筛选条件添加到见解,请执行以下操作:

      1. 选择搜索框。

      2. 选择要用作筛选条件的属性和值。

      3. 选择 Apply(应用)。

  5. 更新完成后,请选择 Create insight (创建见解)

  6. 在出现提示时,输入见解名称,然后选择创建见解

删除自定义见解(控制台)

当您不再需要自定义见解时,可以将其删除。您无法删除托管见解。

删除自定义见解

  1. 打开 Amazon Security Hub 控制台,登陆:https://console.aws.amazon.com/securityhub/

  2. 在导航窗格中,选择 Insights

  3. 找到要删除的自定义见解。

  4. 对于该见解,请选择更多选项图标(卡右上角的三个点)。

  5. 选择 Delete (删除)

删除自定义见解(编程方式)

要删除自定义见解,请选择您的首选方法,然后按照说明操作。

Security Hub API

  1. 运行DeleteInsight操作。

  2. 要识别删除的自定义见解,请提供见解的 ARN。要获取自定义见解的 ARN,请运行 GetInsights 操作。

Amazon CLI

  1. 在命令行处,运行 delete-insight 命令。

  2. 要识别自定义见解,请提供该见解的 ARN。要获取自定义见解的 ARN,请运行 get-insights 命令。

aws securityhub delete-insight --insight-arn <insight ARN>

示例

aws securityhub delete-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
PowerShell

  1. 使用 Remove-SHUBInsight cmdlet。

  2. 要识别自定义见解,请提供该见解的 ARN。要获取自定义见解的 ARN,请使用 Get-SHUBInsight cmdlet。

示例

-InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"