Insights personalizados - AWS Security Hub

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Insights personalizados

Além dos insights gerenciados do AWS Security Hub, você pode criar insights personalizados para rastrear problemas e recursos específicos do seu ambiente. Os insights personalizados oferecem uma forma de monitorar um subconjunto organizado de problemas.

Aqui estão alguns exemplos de insights personalizados que podem ser úteis configurar:

  • Se você tiver uma conta de administrador, pode configurar uma visão personalizada para rastrear descobertas críticas e de alta gravidade que estão afetando as contas dos membros.

  • Se você confia em um serviço integrado da AWS específico, pode configurar um insight personalizado para rastrear descobertas críticas e de alta gravidade desse serviço.

  • Se você depende de uma integração de terceiros, pode configurar um insight personalizado para rastrear descobertas críticas e de alta gravidade desse produto integrado.

Você pode criar insights personalizados completamente novos ou começar a partir de um insight personalizado ou gerenciado existente.

Cada insight é configurado com as seguintes opções.

  • Atributo de agrupamento: o atributo de agrupamento determina os itens que são exibidos na lista de resultados do insight. Por exemplo, se o atributo de agrupamento for Nome do produto, os resultados do insight exibirão o número de descobertas associadas a cada provedor de descoberta.

  • Filtros opcionais: os filtros opcionais reduzem as descobertas correspondentes para o insight.

    Ao consultar suas descobertas, o Security Hub aplica a lógica Booleana E ao conjunto de filtros. Em outras palavras, uma descoberta só será correspondente se corresponder a todos os filtros fornecidos. Por exemplo, se os filtros forem “O nome do produto é GuardDuty" e “O tipo de recurso é AwsS3Bucket”,as descobertas correspondentes deverão corresponder a esses dois critérios.

    No entanto, o Security Hub aplica a lógica Booleana OU a filtros que usam o mesmo atributo, mas valores diferentes. Por exemplo, se os filtros forem “O nome do produto é GuardDuty" e “O nome do produto é Amazon Inspector", uma descoberta será correspondente se tiver sido gerada por GuardDuty ou Amazon Inspector.

Observe que, se você usar o identificador ou o tipo de recurso como atributo de agrupamento, os resultados do insight incluirão todos os recursos que estão nas descobertas correspondentes. A lista não está limitada aos recursos que correspondem a um filtro de tipo de recurso. Por exemplo, um insight identifica as descobertas associadas aos buckets do S3 e agrupa essas descobertas por identificador de recurso. uma descoberta correspondente contiver um recurso de bucket do S3 e um recurso de chave de acesso do IAM. Os resultados do insight incluem ambos os recursos.

Criar um insight personalizado (console)

No console, você pode criar um insight completamente novo.

Criar um insight personalizado
  1. Abra o AWS console do Security Hub em https://console.aws.amazon.com/securityhub/.

  2. No painel de navegação, escolha Insights.

  3. Escolha Criar insight.

  4. Para selecionar o atributo de agrupamento do insight:

    1. Escolha a caixa de pesquisa para exibir as opções de filtro.

    2. Escolha Agrupar por.

    3. Selecione o atributo a ser usado para agrupar as descobertas que são associadas a esse insight.

    4. Escolha Aplicar.

  5. (Opcional) Escolha quaisquer filtros adicionais a serem usados para esse insight. Para cada filtro, defina o critério de filtro e escolha Aplicar.

  6. Escolha Criar insight.

  7. Insira um Nome do insight e escolha Criar insight.

Criar uma visão personalizada (programática)

Escolha seu método preferido e siga as etapas abaixo para criar programaticamente uma visão personalizada no Security Hub. Você pode especificar filtros para restringir a coleção de descobertas no insight a um subconjunto específico.

As guias a seguir incluem instruções em alguns idiomas para criar um insight personalizado. Para obter suporte em outros idiomas, consulte Ferramentas para desenvolver em AWS.

Security Hub API
  1. Execute a CreateInsightoperação.

