Información personalizada - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Información personalizada

Además delAWSConocimientos administrados Security Hub Hub, puede crear conocimientos personalizados en Security Hub para realizar un seguimiento de problemas específicos de su entorno. La información personalizada proporciona una forma de realizar un seguimiento de un subconjunto de problemas seleccionado.

A continuación se muestran algunos ejemplos de información personalizada que puede resultar útil configurar:

  • Si tiene una cuenta de administrador, puede configurar una perspectiva personalizada para realizar un seguimiento de los hallazgos críticos y de alta gravedad que afectan a las cuentas de los miembros.

  • Si confías en unintegradoAWSServicio de, puede configurar una visión personalizada para realizar un seguimiento de los hallazgos críticos y de alta gravedad de ese servicio.

  • Si confías en unintegración de terceros, puede configurar una visión personalizada para realizar un seguimiento de los hallazgos críticos y de alta gravedad de ese producto integrado.

Puede crear conocimientos personalizados completamente nuevos, o comenzar a partir de un conocimiento personalizado o administrado existente.

Cada conocimiento se configura con las siguientes opciones.

  • Atributo de agrupación: el atributo de agrupación determina qué elementos se muestran en la lista de resultados de conocimiento. Por ejemplo, si el atributo grouping esNombre del producto, los resultados de conocimiento muestran el número de hallazgos asociados a cada proveedor de hallazgos.

  • Filtros opcionales— Los filtros reducen los hallazgos coincidentes para el conocimiento.

    Al consultar los hallazgos, Security Hub aplica la lógica booleana AND al conjunto de filtros. En otras palabras, una búsqueda solo coincide si coincide con todos los filtros proporcionados. Por ejemplo, si los filtros son «El nombre del producto es GuardDuty«y «El tipo de recurso esAwsS3Bucket», entonces los resultados coincidentes deben coincidir con ambos criterios.

    Sin embargo, Security Hub aplica la lógica OR booleana a los filtros que utilizan el mismo atributo pero valores distintos. Por ejemplo, si los filtros son «El nombre del producto es GuardDuty«y «El nombre del producto es Amazon Inspector», entonces una búsqueda coincide si fue generada por cualquiera de los dos GuardDuty o Amazon Inspector.

Tenga en cuenta que si utiliza el identificador de recursos o el tipo de recurso como atributo de agrupación, los resultados de la perspectiva incluirán todos los recursos que se encuentran en las conclusiones coincidentes. La lista no se limita a los recursos que coinciden con un filtro de tipo de recurso. Por ejemplo, una perspectiva identifica los hallazgos que están asociados con los depósitos de S3 y los agrupa por identificador de recursos. Una conclusión coincidente contiene un recurso de bucket de S3 y un recurso de clave de acceso de IAM. Los resultados del análisis incluyen ambos recursos.

Creación de un conocimiento personalizado (consola)

Desde la consola, puede crear un conocimiento completamente nuevo.

Para crear un conocimiento personalizado

  1. Abra el iconoAWSconsola Security Hub en Security Hub enhttps://console.aws.amazon.com/securityhub/.

  2. En el panel de navegación, elija Insights.

  3. Seleccione Create insight (Crear conocimiento).

  4. Para seleccionar el atributo de agrupación para el conocimiento:

    1. Haga clic en el cuadro de búsqueda para ver las opciones de filtro.

    2. Elija Group by (Agrupar por).

    3. Seleccione el atributo que se va a utilizar para agrupar los hallazgos asociados a este conocimiento.

    4. Seleccione Apply (Aplicar).

  5. (Opcional) Elija los filtros adicionales que desee utilizar para este conocimiento. Para cada filtro, defina los criterios de filtro y luego seleccioneAplicar.

  6. Seleccione Create insight (Crear conocimiento).

  7. Escriba un Insight name (Nombre del conocimiento) y elija Create insight (Crear conocimiento).

Creación de un conocimiento personalizado (Security Hub Hub API, Security Hub APIAWS CLI)

Para crear una perspectiva personalizada, puedes usar una llamada a la API o laAWS Command Line Interface.

Para crear una perspectiva personalizada (API de Security Hub,AWS CLI)

  • API Security Hub Hub Hub— Use el comandoCreateInsight. Al crear una perspectiva personalizada, debe proporcionar el nombre, los filtros y el atributo de agrupación.

  • AWS CLI— En la línea de comandos, ejecute el comandocreate-insightcomando.

    aws securityhub create-insight --name <insight name> --filters <filter values> --group-by-attribute <attribute name>

    Ejemplo

    aws securityhub create-insight --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' --group-by-attribute "ResourceId" --name "Critical role findings"

Modificación de conocimientos personalizados (consola)

Puede modificar un conocimiento personalizado existente para cambiar el valor de agrupación y los filtros. Después de realizar los cambios, puede guardar las actualizaciones en el conocimiento original o guardar la versión actualizada como un nuevo conocimiento.

