管理自定义见解 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理自定义见解

除了AmazonSecurity Hub 见解,您可以创建自定义见解来跟踪特定于环境的问题和资源。

您可以创建全新的自定义见解,也可以从现有的自定义见解或托管见解开始。

每个见解均配置了以下选项。

  • 分组属性— 分组属性确定了见解结果列表中显示的项目。例如,如果分组属性为产品名称,则见解结果将显示与每个结果提供商关联的结果数。

  • 可选筛选条件— 筛选条件将缩小见解的匹配结果的范围。

    在查询结果时,Security Hub 会对筛选条件集应用布尔 AND 逻辑。换句话说,仅在结果符合所有提供的筛选条件时才被视为匹配的结果。例如,如果筛选条件是 “产品名称是 GuardDuty ub” 和 “资源类型是AwsS3Bucket”,则匹配的结果必须与这两个条件匹配。

    不过,Security Hub 将布尔 OR 逻辑应用于使用的属性相同但值不同的筛选条件。例如,如果筛选条件是 “商品名称是 GuardDuty” 和 “商品名称是 Amazon Inspector”,则仅在结果由 GuardDuty 或 Amazon Inspector 生成时才被视为匹配的结果。

请注意,如果您使用资源标识符或资源类型作为分组属性,则洞察结果将包括匹配查找结果中的所有资源。该列表不限于与资源类型筛选器匹配的资源。例如,洞察可识别与 S3 存储桶相关联的查找结果,并按资源标识符对这些查找结果进行分组。匹配的查找结果包含 S3 存储桶资源和 IAM 访问密钥资源。洞察结果包括两种资源。

创建自定义见解(控制台)

可以从控制台中创建全新的见解。

创建自定义见解

  1. 打开AmazonSecurity Hub 控制台https://console.aws.amazon.com/securityhub/

  2. 在导航窗格中,选择 Insights

  3. 选择 Create insight (创建见解)

  4. 要为见解选择分组属性,请执行以下操作:

    1. 选择搜索框以显示筛选条件选项。

    2. 选择 Group by (分组依据)

    3. 选择要用于对与该见解关联的结果进行分组的属性。

    4. 选择 Apply

  5. (可选)选择要用于此见解的任何其他筛选条件。为每个筛选条件定义筛选标准,然后选择Apply

  6. 选择 Create insight (创建见解)

  7. 输入 Insight name (见解名称),然后选择 Create insight (创建见解)

创建自定义见解(Security Hub API、Amazon CLI)

要创建自定义见解,可以使用 API 调用或Amazon Command Line Interface。

要创建自定义见解(Security Hub API,Amazon CLI)

  • Security Hub API— 使用CreateInsightoperation. 创建自定义见解时,必须提供名称、筛选器和分组属性。

  • Amazon CLI— 在命令行处,运行create-insight命令。

    aws securityhub create-insight --name <insight name> --filters <filter values> --group-by-attribute <attribute name>

    示例

    aws securityhub create-insight --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' --group-by-attribute "ResourceId" --name "Critical role findings"

修改自定义见解(控制台)

您可以修改现有的自定义见解来更改分组值和筛选条件。进行更改后,您可以保存对原始见解的更新,或将更新后的版本另存为新见解。

修改见解

  1. 打开AmazonSecurity Hub 控制台https://console.aws.amazon.com/securityhub/

  2. 在导航窗格中,选择 Insights

  3. 选择要修改的自定义见解。

  4. 根据需要编辑见解配置。

    • 要更改用于对见解中的结果进行分组的属性,请执行以下操作:

      1. 要删除现有分组,请选择X旁边Group by (分组依据)设置。

      2. 选择搜索框。

      3. 选择要用于分组的属性。

      4. 选择 Apply

    • 要从见解中删除筛选条件,请选择带圆圈的X旁边的过滤器。

    • 要将筛选条件添加到见解,请执行以下操作:

      1. 选择搜索框。

      2. 选择要用作筛选条件的属性和值。

      3. 选择 Apply

  5. 完成更新后,请选择 Save insight (保存见解)

  6. 在出现提示时,执行下列操作之一:

    • 要更新现有见解以反映您的更改,请选择 Update <Insight_Name> (更新 <Insight_Name>),然后选择 Save insight (保存见解)

    • 要使用更新创建新的见解,请选择 Save new insight (保存新见解)。输入 Insight name (见解名称),然后选择 Save insight (保存见解)

修改自定义见解(Security Hub API、Amazon CLI)

要修改自定义见解,可以使用 API 调用或Amazon Command Line Interface。

要修改自定义见解(Security Hub API,Amazon CLI)

  • Security Hub API— 使用UpdateInsightoperation. 要识别自定义见解,请提供洞察 ARN。要获取洞察 ARN 以获取自定义见解,请使用GetInsightsoperation. 然后,您可以更新名称、筛选器和分组值。

  • Amazon CLI— 在命令行处,运行update-insight命令。

    aws securityhub update-insight --insight-arn <insight ARN> [--name <new name>] [--filters <new filters>] [--group-by-attribute <new grouping attribute>]

    示例

    aws securityhub update-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' --name "High severity role findings"

从托管见解创建新的自定义见解(控制台)

您无法保存对托管见解的更改,也无法删除托管见解。您可以将托管见解用作新的自定义见解的基础。

从托管见解创建新的自定义见解

  1. 打开AmazonSecurity Hub 控制台https://console.aws.amazon.com/securityhub/

  2. 在导航窗格中,选择 Insights

  3. 选择要使用的托管见解。

  4. 根据需要编辑见解配置。

    • 要更改用于对见解中的结果进行分组的属性,请执行以下操作:

      1. 要删除现有分组,请选择X旁边Group by (分组依据)设置。

      2. 选择搜索框。

      3. 选择要用于分组的属性。

      4. 选择 Apply

    • 要从见解中删除筛选条件,请选择带圆圈的X旁边的过滤器。

    • 要将筛选条件添加到见解,请执行以下操作:

      1. 选择搜索框。

      2. 选择要用作筛选条件的属性和值。

      3. 选择 Apply

  5. 更新完成后,请选择 Create insight (创建见解)

  6. 出现提示时请输入见解名称,然后选择创建见解

删除自定义见解(控制台)

当您不再需要自定义见解时,可以将其删除。您无法删除托管见解。

删除自定义见解

  1. 打开AmazonSecurity Hub 控制台https://console.aws.amazon.com/securityhub/

  2. 在导航窗格中,选择 Insights

  3. 找到要删除的自定义见解。

  4. 对于该见解,请选择更多选项图标(卡右上角的三个点)。

  5. 选择 Delete (删除)

删除自定义见解(Security Hub APIAmazon CLI)

要删除自定义见解,可以使用 API 调用或Amazon Command Line Interface。

删除自定义见解(Security Hub APIAmazon CLI)

  • Security Hub API— 使用DeleteInsightoperation. 要确定要删除的自定义见解,请提供洞察 ARN。要获取洞察 ARN 以获取自定义见解,请使用GetInsightsoperation.

  • Amazon CLI— 在命令行处,运行delete-insight命令。

    aws securityhub delete-insight --insight-arn <insight ARN>

    示例

    aws securityhub delete-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"