Criação e gerenciamento de insights personalizados no Security Hub

Além dos insights gerenciados do AWS Security Hub, você pode criar insights personalizados no Security Hub para rastrear problemas específicos do seu ambiente. Os insights personalizados ajudam você a monitorar um subconjunto selecionado de problemas.

Aqui estão alguns exemplos de insights personalizados que podem ser úteis configurar:

• Se você tiver uma conta de administrador, pode configurar uma visão personalizada para rastrear descobertas críticas e de alta gravidade que estão afetando as contas dos membros.

• Se você confia em um AWS serviço integrado específico, pode configurar uma visão personalizada para rastrear descobertas críticas e de alta gravidade desse serviço.

• Se você depende de uma integração de terceiros, pode configurar um insight personalizado para rastrear descobertas críticas e de alta gravidade desse produto integrado.

Você pode criar insights personalizados completamente novos ou começar a partir de um insight personalizado ou gerenciado existente.

Cada insight pode ser configurado com as seguintes opções:

• Atributo de agrupamento: o atributo de agrupamento determina os itens que são exibidos na lista de resultados do insight. Por exemplo, se o atributo de agrupamento for Nome do produto, os resultados do insight exibirão o número de descobertas associadas a cada provedor de descoberta.

• Filtros opcionais: os filtros opcionais reduzem as descobertas correspondentes para o insight.

  Uma descoberta é incluída nos resultados do insight somente se corresponder a todos os filtros fornecidos. Por exemplo, se os filtros forem “Nome do produto é GuardDuty” e “Tipo de recurso é AwsS3Bucket “, as descobertas correspondentes devem corresponder a esses dois critérios.

  No entanto, o Security Hub aplica a lógica booleana OR a filtros que usam o mesmo atributo, mas valores diferentes. Por exemplo, se os filtros forem “Nome do produto é GuardDuty” e “Nome do produto é Amazon Inspector”, uma descoberta corresponderá se foi gerada pela Amazon GuardDuty ou pelo Amazon Inspector.

Se você usar o identificador de recurso ou o tipo de recurso como atributo de agrupamento, os resultados do insight incluirão todos os recursos que estão nas descobertas correspondentes. A lista não está limitada aos recursos que correspondem a um filtro de tipo de recurso. Por exemplo, um insight identifica as descobertas associadas aos buckets do S3 e agrupa essas descobertas por identificador de recurso. Uma descoberta correspondente contém um recurso de bucket do S3 e um recurso de chave de IAM acesso. Os resultados do insight incluem ambos os recursos.

Se você habilitou a agregação entre regiões e criou um insight personalizado, o insight se aplica às descobertas correspondentes na região de agregação e nas regiões vinculadas. A exceção é se você fornecer um filtro de região.

Criação de uma visão personalizada

Escolha seu método preferido e siga as etapas para criar uma visão personalizada no Security Hub

Security Hub console

Para criar uma visão personalizada (console)

1. Abra o console do AWS Security Hub em https://console.aws.amazon.com/securityhub/.

2. No painel de navegação, escolha Insights.

3. Escolha Criar insight.

4. Para selecionar o atributo de agrupamento do insight:

   1. Escolha a caixa de pesquisa para exibir as opções de filtro.

   2. Escolha Agrupar por.

   3. Selecione o atributo a ser usado para agrupar as descobertas que são associadas a esse insight.

   4. Selecione Apply (Aplicar).

5. Opcionalmente, escolha qualquer filtro adicional para usar nessa visão. Para cada filtro, defina o critério de filtro e escolha Aplicar.

6. Escolha Criar insight.

7. Insira um nome do Insight e, em seguida, escolha Criar insight.

Security Hub API

Para criar um insight personalizado (API)

1. Para criar uma visão personalizada, use a CreateInsightoperação do Security HubAPI. Se você usar o AWS CLI, execute o create-insightcomando.

2. Preencha o Name parâmetro com um nome para seu insight personalizado.

3. Preencha o Filters parâmetro para especificar quais descobertas devem ser incluídas no insight.

4. Preencha o GroupByAttribute parâmetro para especificar quais atributos são ousados para agrupar as descobertas incluídas no insight.

