사용자 지정 통찰력

AWS Security Hub 관리형 통찰력 외에도 사용자 환경에 맞는 문제를 추적하는 사용자 지정 통찰력을 Security Hub에서 생성할 수 있습니다. 사용자 지정 통찰력 문제에 대해 큐레이션된 부분 집합을 추적하는 방법을 제공합니다

설정하는 데 유용할 수 있는 사용자 지정 통찰력의 몇 가지 예는 다음과 같습니다.

• 관리자 계정을 소유하고 있는 경우, 사용자 지정 통찰력을 설정하여 구성원 계정에 영향을 미치는 중요하고 심각도가 높은 조사 결과를 추적할 수 있습니다.

• 통합된 특정 AWS 서비스를 사용하는 경우, 사용자 지정 통찰력을 설정하여 해당 서비스의 중요하고 심각도가 높은 조사 결과를 추적할 수 있습니다.

• 타사 통합을 사용하는 경우, 사용자 지정 통찰력을 설정하여 해당 통합 제품에서 중요하고 심각도가 높은 결과를 추적할 수 있습니다.

완전히 새로운 사용자 지정 통찰력을 생성하거나 기존 사용자 지정 통찰력 또는 관리형 통찰력을 시작할 수 있습니다.

각 통찰력은 다음 옵션으로 구성됩니다.

• 그룹화 속성 – 그룹화 속성은 통찰력 결과 목록에 표시되는 항목을 결정합니다. 예를 들어, 그룹화 속성이 제품 이름이면 통찰력 결과에 각 결과 공급자와 연관된 결과 수가 표시됩니다.

• 선택적 필터 - 필터는 통찰력과 일치하는 결과의 범위를 좁힙니다.

  Security Hub에서는 결과를 쿼리할 때 필터 세트에 Boolean AND 로직을 적용합니다. 즉, 결과는 제공된 모든 필터와 일치해야 합니다. 예를 들어, 필터가 “제품 이름이 GuardDuty임” 및 “리소스 유형이 AwsS3Bucket임“인 경우 일치하는 결과는 이 두 기준과 일치해야 합니다.

  그러나 Security Hub에서는 속성은 동일하지만 다른 값을 사용하는 필터에 Boolean OR 로직을 적용합니다. 예를 들어, 필터가 “제품 이름이 GuardDuty임“이고 “제품 이름이 Amazon Inspector임“이면 GuardDuty 또는 Amazon Inspector에 의해 생성된 경우 결과가 일치합니다.

리소스 식별자 또는 리소스 유형을 그룹화 속성으로 사용하는 경우 통찰력 결과에는 일치하는 조사 결과에 있는 모든 리소스가 포함됩니다. 이 목록은 리소스 유형 필터와 일치하는 리소스에만 국한되지 않습니다. 예를 들어, 통찰력은 S3 버킷과 관련된 조사 결과를 식별하고 해당 결과를 리소스 식별자별로 그룹화합니다. 일치하는 조사 결과에는 S3 버킷 리소스와 IAM 액세스 키 리소스가 모두 포함됩니다. 통찰력 결과에는 두 리소스가 모두 포함됩니다.

사용자 지정 통찰력 생성(콘솔)

콘솔에서 완전히 새로운 통찰력을 생성할 수 있습니다.

사용자 지정 통찰력을 생성하려면

1. https://console.aws.amazon.com/securityhub/에서 AWS Security Hub 콘솔을 엽니다.

2. 탐색 창에서 Insights를 선택합니다.

3. Create insight(통찰력 생성)를 선택하십시오.

4. 통찰력에 대한 그룹화 속성을 선택하려면

   1. 검색 상자를 선택하여 필터 옵션을 표시합니다.

   2. 그룹화 기준을 선택합니다.

   3. 이 통찰력과 관련되어 있는 결과를 그룹화하는 데 사용할 속성을 선택합니다.

   4. Apply(적용)를 선택합니다.

5. (선택 사항) 이 통찰력에 사용할 추가 필터를 선택합니다. 각 필터에 대해 필터 기준을 정의한 다음 적용를 선택합니다.

6. Create insight(통찰력 생성)를 선택하십시오.

7. Insight name(통찰력 이름)을 입력한 다음 Create insight(통찰력 생성)를 선택합니다.

사용자 지정 통찰력 생성(프로그래밍 방식)

선호하는 방법을 선택하고 단계에 따라 Security Hub에서 프로그래밍 방식으로 사용자 지정 통찰력을 생성합니다. 필터를 지정하여 통찰력의 조사 결과 모음을 특정 하위 집합으로 좁힐 수 있습니다.

다음 탭에는 사용자 지정 통찰력을 생성하기 위한 지침이 몇 가지 언어로 포함되어 있습니다. 추가 언어에 대한 지원이 필요하면 AWS에서의 빌드 도구를 참조하십시오.

