Información personalizada

Además de laAWSInformación gestionada por Security Hub: puede crear información personalizada en Security Hub para realizar un seguimiento de los problemas específicos de su entorno. La información personalizada proporciona una forma de realizar un seguimiento de un subconjunto de problemas seleccionados.

Estos son algunos ejemplos de estadísticas personalizadas que puede resultar útil configurar:

• Si tienes una cuenta de administrador, puedes configurar una información personalizada para realizar un seguimiento de los hallazgos críticos y de gran gravedad que afectan a las cuentas de los miembros.

• Si confías en unintegradaAWSservicio, puede configurar una visión personalizada para realizar un seguimiento de los hallazgos críticos y de alta gravedad de ese servicio.

• Si confías en unintegración de terceros, puede configurar una visión personalizada para realizar un seguimiento de los hallazgos críticos y de alta gravedad de ese producto integrado.

Puede crear conocimientos personalizados completamente nuevos, o comenzar a partir de un conocimiento personalizado o administrado existente.

Cada conocimiento se configura con las siguientes opciones.

• Atributo de agrupación— El atributo de agrupación determina qué elementos se muestran en la lista de resultados de Insight. Por ejemplo, si el atributo de agrupación esNombre del producto, a continuación, los resultados del análisis muestran la cantidad de hallazgos asociados a cada proveedor de búsqueda.

• Filtros opcionales— Los filtros reducen los hallazgos coincidentes para obtener información.

  Al consultar sus hallazgos, Security Hub aplica la lógica BOOLEANA AND al conjunto de filtros. En otras palabras, una búsqueda solo coincide si coincide con todos los filtros proporcionados. Por ejemplo, si los filtros son «El nombre del producto es GuardDuty» y «El tipo de recurso es AwsS3Bucket», los hallazgos coincidentes deben coincidir con ambos criterios.

  Sin embargo, Security Hub aplica la lógica OR booleana a los filtros que usan el mismo atributo pero valores diferentes. Por ejemplo, si los filtros son «El nombre del producto esGuardDuty«y «El nombre del producto es Amazon Inspector», entonces el resultado coincide si lo generó uno de los dosGuardDutyo Amazon Inspector.

Tenga en cuenta que si utiliza el identificador o el tipo de recurso como atributo de agrupación, los resultados de la información incluyen todos los recursos que se encuentran en los hallazgos coincidentes. La lista no se limita a los recursos que coinciden con un filtro de tipo de recurso. Por ejemplo, una información identifica los hallazgos que están asociados a los cubos de S3 y los agrupa por identificador de recursos. Un hallazgo coincidente contiene un recurso de bucket de S3 y un recurso de clave de acceso de IAM. Los resultados del análisis incluyen ambos recursos.

Creación de una visión personalizada (consola)

Desde la consola, puede crear un conocimiento completamente nuevo.

Para crear una visión personalizada

1. Abra elAWSConsola Security Hub enhttps://console.aws.amazon.com/securityhub/.

2. En el panel de navegación, elija Insights.

3. Seleccione Create insight (Crear conocimiento).

4. Para seleccionar el atributo de agrupación para el conocimiento:

   1. Seleccione el cuadro de búsqueda para mostrar las opciones de filtro.

   2. Elija Group by (Agrupar por).

   3. Seleccione el atributo que se utilizará para agrupar los hallazgos asociados a esta información.

   4. Seleccione Apply (Aplicar).

5. (Opcional) Elija los filtros adicionales que desee utilizar para este conocimiento. Para cada filtro, defina los criterios del filtro y, a continuación, elijaAplicar.

6. Seleccione Create insight (Crear conocimiento).

7. Escriba un Insight name (Nombre del conocimiento) y elija Create insight (Crear conocimiento).

Creación de una visión personalizada (programática)

Elija el método que prefiera y siga los pasos para crear mediante programación una información personalizada en Security Hub. Puede especificar filtros para reducir la colección de hallazgos de la información a un subconjunto específico.

Las siguientes pestañas incluyen instrucciones en varios idiomas para crear una visión personalizada. Para obtener soporte en otros idiomas, consulteHerramientas sobre las que construirAWS.

