管理自定义见解 - AWS Security Hub
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理自定义见解

除了 AWS Security Hub 托管见解之外,您还可以创建自定义见解来跟踪特定于环境的问题和资源。

您可以创建全新的自定义见解,也可以从现有的自定义见解或托管见解开始。

每个见解均配置了以下选项。

  • 分组属性 – 分组实体决定了在见解结果列表中显示的项目。例如,如果分组实体 产品名称,则见解结果显示与每个发现提供程序关联的发现数量。

  • 可选过滤器 – 过滤器缩小了见解的匹配结果。

    在查询您的发现时, Security Hub 将布尔AND逻辑应用于筛选器集。换句话说,仅在结果符合所有提供的筛选条件时才被视为匹配的结果。例如,如果筛选条件是“产品名称是 GuardDuty”和“资源类型是 AwsS3Bucket”,则匹配的结果必须同时符合这两个条件。

    但是, Security Hub 将布尔OR逻辑应用于使用相同属性但不同值的筛选器。例如,如果筛选条件是“产品名称是 GuardDuty”和“产品名称是 Amazon Inspector”,则仅在结果由 GuardDuty 或 Amazon Inspector 生成时才被视为匹配的结果。

创建自定义见解(孔)

可以从控制台中创建全新的见解。

创建自定义见解

  1. 通过以下网址打开 AWS Security Hub 控制台:https://console.amazonaws.cn/securityhub/

  2. 在导航窗格中,选择 Insights

  3. 选择 Create insight (创建见解)

  4. 要为见解选择分组属性,请执行以下操作:

    1. 选择搜索框以显示筛选选项。

    2. 选择 Group by (分组依据)

    3. 选择用于对与此见解关联的发现进行分组的属性。

    4. 选择 Apply

  5. (可选)选择要用于此见解的任何其他筛选条件。对于每个筛选器,定义筛选条件,然后选择 应用.

  6. 选择 Create insight (创建见解)

  7. 输入 Insight name (见解名称),然后选择 Create insight (创建见解)

创建自定义见解(Security Hub API, AWS CLI)

要创建自定义见解,您可以使用API调用或 AWS Command Line Interface.

要创建自定义见解(Security Hub API, AWS CLI)

  • Security Hub API – 使用 CreateInsight 操作。创建自定义见解时,必须提供名称、筛选器和分组实体。

  • AWS CLI – 在命令行中,运行 create-insight 命令。

    aws securityhub create-insight --name <insight name> --filters <filter values> --group-by-attribute <attribute name>

    示例:

    aws securityhub create-insight --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' --group-by-attribute "ResourceId" --name "Critical role findings"

修改自定义见解(孔)

您可以修改现有的自定义见解来更改分组值和筛选条件。进行更改后,您可以保存对原始见解的更新,或将更新后的版本另存为新见解。

修改见解

  1. 通过以下网址打开 AWS Security Hub 控制台:https://console.amazonaws.cn/securityhub/

  2. 在导航窗格中,选择 Insights

  3. 选择要修改的自定义见解。

  4. 根据需要编辑见解配置。

    • 要更改用于对见解中的结果进行分组的属性,请执行以下操作:

      1. 要删除现有分组,请选择 X 旁边 分组依据 设置。

      2. 选择搜索框。

      3. 选择要用于分组的属性。

      4. 选择 Apply

    • 若要从见解中删除筛选器,请选择圈出 X 过滤器旁边。

    • 要将筛选条件添加到见解,请执行以下操作:

      1. 选择搜索框。

      2. 选择要用作筛选条件的属性和值。

      3. 选择 Apply

  5. 完成更新后,请选择 Save insight (保存见解)

  6. 在出现提示时,执行下列操作之一:

    • 要更新现有见解以反映您的变更,请选择 更新 <Insight_Name> 然后选择 保存见解.

    • 要使用更新创建新的见解,请选择 Save new insight (保存新见解)。输入 Insight name (见解名称),然后选择 Save insight (保存见解)

修改自定义见解(Security Hub API, AWS CLI)

要修改自定义见解,您可以使用API调用或 AWS Command Line Interface.

要修改自定义见解(Security Hub API, AWS CLI)

  • Security Hub API – 使用 UpdateInsight 操作。要确定自定义见解,请提供见解ARN。要获得了解自定义见解的ARN,请使用 GetInsights 操作。然后,您可以更新名称、筛选器和分组值。

  • AWS CLI – 在命令行中,运行 update-insight 命令。

    aws securityhub update-insight --insight-arn <insight ARN> [--name <new name>] [--filters <new filters>] [--group-by-attribute <new grouping attribute>]

    示例:

    aws securityhub update-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' --name "High severity role findings"

从管理的见解中创建新的自定义见解(孔)

您无法保存对托管见解的更改,也无法删除托管见解。您可以将托管见解用作新的自定义见解的基础。

从托管见解创建新的自定义见解

  1. 通过以下网址打开 AWS Security Hub 控制台:https://console.amazonaws.cn/securityhub/

  2. 在导航窗格中,选择 Insights

  3. 选择要使用的托管见解。

  4. 根据需要编辑见解配置。

    • 要更改用于对见解中的结果进行分组的属性,请执行以下操作:

      1. 要删除现有分组,请选择 X 旁边 分组依据 设置。

      2. 选择搜索框。

      3. 选择要用于分组的属性。

      4. 选择 Apply

    • 若要从见解中删除筛选器,请选择圈出 X 过滤器旁边。

    • 要将筛选条件添加到见解,请执行以下操作:

      1. 选择搜索框。

      2. 选择要用作筛选条件的属性和值。

      3. 选择 Apply

  5. 更新完成后,请选择 Create insight (创建见解)

  6. 出现提示时,输入 见解名称,然后选择 创造见解.

删除自定义见解(孔)

当您不再需要自定义见解时,可以将其删除。您无法删除托管见解。

删除自定义见解

  1. 通过以下网址打开 AWS Security Hub 控制台:https://console.amazonaws.cn/securityhub/

  2. 在导航窗格中,选择 Insights

  3. 找到要删除的自定义见解。

  4. 要获得该见解,请选择更多选项图标(卡片右上角的三个点)。

  5. 选择 Delete (删除)

删除自定义见解(Security Hub API, AWS CLI)

要删除自定义见解,您可以使用API调用或 AWS Command Line Interface.

删除自定义见解(Security Hub API, AWS CLI)

  • Security Hub API – 使用 DeleteInsight 操作。要识别要删除的自定义见解,请提供见解ARN。要获得了解自定义见解的ARN,请使用 GetInsights 操作。

  • AWS CLI – 在命令行中,运行 delete-insight 命令。

    aws securityhub delete-insight --insight-arn <insight ARN>

    示例:

    aws securityhub delete-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"