Gerenciar insights personalizados - AWS Security Hub

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciar insights personalizados

Além dos insights gerenciados do AWS Security Hub, você pode criar insights personalizados para rastrear problemas e recursos específicos do seu ambiente.

Você pode criar insights personalizados completamente novos ou começar a partir de um insight personalizado ou gerenciado existente.

Cada insight é configurado com as seguintes opções.

  • Atributo de agrupamento – O atributo de agrupamento determina quais os itens que são apresentados na lista de resultados de insight. Por exemplo, se o atributo de agrupamento for Nome do produto, então os resultados da perspectiva mostram o número de conclusões que estão associadas a cada fornecedor de deficiência.

  • Filtros opcionais – Os filtros reduzem os resultados correspondentes para a perspectiva.

    Ao consultar os seus resultados, Security Hub aplica a lógica booleana E ao conjunto de filtros. Em outras palavras, uma descoberta só será correspondente se corresponder a todos os filtros fornecidos. Por exemplo, se os filtros forem “O nome do produto é GuardDuty" e “O tipo de recurso é AwsS3Bucket”,as descobertas correspondentes deverão corresponder a esses dois critérios.

    No entanto, Security Hub aplica a lógica OU lógica booleana a filtros que utilizam o mesmo atributo mas valores diferentes. Por exemplo, se os filtros forem “O nome do produto é GuardDuty" e “O nome do produto é Amazon Inspector", uma descoberta será correspondente se tiver sido gerada por GuardDuty ou Amazon Inspector.

Criar uma perspectiva personalizada (consola)

No console, você pode criar um insight completamente novo.

Para criar uma perspetiva personalizada

  1. Abra o console do AWS Security Hub em https://console.aws.amazon.com/securityhub/.

  2. No painel de navegação, escolha Insights.

  3. Escolha Create insight (Criar insight).

  4. Para selecionar o atributo de agrupamento do insight:

    1. Selecione a caixa de pesquisa para apresentar as opções de filtro.

    2. Escolha Group by (Agrupar por).

    3. Selecione o atributo a utilizar para agrupar os resultados associados a esta perspectiva.

    4. Escolha Apply (Aplicar).

  5. (Opcional) Escolha quaisquer filtros adicionais a serem usados para esse insight. Para cada filtro, defina os critérios de filtragem e escolha Aplicar.

  6. Escolha Create insight (Criar insight).

  7. Insira um Insight name (Nome do insight) e escolha Create insight (Criar insight).

Criar uma perspectiva personalizada (Security Hub API, AWS CLI)

Para criar uma perspectiva personalizada, pode utilizar uma chamada API ou o AWS Command Line Interface.

Para criar uma perspectiva personalizada (Security Hub API, AWS CLI)

  • Security Hub API – Utilize o CreateInsight operação. Quando cria uma perspectiva personalizada, tem de fornecer o nome, os filtros e o atributo de agrupamento.

  • AWS CLI – Na linha de comando, execute o create-insight comando.

    aws securityhub create-insight --name <insight name> --filters <filter values> --group-by-attribute <attribute name>

    Exemplo:

    aws securityhub create-insight --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' --group-by-attribute "ResourceId" --name "Critical role findings"

Modificar uma perspectiva personalizada (consola)

Você pode modificar um insight personalizado existente para alterar o valor de agrupamento e os filtros. Depois de fazer as alterações, você pode salvar as atualizações no insight original ou salvar a versão atualizada como um novo insight.

Para modificar um insight

  1. Abra o console do AWS Security Hub em https://console.aws.amazon.com/securityhub/.

  2. No painel de navegação, escolha Insights.

  3. Escolha o insight personalizado a ser modificado.

  4. Edite a configuração insight conforme necessário.

    • Para alterar o atributo usado para agrupar descobertas no insight:

      1. Para remover o agrupamento existente, escolha o X junto ao Agrupar por definição.

      2. Escolha a caixa de pesquisa.

      3. Selecione o atributo a ser usado para agrupamento.

      4. Escolha Apply (Aplicar).

    • Para remover um filtro da perspectiva, escolha o círculo X ao lado do filtro.