Security Hub API

1. CreateInsight 작업을 실행합니다.

2. 사용자 지정 통찰력의 이름을 Name 매개변수에 입력합니다.

3. 통찰력에 포함할 조사 결과를 지정하기 위해 Filters 매개변수를 채웁니다.

4. GroupByAttribute 매개 변수를 채워 통찰력에 포함된 조사 결과를 그룹화하는 데 사용할 속성을 지정합니다.

5. 선택적으로 SortCriteria 파라미터를 채워 특정 필드를 기준으로 결과를 정렬할 수 있습니다.

크로스 리전 집계를 활성화하고 집계 리전에서 이 API를 호출하면 집계 및 연결된 리전에서 일치하는 조사 결과에 통찰력이 적용됩니다.

AWS CLI

1. 명령줄에서 create-insight 명령을 실행합니다.

2. 사용자 지정 통찰력의 이름을 name 매개변수에 입력합니다.

3. 통찰력에 포함할 조사 결과를 지정하기 위해 filters 매개변수를 채웁니다.

4. group-by-attribute 매개 변수를 채워 통찰력에 포함된 조사 결과를 그룹화하는 데 사용할 속성을 지정합니다.

크로스 리전 집계를 활성화하고 집계 리전에서 이 명령을 실행하면 집계 및 연결된 리전에서 나온 일치하는 조사 결과에 통찰력이 적용됩니다.

aws securityhub create-insight --name <insight name> --filters <filter values> --group-by-attribute <attribute name>

예

aws securityhub create-insight --name "Critical role findings" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' --group-by-attribute "ResourceId"

PowerShell

1. New-SHUBInsight cmdlet을 사용하십시오.

2. 사용자 지정 통찰력의 이름을 Name 매개변수에 입력합니다.

3. 통찰력에 포함할 조사 결과를 지정하기 위해 Filter 매개변수를 채웁니다.

4. GroupByAttribute 매개 변수를 채워 통찰력에 포함된 조사 결과를 그룹화하는 데 사용할 속성을 지정합니다.

크로스 리전 집계를 활성화하고 집계 리전에서 이 cmdlet를 사용하는 경우, 집계 및 연결된 리전에서 나온 일치하는 조사 결과에 통찰력이 적용됩니다.

예

$Filter = @{
    AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "XXX"
    }
    ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = 'FAILED'
    }
}
New-SHUBInsight -Filter $Filter -Name TestInsight -GroupByAttribute ResourceId

사용자 지정 통찰력 수정(콘솔)

기존 사용자 지정 통찰력을 수정하여 그룹화 값과 필터를 변경할 수 있습니다. 변경한 후 업데이트를 원래 통찰력에 저장하거나 업데이트된 버전을 새 통찰력으로 저장할 수 있습니다.

통찰력을 수정하려면

1. https://console.aws.amazon.com/securityhub/에서 AWS Security Hub 콘솔을 엽니다.

2. 탐색 창에서 Insights를 선택합니다.

3. 수정할 사용자 지정 통찰력을 선택합니다.

4. 필요에 따라 통찰력 구성을 편집합니다.

   • 통찰력의 결과를 그룹화하는 데 사용한 속성을 변경하려면

     1. 기존의 그룹화를 제거하려면 그룹화 기준 설정 옆에 있는 X를 선택합니다.

     2. 검색 창을 선택합니다.

     3. 그룹화에 사용할 속성을 선택합니다.

     4. Apply(적용)를 선택합니다.

   • 통찰력에서 필터를 제거하려면 필터 옆의 원으로 둘러싸인 X를 선택하십시오.

   • 통찰력에 필터를 추가하려면

     1. 검색 창을 선택합니다.

     2. 필터로 사용할 속성과 값을 선택합니다.

     3. Apply(적용)를 선택합니다.

5. 업데이트를 완료하면 Save insight(통찰력 저장)를 선택합니다.

6. 메시지가 표시되면 다음 중 하나를 수행합니다.

   • 기존 통찰력을 업데이트하여 변경 사항을 반영하려면 <Insight_Name> 업데이트를 선택한 다음 Save insight(통찰력 저장)를 선택합니다.

   • 업데이트가 적용된 새 통찰력을 생성하려면 Save new insight(새 통찰력 저장)를 선택합니다. Insight name(통찰력 이름)을 입력한 다음 Save insight(통찰력 저장)를 선택합니다.

사용자 지정 통찰력 수정(프로그래밍 방식)

사용자 지정 통찰력을 수정하려면 원하는 방법을 선택하고 지침을 따르십시오.

Security Hub API

1. UpdateInsight 작업을 실행합니다.

2. 사용자 지정 통찰력을 식별할 수 있도록 통찰력의 Amazon Resource Name(ARN)을 제공합니다. 사용자 지정 통찰력의 ARN을 가져오려면 GetInsights 작업을 실행합니다.

