Création d'un aperçu personnalisé Modifier un aperçu personnalisé Création d'un nouvel aperçu personnalisé à partir d'un aperçu géré (console)Supprimer un aperçu personnalisé

Création et gestion d'informations personnalisées dans Security Hub

Outre les informations gérées par AWS Security Hub, vous pouvez créer des informations personnalisées dans Security Hub pour suivre les problèmes spécifiques à votre environnement. Des informations personnalisées vous aident à suivre un sous-ensemble de problèmes sélectionnés.

Voici quelques exemples d'informations personnalisées qu'il peut être utile de configurer :

Si vous possédez un compte administrateur, vous pouvez configurer un aperçu personnalisé pour suivre les résultats critiques et très graves qui affectent les comptes des membres.
Si vous vous fiez à un AWS service intégré spécifique, vous pouvez configurer un aperçu personnalisé pour suivre les résultats critiques et très graves de ce service.
Si vous comptez sur une intégration tierce, vous pouvez configurer un aperçu personnalisé pour suivre les résultats critiques et très graves liés à ce produit intégré.

Vous pouvez créer des aperçus personnalisés à partir de zéro ou modifier des aperçus personnalisés ou gérés existants.

Chaque aperçu peut être configuré avec les options suivantes :

Attribut de regroupement : l'attribut de regroupement détermine quels éléments sont affichés dans la liste des résultats d'analyse. Par exemple, si l'attribut de regroupement est Nom du produit, les résultats d'analyse indiquent le nombre de résultats associés à chaque fournisseur de résultats.
Filtres facultatifs : les filtres affinent les résultats correspondants à l'aperçu.

Un résultat n'est inclus dans les résultats d'analyse que s'il correspond à tous les filtres fournis. Par exemple, si les filtres sont « Le nom du produit est GuardDuty » et « Type de ressource est AwsS3Bucket », les résultats correspondants doivent correspondre à ces deux critères.

Security Hub applique toutefois une logique booléenne OR aux filtres qui utilisent le même attribut mais des valeurs différentes. Par exemple, si les filtres sont « Le nom du produit est GuardDuty » et « Le nom du produit est Amazon Inspector », le résultat correspond s'il a été généré par Amazon GuardDuty ou Amazon Inspector.

Si vous utilisez l'identifiant ou le type de ressource comme attribut de regroupement, les résultats d'aperçu incluent toutes les ressources figurant dans les résultats correspondants. La liste n'est pas limitée aux ressources qui correspondent à un filtre de type de ressource. Par exemple, un aperçu identifie les résultats associés aux compartiments S3 et regroupe ces résultats par identifiant de ressource. Un résultat correspondant contient à la fois une ressource de compartiment S3 et une ressource de clé d'IAMaccès. Les résultats d'analyse incluent les deux ressources.

Si vous avez activé l'agrégation entre régions et créé un aperçu personnalisé, celui-ci s'applique à la mise en correspondance des résultats dans la région d'agrégation et dans les régions liées. L'exception est si vous fournissez un filtre de région.

Création d'un aperçu personnalisé

Choisissez votre méthode préférée et suivez les étapes pour créer un aperçu personnalisé dans Security Hub

Security Hub console

Pour créer un aperçu personnalisé (console)

Ouvrez la console AWS Security Hub à l'adresse https://console.aws.amazon.com/securityhub/.
Dans le panneau de navigation, choisissez Insights.
Choisissez Create insight (Créer une information).
Pour sélectionner l'attribut de regroupement pour l'aperçu :
1. Choisissez le champ de recherche pour afficher les options de filtre.
2. Choisissez Group by (Regrouper par).
3. Sélectionnez l'attribut à utiliser pour regrouper les résultats associés à cet aperçu.
4. Choisissez Appliquer.
Vous pouvez éventuellement choisir des filtres supplémentaires à utiliser pour ces informations. Pour chaque filtre, définissez les critères du filtre, puis choisissez Appliquer.
Choisissez Create insight (Créer une information).
Entrez un nom d'aperçu, puis choisissez Créer un aperçu.

Security Hub API

Pour créer un aperçu personnalisé (API)

Pour créer un aperçu personnalisé, utilisez le CreateInsightfonctionnement du Security HubAPI. Si vous utilisez le AWS CLI, exécutez la create-insightcommande.
Renseignez le Name paramètre avec un nom pour votre aperçu personnalisé.
Renseignez le Filters paramètre pour spécifier les résultats à inclure dans l'aperçu.
Renseignez le GroupByAttribute paramètre pour spécifier quel attribut est utilisé pour regrouper les résultats inclus dans l'aperçu.
Vous pouvez éventuellement renseigner le SortCriteria paramètre pour trier les résultats selon un champ spécifique.

L'exemple suivant crée un aperçu personnalisé qui inclut les résultats critiques associés au type de AwsIamRole ressource. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.


$ aws securityhub create-insight --name "Critical role findings" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' --group-by-attribute "ResourceId"

PowerShell

Pour créer un aperçu personnalisé (PowerShell)

Utilisez l'New-SHUBInsightapplet de commande.
Renseignez le Name paramètre avec un nom pour votre aperçu personnalisé.
Renseignez le Filter paramètre pour spécifier les résultats à inclure dans l'aperçu.
Renseignez le GroupByAttribute paramètre pour spécifier quel attribut est utilisé pour regrouper les résultats inclus dans l'aperçu.

