管理自定义见解 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理自定义见解

除了AmazonSecurity Hub 托管见解,您可以创建自定义见解来跟踪特定于环境的问题和资源。

您可以创建全新的自定义见解,也可以从现有的自定义见解或托管见解开始。

每个见解均配置了以下选项。

  • 分组属性— 分组属性确定了见解结果列表中显示哪些项目。例如,如果分组属性为产品名称,则见解结果将显示与每个结果提供商关联的结果数。

  • 可选筛选器— 筛选条件将缩小见解的匹配结果的范围。

    在查询结果时,Security Hub 将布尔和逻辑应用于筛选器集。换句话说,仅在结果符合所有提供的筛选条件时才被视为匹配的结果。例如,如果筛选条件是 “产品名称是 GuardDuty” 和 “资源类型是AwsS3Bucket,” 那么匹配调查结果必须符合这两个标准。

    但是,Security Hub 将布尔 OR 逻辑应用于使用相同属性但值不同的筛选条件。例如,如果筛选条件是 “产品名称是 GuardDuty” 和 “产品名称是 Amazon Inspector”,则仅在结果由 GuardDuty 或亚 Amazon Inspector 生成时才被视为匹配的结果。

请注意,如果您使用资源标识符或资源类型作为分组属性,则洞察结果将包括匹配结果中的所有资源。该列表不限于与资源类型筛选器匹配的资源。例如,洞察可以识别与 S3 存储桶关联的调查结果,并按资源标识符对这些发现进行分组。匹配发现包含 S3 存储桶资源和 IAM 访问密钥资源。洞察结果包括两种资源。

创建自定义见解(控制台)

可以从控制台中创建全新的见解。

创建自定义见解

  1. 打开AmazonSecurity Hub 控制台https://console.aws.amazon.com/securityhub/.

  2. 在导航窗格中,选择 Insights

  3. 选择 Create insight (创建见解)

  4. 要为见解选择分组属性,请执行以下操作:

    1. 选择搜索框以显示筛选条件选项。

    2. 选择 Group by (分组依据)

    3. 选择要用于对与该见解关联的结果进行分组的属性。

    4. 选择 Apply(应用)。

  5. (可选)选择要用于此见解的任何其他筛选条件。对于每个筛选条件定义筛选条件,然后选择筛选条件,Apply.

  6. 选择 Create insight (创建见解)

  7. 输入 Insight name (见解名称),然后选择 Create insight (创建见解)

创建自定义见解(Security Hub API)Amazon CLI)

要创建自定义见解,可以使用 API 调用或Amazon Command Line Interface.

要创建自定义洞察(Security Hub API),Amazon CLI)

  • Security Hub API— 使用CreateInsightoperation. 创建自定义见解时,必须提供名称、筛选器和分组属性。

  • Amazon CLI— 在命令行处,运行create-insight命令。

    aws securityhub create-insight --name <insight name> --filters <filter values> --group-by-attribute <attribute name>

    示例

    aws securityhub create-insight --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' --group-by-attribute "ResourceId" --name "Critical role findings"

修改自定义见解(控制台)

您可以修改现有的自定义见解来更改分组值和筛选条件。进行更改后,您可以保存对原始见解的更新,或将更新后的版本另存为新见解。

修改见解

  1. 打开AmazonSecurity Hub 控制台https://console.aws.amazon.com/securityhub/.

  2. 在导航窗格中,选择 Insights

  3. 选择要修改的自定义见解。

  4. 根据需要编辑见解配置。

    • 要更改用于对见解中的结果进行分组的属性,请执行以下操作:

      1. 要删除现有分组,请选择X在旁边Group by (分组依据)设置。

      2. 选择搜索框。

      3. 选择要用于分组的属性。

      4. 选择 Apply(应用)。

    • 要从见解中删除筛选条件,请选择圆圈的筛选条件X在过滤器旁边。

    • 要将筛选条件添加到见解,请执行以下操作:

      1. 选择搜索框。

      2. 选择要用作筛选条件的属性和值。

      3. 选择 Apply(应用)。

  5. 完成更新后,请选择 Save insight (保存见解)

  6. 在出现提示时,执行下列操作之一:

    • 要更新现有见解以反映您的更改,请选择 Update <Insight_Name> (更新 <Insight_Name>),然后选择 Save insight (保存见解)

    • 要使用更新创建新的见解,请选择 Save new insight (保存新见解)。输入 Insight name (见解名称),然后选择 Save insight (保存见解)

修改自定义见解(Security Hub API)Amazon CLI)

要修改自定义见解,可以使用 API 调用或Amazon Command Line Interface.

要修改自定义见解(Security Hub API),Amazon CLI)

  • Security Hub API— 使用UpdateInsightoperation. 要识别自定义见解,您需要提供洞察 ARN。要获取洞察 ARN 以获取自定义见解,请使用GetInsightsoperation. 然后,您可以更新名称、筛选器和分组值。

  • Amazon CLI— 在命令行处,运行update-insight命令。

    aws securityhub update-insight --insight-arn <insight ARN> [--name <new name>] [--filters <new filters>] [--group-by-attribute <new grouping attribute>]

    示例

    aws securityhub update-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' --name "High severity role findings"

从托管见解创建新的自定义见解(控制台)

您无法保存对托管见解的更改,也无法删除托管见解。您可以将托管见解用作新的自定义见解的基础。

从托管见解创建新的自定义见解

  1. 打开AmazonSecurity Hub 控制台https://console.aws.amazon.com/securityhub/.

  2. 在导航窗格中,选择 Insights

  3. 选择要使用的托管见解。

  4. 根据需要编辑见解配置。

    • 要更改用于对见解中的结果进行分组的属性,请执行以下操作:

      1. 要删除现有分组,请选择X在旁边Group by (分组依据)设置。

      2. 选择搜索框。

      3. 选择要用于分组的属性。

      4. 选择 Apply(应用)。

    • 要从见解中删除筛选条件,请选择圆圈的筛选条件X在过滤器旁边。

    • 要将筛选条件添加到见解,请执行以下操作:

      1. 选择搜索框。

      2. 选择要用作筛选条件的属性和值。

      3. 选择 Apply(应用)。

  5. 更新完成后,请选择 Create insight (创建见解)

  6. 出现提示时,请输入见解名称,然后选择创建见解.

删除自定义见解(控制台)

当您不再需要自定义见解时,可以将其删除。您无法删除托管见解。

删除自定义见解

  1. 打开AmazonSecurity Hub 控制台https://console.aws.amazon.com/securityhub/.

  2. 在导航窗格中,选择 Insights

  3. 找到要删除的自定义见解。

  4. 要获得该见解,请选择更多选项图标(卡右上角的三个点)。

  5. 选择 Delete(删除)。

删除自定义见解(Security Hub API)Amazon CLI)

要删除自定义见解,可以使用 API 调用或Amazon Command Line Interface.

要删除自定义见解(Security Hub API),Amazon CLI)

  • Security Hub API— 使用DeleteInsightoperation. 要确定要删除的自定义见解,请提供见解 ARN。要获取洞察 ARN 以获取自定义见解,请使用GetInsightsoperation.

  • Amazon CLI— 在命令行处,运行delete-insight命令。

    aws securityhub delete-insight --insight-arn <insight ARN>

    示例

    aws securityhub delete-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"