Security Hub API

1. Ejecute elCreateInsightoperación.

2. Rellene elNameparámetro con un nombre para su información personalizada.

3. Rellene elFiltersparámetro para especificar qué hallazgos incluir en la información.

4. Rellene elGroupByAttributeparámetro para especificar qué atributo se utiliza para agrupar los hallazgos que se incluyen en la información.

5. Si lo desea, rellene elSortCriteriaparámetro para ordenar los hallazgos por un campo específico.

Si has activadoagregación interregionaly llame a esta API desde la región de agregación. La información se aplica a los hallazgos coincidentes en las regiones de agregación y vinculadas.

AWS CLI

1. En la línea de comandos, ejecute elcreate-insightcomando.

2. Rellene elnameparámetro con un nombre para su información personalizada.

3. Rellene elfiltersparámetro para especificar qué hallazgos incluir en la información.

4. Rellene elgroup-by-attributeparámetro para especificar qué atributo se utiliza para agrupar los hallazgos que se incluyen en la información.

Si has activadoagregación interregionaly ejecute este comando desde la región de agregación; la información se aplica a los hallazgos coincidentes de la agregación y las regiones vinculadas.

aws securityhub create-insight --name <insight name> --filters <filter values> --group-by-attribute <attribute name>

Ejemplo

aws securityhub create-insight --name "Critical role findings" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' --group-by-attribute "ResourceId"

PowerShell

1. Utilice elNew-SHUBInsightcmdlet.

2. Rellene elNameparámetro con un nombre para su información personalizada.

3. Rellene elFilterparámetro para especificar qué hallazgos incluir en la información.

4. Rellene elGroupByAttributeparámetro para especificar qué atributo se utiliza para agrupar los hallazgos que se incluyen en la información.

Si has activadoagregación interregionaly utilice este cmdlet de la región de agregación. La información se aplica a los hallazgos coincidentes de la agregación y las regiones vinculadas.

Ejemplo

$Filter = @{
    AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "XXX"
    }
    ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = 'FAILED'
    }
}
New-SHUBInsight -Filter $Filter -Name TestInsight -GroupByAttribute ResourceId

Modificación de una información personalizada (consola)

Puede modificar un conocimiento personalizado existente para cambiar el valor de agrupación y los filtros. Después de realizar los cambios, puede guardar las actualizaciones en el conocimiento original o guardar la versión actualizada como un nuevo conocimiento.

Para modificar un conocimiento

1. Abra elAWSConsola Security Hub enhttps://console.aws.amazon.com/securityhub/.

2. En el panel de navegación, elija Insights.

3. Elija el conocimiento personalizado que desea modificar.

4. Edite la configuración de Insight según sea necesario.

   • Para cambiar el atributo utilizado para agrupar los hallazgos en el conocimiento:

     1. Para eliminar la agrupación existente, elija laXjunto alAgrupar porambientación.

     2. Selecciona el cuadro de búsqueda.

     3. Seleccione el atributo que desea utilizar para el agrupamiento.

     4. Seleccione Apply (Aplicar).

   • Para eliminar un filtro de la información, elija la opción marcada con un círculoXjunto al filtro.

   • Para agregar un filtro al conocimiento:

     1. Selecciona el cuadro de búsqueda.

     2. Seleccione el atributo y el valor que desea utilizar como filtro.

     3. Seleccione Apply (Aplicar).

5. Cuando complete las actualizaciones, elija Save insight (Guardar conocimiento).

6. Cuando se le solicite, siga uno de estos procedimientos:

   • Para actualizar el conocimiento existente para que refleje los cambios, elija Update <Insight_Name> (Actualizar <nombre_conocimiento) y, a continuación, elija Save insight (Guardar conocimiento).

   • Para crear un nuevo conocimiento con las actualizaciones, elija Save new insight (Guardar nuevo conocimiento). Escriba un Insight name (Nombre del conocimiento) y elija Save insight (Guardar conocimiento).

Modificación de una visión personalizada (programática)

Para modificar una visión personalizada, elige el método que prefieras y sigue las instrucciones.

Security Hub API

1. Ejecute elUpdateInsightoperación.

2. Para identificar la información personalizada, proporcione el nombre de recurso de Amazon (ARN) de la información. Para obtener el ARN de una información personalizada, ejecute elGetInsightsoperación.