  2. Preencha o Name parâmetro com um nome para seu insight personalizado.

  3. Preencha o Filters parâmetro para especificar quais descobertas devem ser incluídas no insight.

  4. Preencha o GroupByAttribute parâmetro para especificar quais atributos são ousados para agrupar as descobertas incluídas no insight.

  5. Opcionalmente, preencha o parâmetro SortCriteria para classificar as descobertas por um campo específico.

Se você habilitou a agregação entre regiões e chamou essa API da região de agregação, o insight se aplica às descobertas correspondentes na agregação e nas regiões vinculadas.

AWS CLI
  1. Na linha de comando, execute o comando create-insight.

  2. Preencha o name parâmetro com um nome para seu insight personalizado.

  3. Preencha o filters parâmetro para especificar quais descobertas devem ser incluídas no insight.

  4. Preencha o group-by-attribute parâmetro para especificar quais atributos são ousados para agrupar as descobertas incluídas no insight.

Se você habilitou a agregação entre regiões e executou esse comando na região de agregação, o insight se aplica às descobertas correspondentes da agregação e das regiões vinculadas.

aws securityhub create-insight --name <insight name> --filters <filter values> --group-by-attribute <attribute name>

Exemplo

aws securityhub create-insight --name "Critical role findings" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' --group-by-attribute "ResourceId"
PowerShell
  1. Use o cmdlet New-SHUBInsight.

  2. Preencha o Name parâmetro com um nome para seu insight personalizado.

  3. Preencha o Filter parâmetro para especificar quais descobertas devem ser incluídas no insight.

  4. Preencha o GroupByAttribute parâmetro para especificar quais atributos são ousados para agrupar as descobertas incluídas no insight.

Se você habilitou a agregação entre regiões e usa esse cmdlet desde a região de agregação, o insight se aplica às descobertas correspondentes da agregação e das regiões vinculadas.

Exemplo

$Filter = @{ AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{ Comparison = "EQUALS" Value = "XXX" } ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{ Comparison = "EQUALS" Value = 'FAILED' } } New-SHUBInsight -Filter $Filter -Name TestInsight -GroupByAttribute ResourceId

Modificar um insight personalizado (console)

Você pode modificar um insight personalizado existente para alterar o valor de agrupamento e os filtros. Depois de fazer as alterações, você pode salvar as atualizações no insight original ou salvar a versão atualizada como um novo insight.

Para modificar um insight
  1. Abra o AWS console do Security Hub em https://console.aws.amazon.com/securityhub/.

  2. No painel de navegação, escolha Insights.

  3. Escolha o insight personalizado a ser modificado.

  4. Edite a configuração do insight, se necessário.

    • Para alterar o atributo usado para agrupar descobertas no insight:

      1. Para remover o agrupamento existente, escolha o X ao lado da configuração Agrupar por.

      2. Escolha a caixa Pesquisar.

      3. Selecione o atributo a ser usado para agrupamento.

      4. Escolha Aplicar.

    • Para remover um filtro do insight, escolha o X circulado ao lado do filtro.

    • Para adicionar um filtro ao insight:

      1. Escolha a caixa Pesquisar.

      2. Selecione o atributo e o valor a serem usados como filtro.

      3. Escolha Aplicar.

  5. Ao concluir as atualizações, escolha Salvar insight.

  6. Quando solicitado, siga um destes procedimentos:

    • Para substituir um insight existente para refletir as alterações, escolha Atualizar <Insight_Name> e então escolha Salvar insight.

    • Para criar um insight com as atualizações, escolha Salvar novo insight. Insira um Nome de insight e então escolha Salvar insight.

Modificar um insight personalizado (programático)

Para modificar um insight personalizado, escolha seu método preferido e siga as instruções.

Security Hub API
  1. Execute a UpdateInsightoperação.

  2. Para identificar o insight personalizado, forneça o nome do recurso da Amazon (ARN) do insight. Para obter o ARN de um insight personalizado, execute a GetInsightsoperação.

  3. Atualizar os parâmetros Name, Filters, e GroupByAttribute conforme necessário.

AWS CLI
  1. Na linha de comando, execute o comando update-insight.