Para modificar un conocimiento

  1. Abra el iconoAWSconsola Security Hub en Security Hub enhttps://console.aws.amazon.com/securityhub/.

  2. En el panel de navegación, elija Insights.

  3. Elija el conocimiento personalizado que desea modificar.

  4. Edite la configuración de conocimiento según sea necesario.

    • Para cambiar el atributo utilizado para agrupar los hallazgos en el conocimiento:

      1. Para eliminar la agrupación existente, seleccione laXjunto alGroup by (Agrupar por)configuración de.

      2. Seleccione el cuadro de búsqueda.

      3. Seleccione el atributo que desea utilizar para el agrupamiento.

      4. Seleccione Apply (Aplicar).

    • Para eliminar un filtro del conocimiento, elija el círculo rodeado de un círculoXjunto al filtro.

    • Para agregar un filtro al conocimiento:

      1. Seleccione el cuadro de búsqueda.

      2. Seleccione el atributo y el valor que desea utilizar como filtro.

      3. Seleccione Apply (Aplicar).

  5. Cuando complete las actualizaciones, elija Save insight (Guardar conocimiento).

  6. Cuando se le solicite, siga uno de estos procedimientos:

    • Para actualizar el conocimiento existente para que refleje los cambios, elija Update <Insight_Name> (Actualizar <nombre_conocimiento) y, a continuación, elija Save insight (Guardar conocimiento).

    • Para crear un nuevo conocimiento con las actualizaciones, elija Save new insight (Guardar nuevo conocimiento). Escriba un Insight name (Nombre del conocimiento) y elija Save insight (Guardar conocimiento).

Modificación de un conocimiento personalizado (Security Hub API, Security Hub APIAWS CLI)

Para modificar un conocimiento personalizado, puede utilizar una llamada de API o elAWS Command Line Interface.

Para modificar una información personalizada (API de Security Hub,AWS CLI)

  • API Security Hub Hub Hub— Use el comandoUpdateInsight. Para identificar la información personalizada, debe proporcionar el ARN de la información. Para obtener los ARN de insights para obtener insights personalizados, utilice elGetInsights. A continuación, puede actualizar el nombre, los filtros y el valor de agrupación.

  • AWS CLI— En la línea de comandos, ejecute el comandoupdate-insightcomando.

    aws securityhub update-insight --insight-arn <insight ARN> [--name <new name>] [--filters <new filters>] [--group-by-attribute <new grouping attribute>]

    Ejemplo

    aws securityhub update-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' --name "High severity role findings"

Creación de un nuevo conocimiento personalizado a partir de un conocimiento administrado (consola)

No puede guardar los cambios en un conocimiento administrado ni eliminarlo. Puede utilizar un conocimiento administrado como base para un nuevo conocimiento personalizado.

Para crear un nuevo conocimiento personalizado a partir de un conocimiento administrado

  1. Abra el iconoAWSconsola Security Hub en Security Hub enhttps://console.aws.amazon.com/securityhub/.

  2. En el panel de navegación, elija Insights.

  3. Elija el conocimiento administrado desde el que trabajar.

  4. Edite la configuración de conocimiento según sea necesario.

    • Para cambiar el atributo utilizado para agrupar los hallazgos en el conocimiento:

      1. Para eliminar la agrupación existente, seleccione laXjunto alGroup by (Agrupar por)configuración de.

      2. Seleccione el cuadro de búsqueda.

      3. Seleccione el atributo que desea utilizar para el agrupamiento.

      4. Seleccione Apply (Aplicar).

    • Para eliminar un filtro del conocimiento, elija el círculo rodeado de un círculoXjunto al filtro.

    • Para agregar un filtro al conocimiento:

      1. Seleccione el cuadro de búsqueda.

      2. Seleccione el atributo y el valor que desea utilizar como filtro.

      3. Seleccione Apply (Aplicar).

  5. Cuando se hayan completado las actualizaciones, elija Create insight (Crear conocimiento).

  6. Escriba un comando cuando se le soliciteNombre de conocimientoy luego seleccioneCree conocimientos.

Eliminación de un conocimiento personalizado (consola)

Cuando ya no desee un conocimiento personalizado, puede eliminarlo. No puede eliminar conocimientos administrados.

Para eliminar un conocimiento personalizado

  1. Abra el iconoAWSconsola Security Hub en Security Hub enhttps://console.aws.amazon.com/securityhub/.

  2. En el panel de navegación, elija Insights.

  3. Localice el conocimiento personalizado que desea eliminar.

  4. Para obtener ese conocimiento, elija el icono de más opciones (los tres puntos en la esquina superior derecha de la tarjeta).

  5. Elija Eliminar (Delete).

Eliminación de un conocimiento personalizado (Security Hub Hub API, Security Hub APIAWS CLI)

Para eliminar un conocimiento personalizado, puede utilizar una llamada de API o el comandoAWS Command Line Interface.

Para eliminar un conocimiento personalizado (Security Hub Hub API, Security Hub API,AWS CLI)

  • API Security Hub Hub Hub— Use el comandoDeleteInsight. Para identificar la información personalizada que se va a eliminar, debe proporcionar el ARN de la información. Para obtener los ARN de insights para obtener insights personalizados, utilice elGetInsights.

  • AWS CLI— En la línea de comandos, ejecute el comandodelete-insightcomando.

    aws securityhub delete-insight --insight-arn <insight ARN>

    Ejemplo

    aws securityhub delete-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"