自定义见解 - Amazon Security Hub
创建自定义见解(控制台)创建自定义见解(Security Hub)Amazon CLI)修改自定义见解(控制台)修改自定义见解(Security HubAmazon CLI)从托管见解创建新的自定义见解(控制台)删除自定义见解(控制台)删除自定义见解(Security HubAmazon CLI)
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

自定义见解

除了AmazonSecurity Hub 自定义见解提供了一种跟踪精选问题子集的方法。

以下是一些可能对设置有用的自定义见解的示例:

  • 如果您拥有管理员帐户,则可以设置自定义洞察,以跟踪影响成员帐户的严重性和高严重性发现。

  • 如果你依赖一个特定的一体化Amazon服务,您可以设置自定义洞察,以跟踪该服务的严重性和高严重性发现。

  • 如果你依靠第三方集成,您可以设置自定义洞察,以跟踪该集成产品的关键和高严重性发现。

您可以创建全新的自定义见解,也可以从现有的自定义见解或托管见解开始。

每个见解均配置了以下选项。

  • 分组— 分组属性确定了见解结果列表中显示的项目。例如,如果分组属性为产品名称,则则则则则则则则则则将显示与每个结果提供商关联的结果数。

  • 可选筛选条件— 筛选条件将缩小见解的匹配结果的范围。

    在查询结果时,Security Hub 换句话说,仅在结果符合所有提供的筛选条件时才被视为匹配的结果。例如,如果筛选条件为 “产品名称为 GuardDuty和 “资源类型AwsS3Bucket,” 那么匹配的结果必须符合这两个标准。

    不过,Security Hub 会对使用的属性相同但值不同的筛选条件应用布尔 OR 逻辑。例如,如果筛选条件为 “产品名称为 GuardDuty和 “产品名称是 Amazon Inspector”,则则则仅在结果由以下任一方生成时才被视为匹配的结果 GuardDuty 或Amazon Inspector

请注意,如果您使用资源标识符或资源类型作为分组属性,则洞察结果将包括匹配结果中的所有资源。该列表不限于与资源类型筛选器匹配的资源。例如,洞察可以识别与 S3 存储桶关联的发现结果,并按资源标识符对这些发现进行分组。匹配结果包含 S3 存储桶资源和 IAM 访问密钥资源。洞察结果包括这两种资源。

创建自定义见解(控制台)

可以从控制台中创建全新的见解。

创建自定义见解

  1. 打开AmazonSecurity Hubhttps://console.aws.amazon.com/securityhub/.

  2. 在导航窗格中,选择 Insights

  3. 选择 Create insight (创建见解)

  4. 要为见解选择分组属性,请执行以下操作:

    1. 选择搜索框以显示筛选条件选项。

    2. 选择 Group by (分组依据)

    3. 选择要用于对与该见解关联的结果进行分组的属性。

    4. 选择 Apply(应用)。

  5. (可选)选择要用于此见解的任何其他筛选条件。为每个筛选条件定义筛选标准,然后选择Apply.

  6. 选择 Create insight (创建见解)

  7. 输入 Insight name (见解名称),然后选择 Create insight (创建见解)

创建自定义见解(Security Hub)Amazon CLI)

要创建自定义见解,可以使用 API 调用或Amazon Command Line Interface.

要创建自定义见解(Security Hub API),Amazon CLI)

  • Security HubCreateInsightoperation. 创建自定义洞察时,必须提供名称、筛选器和分组属性。

  • Amazon CLI在命令行处,运行create-insight命令。

    aws securityhub create-insight --name <insight name> --filters <filter values> --group-by-attribute <attribute name>

    示例

    aws securityhub create-insight --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' --group-by-attribute "ResourceId" --name "Critical role findings"

修改自定义见解(控制台)

您可以修改现有的自定义见解来更改分组值和筛选条件。进行更改后,您可以保存对原始见解的更新,或将更新后的版本另存为新见解。

修改见解

  1. 打开AmazonSecurity Hubhttps://console.aws.amazon.com/securityhub/.