  2. Para identificar o insight personalizado, forneça o nome do recurso da Amazon (ARN) do insight. Para obter o ARN de um insight personalizado, execute o comando get-insights.

  3. Atualizar os parâmetros name, filters, e group-by-attribute conforme necessário.

aws securityhub update-insight --insight-arn <insight ARN> [--name <new name>] [--filters <new filters>] [--group-by-attribute <new grouping attribute>]

Exemplo

aws securityhub update-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' --name "High severity role findings"
PowerShell
  1. Use o cmdlet Update-SHUBInsight.

  2. Para identificar o insight personalizado, forneça o nome do recurso da Amazon (ARN) do insight. Para obter o ARN de um insight personalizado, use o cmdlet Get-SHUBInsight.

  3. Atualizar os parâmetros Name, Filter, e GroupByAttribute conforme necessário.

Exemplo

$Filter = @{ ResourceType = [Amazon.SecurityHub.Model.StringFilter]@{ Comparison = "EQUALS" Value = "AwsIamRole" } SeverityLabel = [Amazon.SecurityHub.Model.StringFilter]@{ Comparison = "EQUALS" Value = "HIGH" } } Update-SHUBInsight -InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" -Filter $Filter -Name "High severity role findings"

Criar um novo insight personalizado com base em um insight gerenciado (console)

Você não pode salvar alterações ou excluir um insight gerenciado. Você pode usar um insight gerenciado como base para um novo insight personalizado.

Como criar um novo insight personalizado com base em um insight gerenciado
  1. Abra o AWS console do Security Hub em https://console.aws.amazon.com/securityhub/.

  2. No painel de navegação, escolha Insights.

  3. Escolha o insight gerenciado no qual trabalhar.

  4. Edite a configuração do insight, se necessário.

    • Para alterar o atributo usado para agrupar descobertas no insight:

      1. Para remover o agrupamento existente, escolha o X ao lado da configuração Agrupar por.

      2. Escolha a caixa Pesquisar.

      3. Selecione o atributo a ser usado para agrupamento.

      4. Escolha Aplicar.

    • Para remover um filtro do insight, escolha o X circulado ao lado do filtro.

    • Para adicionar um filtro ao insight:

      1. Escolha a caixa Pesquisar.

      2. Selecione o atributo e o valor a serem usados como filtro.

      3. Escolha Aplicar.

  5. Quando as atualizações estiverem concluídas, escolha Criar insight.

  6. Quando solicitado, insira um Nome de insight e então escolha Criar insight .

Excluir um insight personalizado (console)

Quando você não quiser mais um insight personalizado, poderá excluí-lo. Você não pode excluir insights gerenciados.

Para excluir um insight personalizado
  1. Abra o console do Security Hub AWS em https://console.aws.amazon.com/securityhub/.

  2. No painel de navegação, escolha Insights.

  3. Localize o insight personalizado a ser excluído.

  4. Para esse insight, escolha o ícone de mais opções (os três pontos no canto superior direito do cartão).

  5. Escolha Excluir.

Excluir um insight personalizado (programático)

Para excluir um insight personalizado, escolha seu método preferido e siga as instruções.

Security Hub API
  1. Execute a DeleteInsightoperação.

  2. Para identificar o insight personalizado a ser excluído, forneça o ARN do insight. Para obter o ARN de um insight personalizado, execute a GetInsightsoperação.

AWS CLI
  1. Na linha de comando, execute o comando delete-insight.

  2. Para identificar o insight personalizado, forneça o ARN do insight. Para obter o ARN de um insight personalizado, execute o comando get-insights.

aws securityhub delete-insight --insight-arn <insight ARN>

Exemplo

aws securityhub delete-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
PowerShell
  1. Use o cmdlet Remove-SHUBInsight.

  2. Para identificar o insight personalizado, forneça o ARN do insight. Para obter o ARN de um insight personalizado, use o cmdlet Get-SHUBInsight.

Exemplo

-InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"