Si vous avez activé l'agrégation entre régions et que vous utilisez cette applet de commande depuis la région d'agrégation, les informations s'appliquent à la mise en correspondance des résultats de l'agrégation et des régions liées.

Exemple


$Filter = @{
    AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "XXX"
    }
    ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = 'FAILED'
    }
}
New-SHUBInsight -Filter $Filter -Name TestInsight -GroupByAttribute ResourceId

Modifier un aperçu personnalisé

Vous pouvez modifier un aperçu personnalisé existant pour modifier la valeur de regroupement et les filtres. Après avoir apporté les modifications, vous pouvez enregistrer les mises à jour de l'aperçu d'origine ou enregistrer la version mise à jour en tant que nouvel aperçu.

Pour modifier un aperçu personnalisé, choisissez votre méthode préférée et suivez les instructions.

Security Hub console

Pour modifier un aperçu personnalisé (console)

Ouvrez la console AWS Security Hub à l'adresse https://console.aws.amazon.com/securityhub/.
Dans le panneau de navigation, choisissez Insights.
Choisissez l'aperçu personnalisé à modifier.
Modifiez la configuration d'Insight selon vos besoins.
- Pour modifier l'attribut utilisé pour regrouper les résultats dans l'aperçu :
  1. Pour supprimer le regroupement existant, choisissez le X à côté du paramètre Groupe par paramètre.
  2. Choisissez le champ de recherche.
  3. Sélectionnez l'attribut à utiliser pour le regroupement.
  4. Choisissez Appliquer.
- Pour supprimer un filtre de l'aperçu, choisissez le X encerclé à côté du filtre.
- Pour ajouter un filtre à l'aperçu :
  1. Choisissez le champ de recherche.
  2. Sélectionnez l'attribut et la valeur à utiliser comme filtre.
  3. Choisissez Appliquer.
Lorsque vous avez terminé les mises à jour, choisissez Save insight (Enregistrer l'aperçu).
Lorsque vous y êtes invité, effectuez l'une des opérations suivantes :
- Pour mettre à jour les informations existantes afin de refléter vos modifications, choisissez Mettre à jour <Insight_Name>puis choisissez Enregistrer les informations.
- Pour créer un aperçu avec les mises à jour, choisissez Save new insight (Enregistrer un nouvel aperçu). Renseignez le champ Insight name (Nom de l'aperçu), puis choisissez Save insight (Enregistrer l'aperçu).

Security Hub API

Pour modifier un aperçu personnalisé (API)

Utilisez le UpdateInsightfonctionnement du Security HubAPI. Si vous utilisez la update-insightcommande AWS CLI Exécuter.
Pour identifier l'aperçu personnalisé que vous souhaitez mettre à jour, indiquez le nom de ressource Amazon de l'aperçu (ARN). Pour obtenir un ARN aperçu personnalisé, utilisez l'GetInsightsopération ou la get-insightscommande.
Mettez à jour les GroupByAttribute paramètres NameFilters, et selon vos besoins.

L'exemple suivant met à jour l'aperçu spécifié. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.


$ aws securityhub update-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' --name "High severity role findings"

PowerShell

Pour modifier un aperçu personnalisé (PowerShell)

Utilisez l'Update-SHUBInsightapplet de commande.
Pour identifier l'aperçu personnalisé, indiquez le nom de ressource Amazon de l'aperçu (ARN). Pour obtenir un ARN aperçu personnalisé, utilisez l'Get-SHUBInsightapplet de commande.
Mettez à jour les GroupByAttribute paramètres NameFilter, et selon vos besoins.

Exemple


$Filter = @{
    ResourceType = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "AwsIamRole"
    }
    SeverityLabel = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "HIGH"
    }
}

Update-SHUBInsight -InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" -Filter $Filter -Name "High severity role findings"

Création d'un nouvel aperçu personnalisé à partir d'un aperçu géré (console)

Vous ne pouvez pas enregistrer les modifications apportées à un aperçu géré ou le supprimer. Cependant, vous pouvez utiliser un aperçu géré comme base pour un aperçu personnalisé. Il s'agit d'une option disponible uniquement sur la console Security Hub.

Pour créer un aperçu personnalisé à partir d'un aperçu géré (console)

Ouvrez la console AWS Security Hub à l'adresse https://console.aws.amazon.com/securityhub/.
Dans le panneau de navigation, choisissez Insights.
Choisissez l'aperçu géré à partir duquel vous souhaitez travailler.
Modifiez la configuration d'Insight selon vos besoins.
- Pour modifier l'attribut utilisé pour regrouper les résultats dans l'aperçu :
  1. Pour supprimer le regroupement existant, choisissez le X à côté du paramètre Groupe par paramètre.
  2. Choisissez le champ de recherche.
  3. Sélectionnez l'attribut à utiliser pour le regroupement.
  4. Choisissez Appliquer.
- Pour supprimer un filtre de l'aperçu, choisissez le X encerclé à côté du filtre.
- Pour ajouter un filtre à l'aperçu :
  1. Choisissez le champ de recherche.
  2. Sélectionnez l'attribut et la valeur à utiliser comme filtre.
  3. Choisissez Appliquer.
Lorsque vos mises à jour sont terminées, choisissez Create insight (Créer un aperçu).
Lorsque vous y êtes invité, entrez un nom d'aperçu, puis choisissez Créer un aperçu.

Supprimer un aperçu personnalisé

Pour supprimer un aperçu personnalisé, choisissez votre méthode préférée et suivez les instructions. Vous ne pouvez pas supprimer un aperçu géré.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Informations gérées

Automatisations