3. 필요에 따라 Name, Filters, GroupByAttribute 매개변수를 업데이트합니다.

AWS CLI

1. 명령줄에서 update-insight 명령을 실행합니다.

2. 사용자 지정 통찰력을 식별할 수 있도록 통찰력의 Amazon Resource Name(ARN)을 제공합니다. 사용자 지정 통찰력의 ARN을 가져오려면 get-insights 명령을 실행합니다.

3. 필요에 따라 name, filters, group-by-attribute 매개변수를 업데이트합니다.

aws securityhub update-insight --insight-arn <insight ARN> [--name <new name>] [--filters <new filters>] [--group-by-attribute <new grouping attribute>]

예

aws securityhub update-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' --name "High severity role findings"

PowerShell

1. Update-SHUBInsight cmdlet을 사용하십시오.

2. 사용자 지정 통찰력을 식별할 수 있도록 통찰력의 Amazon Resource Name(ARN)을 제공합니다. 사용자 지정 통찰력의 ARN을 가져오려면 Get-SHUBInsight cmdlet을 사용하십시오.

3. 필요에 따라 Name, Filter, GroupByAttribute 매개변수를 업데이트합니다.

예

$Filter = @{
    ResourceType = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "AwsIamRole"
    }
    SeverityLabel = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "HIGH"
    }
}

Update-SHUBInsight -InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" -Filter $Filter -Name "High severity role findings"

관리형 통찰력을 통해 새 사용자 지정 통찰력 생성(콘솔)

관리형 통찰력에 대한 변경 사항을 저장하거나 관리형 통찰력을 삭제할 수 없습니다. 관리형 통찰력을 새 사용자 지정 통찰력의 기반으로 사용할 수 있습니다.

관리형 통찰력을 통해 새 사용자 지정 통찰력을 생성하려면

1. https://console.aws.amazon.com/securityhub/에서 AWS Security Hub 콘솔을 엽니다.

2. 탐색 창에서 Insights를 선택합니다.

3. 작업할 관리형 통찰력을 선택합니다.

4. 필요에 따라 통찰력 구성을 편집합니다.

   • 통찰력의 결과를 그룹화하는 데 사용한 속성을 변경하려면

     1. 기존의 그룹화를 제거하려면 그룹화 기준 설정 옆에 있는 X를 선택합니다.

     2. 검색 창을 선택합니다.

     3. 그룹화에 사용할 속성을 선택합니다.

     4. Apply(적용)를 선택합니다.

   • 통찰력에서 필터를 제거하려면 필터 옆의 원으로 둘러싸인 X를 선택하십시오.

   • 통찰력에 필터를 추가하려면

     1. 검색 창을 선택합니다.

     2. 필터로 사용할 속성과 값을 선택합니다.

     3. Apply(적용)를 선택합니다.

5. 업데이트가 완료되면 Create insight(통찰력 생성)를 선택합니다.

6. 메시지가 표시되면 Insight name(통찰력 이름)을 입력한 다음 Create insight(통찰력 생성)를 선택합니다.

사용자 지정 통찰력 삭제(콘솔)

사용자 지정 통찰력을 더 이상 원하지 않으면 삭제할 수 있습니다. 관리형 통찰력은 삭제할 수 없습니다.

사용자 지정 통찰력을 삭제하려면

1. https://console.aws.amazon.com/securityhub/에서 AWS Security Hub 콘솔을 엽니다.

2. 탐색 창에서 Insights를 선택합니다.

3. 삭제할 사용자 지정 통찰력을 찾습니다.

4. 이러한 통찰력을 보려면 추가 옵션 아이콘(카드 오른쪽 상단에 있는 점 세 개)을 선택합니다.

5. Delete(삭제)를 선택합니다.

사용자 지정 통찰력 삭제(프로그래밍 방식)

사용자 지정 통찰력을 삭제하려면 원하는 방법을 선택하고 지침을 따르십시오.

Security Hub API

1. DeleteInsight 작업을 실행합니다.

2. 삭제할 사용자 지정 통찰력을 식별하려면 해당 통찰력의 ARN을 제공하십시오. 사용자 지정 통찰력의 ARN을 가져오려면 GetInsights 작업을 실행합니다.

AWS CLI

1. 명령줄에서 delete-insight 명령을 실행합니다.

2. 사용자 지정 통찰력을 식별하려면 통찰력의 ARN을 제공하십시오. 사용자 지정 통찰력의 ARN을 가져오려면 get-insights 명령을 실행합니다.

aws securityhub delete-insight --insight-arn <insight ARN>

예

aws securityhub delete-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

PowerShell

1. Remove-SHUBInsight cmdlet을 사용하십시오.

2. 사용자 지정 통찰력을 식별하려면 통찰력의 ARN을 제공하십시오. 사용자 지정 통찰력의 ARN을 가져오려면 Get-SHUBInsight cmdlet을 사용하십시오.

예

-InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"