3. Actualice elName,Filters, yGroupByAttributeparámetros según sea necesario.

AWS CLI

1. En la línea de comandos, ejecute elupdate-insightcomando.

2. Para identificar la información personalizada, proporcione el nombre de recurso de Amazon (ARN) de la información. Para obtener el ARN de una información personalizada, ejecute elget-insightscomando.

3. Actualice elname,filters, ygroup-by-attributeparámetros según sea necesario.

aws securityhub update-insight --insight-arn <insight ARN> [--name <new name>] [--filters <new filters>] [--group-by-attribute <new grouping attribute>]

Ejemplo

aws securityhub update-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' --name "High severity role findings"

PowerShell

1. Utilice elUpdate-SHUBInsightcmdlet.

2. Para identificar la información personalizada, proporcione el nombre de recurso de Amazon (ARN) de la información. Para obtener el ARN de una información personalizada, utilice elGet-SHUBInsightcmdlet.

3. Actualice elName,Filter, yGroupByAttributeparámetros según sea necesario.

Ejemplo

$Filter = @{
    ResourceType = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "AwsIamRole"
    }
    SeverityLabel = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "HIGH"
    }
}

Update-SHUBInsight -InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" -Filter $Filter -Name "High severity role findings"

Crear una nueva información personalizada a partir de una información gestionada (consola)

No puede guardar los cambios en un conocimiento administrado ni eliminarlo. Puede utilizar un conocimiento administrado como base para un nuevo conocimiento personalizado.

Para crear un nuevo conocimiento personalizado a partir de un conocimiento administrado

1. Abra elAWSConsola Security Hub enhttps://console.aws.amazon.com/securityhub/.

2. En el panel de navegación, elija Insights.

3. Elija el conocimiento administrado desde el que trabajar.

4. Edite la configuración de Insight según sea necesario.

   • Para cambiar el atributo utilizado para agrupar los hallazgos en el conocimiento:

     1. Para eliminar la agrupación existente, elija laXjunto alAgrupar porambientación.

     2. Selecciona el cuadro de búsqueda.

     3. Seleccione el atributo que desea utilizar para el agrupamiento.

     4. Seleccione Apply (Aplicar).

   • Para eliminar un filtro de la información, elija la opción marcada con un círculoXjunto al filtro.

   • Para agregar un filtro al conocimiento:

     1. Selecciona el cuadro de búsqueda.

     2. Seleccione el atributo y el valor que desea utilizar como filtro.

     3. Seleccione Apply (Aplicar).

5. Cuando se hayan completado las actualizaciones, elija Create insight (Crear conocimiento).

6. Cuando se le solicite, introduzca unNombre de Insighty, a continuación, elijaCrea información.

Eliminar una información personalizada (consola)

Cuando ya no desee un conocimiento personalizado, puede eliminarlo. No puede eliminar conocimientos administrados.

Para eliminar un conocimiento personalizado

1. Abra elAWSConsola Security Hub enhttps://console.aws.amazon.com/securityhub/.

2. En el panel de navegación, elija Insights.

3. Localice el conocimiento personalizado que desea eliminar.

4. Para obtener más información, selecciona el icono de más opciones (los tres puntos en la esquina superior derecha de la tarjeta).

5. Elija Eliminar.

Eliminar una información personalizada (programática)

Para eliminar una información personalizada, elige el método que prefieras y sigue las instrucciones.

Security Hub API

1. Ejecute elDeleteInsightoperación.

2. Para identificar la información personalizada que se va a eliminar, proporcione el ARN de la información. Para obtener el ARN de una información personalizada, ejecute elGetInsightsoperación.

AWS CLI

1. En la línea de comandos, ejecute eldelete-insightcomando.

2. Para identificar la información personalizada, proporcione el ARN de la información. Para obtener el ARN de una información personalizada, ejecute elget-insightscomando.

aws securityhub delete-insight --insight-arn <insight ARN>

Ejemplo

aws securityhub delete-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

PowerShell

1. Utilice elRemove-SHUBInsightcmdlet.

2. Para identificar la información personalizada, proporcione el ARN de la información. Para obtener el ARN de una información personalizada, utilice elGet-SHUBInsightcmdlet.

Ejemplo

-InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"