  2. 在导航窗格中,选择 Insights

  3. 选择要修改的自定义见解。

  4. 根据需要编辑见解

    • 要更改用于对见解中的结果进行分组的属性,请执行以下操作:

      1. 要删除现有分组,请选择X旁边Group by (分组依据)设置。

      2. 选择搜索框。

      3. 选择要用于分组的属性。

      4. 选择 Apply(应用)。

    • 要从见解中删除筛选条件,请选择带圆圈的X在过滤器旁边。

    • 要将筛选条件添加到见解,请执行以下操作:

      1. 选择搜索框。

      2. 选择要用作筛选条件的属性和值。

      3. 选择 Apply(应用)。

  5. 完成更新后,请选择 Save insight (保存见解)

  6. 在出现提示时,执行下列操作之一:

    • 要更新现有见解以反映您的更改,请选择 Update <Insight_Name> (更新 <Insight_Name>),然后选择 Save insight (保存见解)

    • 要使用更新创建新的见解,请选择 Save new insight (保存新见解)。输入 Insight name (见解名称),然后选择 Save insight (保存见解)

修改自定义见解(Security HubAmazon CLI)

要修改自定义见解,可以使用 API 调用或Amazon Command Line Interface.

要修改自定义见解(Security Hub API),Amazon CLI)

  • Security HubUpdateInsightoperation. 要识别自定义洞察,您需要提供见解 ARN。要获取自定义见解的洞察 ARN,请使用GetInsightsoperation. 然后,您可以更新名称、筛选器和分组值。

  • Amazon CLI在命令行处,运行update-insight命令。

    aws securityhub update-insight --insight-arn <insight ARN> [--name <new name>] [--filters <new filters>] [--group-by-attribute <new grouping attribute>]

    示例

    aws securityhub update-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' --name "High severity role findings"

从托管见解创建新的自定义见解(控制台)

您无法保存对托管见解的更改,也无法删除托管见解。您可以将托管见解用作新的自定义见解的基础。

从托管见解创建新的自定义见解

  1. 打开AmazonSecurity Hubhttps://console.aws.amazon.com/securityhub/.

  2. 在导航窗格中,选择 Insights

  3. 选择要使用的托管见解。

  4. 根据需要编辑见解

    • 要更改用于对见解中的结果进行分组的属性,请执行以下操作:

      1. 要删除现有分组,请选择X旁边Group by (分组依据)设置。

      2. 选择搜索框。

      3. 选择要用于分组的属性。

      4. 选择 Apply(应用)。

    • 要从见解中删除筛选条件,请选择带圆圈的X在过滤器旁边。

    • 要将筛选条件添加到见解,请执行以下操作:

      1. 选择搜索框。

      2. 选择要用作筛选条件的属性和值。

      3. 选择 Apply(应用)。

  5. 更新完成后,请选择 Create insight (创建见解)

  6. 出现提示时,请输入见解名称,然后选择创建见解.

删除自定义见解(控制台)

当您不再需要自定义见解时,可以将其删除。您无法删除托管见解。

删除自定义见解

  1. 打开AmazonSecurity Hubhttps://console.aws.amazon.com/securityhub/.

  2. 在导航窗格中,选择 Insights

  3. 找到要删除的自定义见解。

  4. 对于该见解,请选择更多选项图标(卡右上角的三个点)。

  5. 选择 Delete(删除)。

删除自定义见解(Security HubAmazon CLI)

要删除自定义见解,可以使用 API 调用或Amazon Command Line Interface.

删除自定义见解(Security Hub)Amazon CLI)

  • Security HubDeleteInsightoperation. 要确定要删除的自定义洞察,请提供见解 ARN。要获取自定义见解的洞察 ARN,请使用GetInsightsoperation.

  • Amazon CLI在命令行处,运行delete-insight命令。

    aws securityhub delete-insight --insight-arn <insight ARN>

    示例

    aws securityhub delete-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"