    • Para adicionar um filtro ao insight:

      1. Escolha a caixa de pesquisa.

      2. Selecione o atributo e o valor a serem usados como filtro.

      3. Escolha Apply (Aplicar).

  5. Ao concluir as atualizações, escolha Save insight (Salvar insight).

  6. Quando solicitado, siga um destes procedimentos:

    • Para atualizar a perspetiva existente para refletir as suas alterações, escolha Atualizar <Insight_Name> e depois escolha Guardar informações.

    • Para criar um insight com as atualizações, escolha Save new insight (Salvar novo insight). Introduza um Nome da perceção, e depois escolha Guardar informações.

Modificar uma perspectiva personalizada (Security Hub API, AWS CLI)

Para modificar uma perspectiva personalizada, pode utilizar uma chamada API ou o AWS Command Line Interface.

Para modificar uma perspectiva personalizada (Security Hub API, AWS CLI)

  • Security Hub API – Utilize o UpdateInsight operação. Para identificar a perspectiva personalizada, fornece a perspectiva ARN. Para obter informações sobre as perspetivas personalizadas, utilize o GetInsights operação. Pode então actualizar o nome, os filtros e o valor de agrupamento.

  • AWS CLI – Na linha de comando, execute o update-insight comando.

    aws securityhub update-insight --insight-arn <insight ARN> [--name <new name>] [--filters <new filters>] [--group-by-attribute <new grouping attribute>]

    Exemplo:

    aws securityhub update-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' --name "High severity role findings"

Criar uma nova perspetiva personalizada de uma perspectiva gerida (consola)

Você não pode salvar alterações ou excluir um insight gerenciado. Você pode usar um insight gerenciado como base para um novo insight personalizado.

Como criar um insight personalizado com base em um insight gerenciado

  1. Abra o console do AWS Security Hub em https://console.aws.amazon.com/securityhub/.

  2. No painel de navegação, escolha Insights.

  3. Escolha o insight gerenciado no qual trabalhar.

  4. Edite a configuração insight conforme necessário.

    • Para alterar o atributo usado para agrupar descobertas no insight:

      1. Para remover o agrupamento existente, escolha o X junto ao Agrupar por definição.

      2. Escolha a caixa de pesquisa.

      3. Selecione o atributo a ser usado para agrupamento.

      4. Escolha Apply (Aplicar).

    • Para remover um filtro da perspectiva, escolha o círculo X ao lado do filtro.

    • Para adicionar um filtro ao insight:

      1. Escolha a caixa de pesquisa.

      2. Selecione o atributo e o valor a serem usados como filtro.

      3. Escolha Apply (Aplicar).

  5. Quando as atualizações estiverem concluídas, escolha Create insight (Criar insight).

  6. Quando solicitado, introduza um Nome da perceção, e depois escolha Criar insight.

Eliminar uma perspectiva personalizada (consola)

Quando você não quiser mais um insight personalizado, poderá excluí-lo. Você não pode excluir insights gerenciados.

Para excluir um insight personalizado

  1. Abra o console do AWS Security Hub em https://console.aws.amazon.com/securityhub/.

  2. No painel de navegação, escolha Insights.

  3. Localize o insight personalizado a ser excluído.

  4. Para essa perspectiva, escolha o ícone de mais opções (os três pontos no canto superior direito do cartão).

  5. Escolha Delete.

Eliminar uma perspectiva personalizada (Security Hub API, AWS CLI)

Para eliminar uma perspectiva personalizada, pode utilizar uma chamada API ou o AWS Command Line Interface.

Para eliminar uma perspectiva personalizada (Security Hub API, AWS CLI)

  • Security Hub API – Utilize o DeleteInsight operação. Para identificar a perspetiva personalizada a eliminar, fornece a perspectiva ARN. Para obter informações sobre as perspetivas personalizadas, utilize o GetInsights operação.

  • AWS CLI – Na linha de comando, execute o delete-insight comando.

    aws securityhub delete-insight --insight-arn <insight ARN>

    Exemplo:

    aws securityhub delete-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"