5. Opcionalmente, preencha o parâmetro SortCriteria para classificar as descobertas por um campo específico.

O exemplo a seguir cria uma visão personalizada que inclui descobertas críticas com o tipo de AwsIamRole recurso. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\)” para melhorar a legibilidade.

$ aws securityhub create-insight --name "Critical role findings" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' --group-by-attribute "ResourceId"

PowerShell

Para criar um insight personalizado (PowerShell)

1. Use o cmdlet New-SHUBInsight.

2. Preencha o Name parâmetro com um nome para seu insight personalizado.

3. Preencha o Filter parâmetro para especificar quais descobertas devem ser incluídas no insight.

4. Preencha o GroupByAttribute parâmetro para especificar quais atributos são ousados para agrupar as descobertas incluídas no insight.

Se você habilitou a agregação entre regiões e usa esse cmdlet desde a região de agregação, o insight se aplica às descobertas correspondentes da agregação e das regiões vinculadas.

Exemplo

$Filter = @{
    AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "XXX"
    }
    ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = 'FAILED'
    }
}
New-SHUBInsight -Filter $Filter -Name TestInsight -GroupByAttribute ResourceId

Modificando um insight personalizado

Você pode modificar um insight personalizado existente para alterar o valor de agrupamento e os filtros. Depois de fazer as alterações, você pode salvar as atualizações no insight original ou salvar a versão atualizada como um novo insight.

Para modificar um insight personalizado, escolha seu método preferido e siga as instruções.

Security Hub console

Para modificar um insight personalizado (console)

1. Abra o console do AWS Security Hub em https://console.aws.amazon.com/securityhub/.

2. No painel de navegação, escolha Insights.

3. Escolha o insight personalizado a ser modificado.

4. Edite a configuração do insight, se necessário.

   • Para alterar o atributo usado para agrupar descobertas no insight:

     1. Para remover o agrupamento existente, escolha o X ao lado da configuração Agrupar por.

     2. Escolha a caixa Pesquisar.

     3. Selecione o atributo a ser usado para agrupamento.

     4. Selecione Apply (Aplicar).

   • Para remover um filtro do insight, escolha o X circulado ao lado do filtro.

   • Para adicionar um filtro ao insight:

     1. Escolha a caixa Pesquisar.

     2. Selecione o atributo e o valor a serem usados como filtro.

     3. Selecione Apply (Aplicar).

5. Ao concluir as atualizações, escolha Salvar insight.

6. Quando solicitado, siga um destes procedimentos:

   • Para atualizar o insight existente para refletir suas alterações, escolha Atualizar <Insight_Name>e, em seguida, escolha Salvar insights.

   • Para criar um insight com as atualizações, escolha Salvar novo insight. Insira um Nome de insight e então escolha Salvar insight.

Security Hub API

Para modificar um insight personalizado (API)

1. Use a UpdateInsightoperação do Security HubAPI. Se você usar o update-insightcomando AWS CLI run the.

2. Para identificar o insight personalizado que você deseja atualizar, forneça o Amazon Resource Name (ARN) do insight. Para obter uma ARN visão personalizada, use a GetInsightsoperação ou o get-insightscomando.

3. Atualizar os parâmetros Name, Filters, e GroupByAttribute conforme necessário.

O exemplo a seguir atualiza o insight especificado. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\)” para melhorar a legibilidade.

$ aws securityhub update-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' --name "High severity role findings"

PowerShell

Para modificar um insight personalizado (PowerShell)

1. Use o cmdlet Update-SHUBInsight.

2. Para identificar o insight personalizado, forneça o Amazon Resource Name (ARN) do insight. Para obter uma ARN visão personalizada, use o Get-SHUBInsight cmdlet.

3. Atualizar os parâmetros Name, Filter, e GroupByAttribute conforme necessário.

Exemplo

$Filter = @{
    ResourceType = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "AwsIamRole"
    }
    SeverityLabel = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "HIGH"
    }
}

Update-SHUBInsight -InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" -Filter $Filter -Name "High severity role findings"

Criar um novo insight personalizado com base em um insight gerenciado (console)

Você não pode salvar alterações ou excluir um insight gerenciado. No entanto, você pode usar um insight gerenciado como base para um insight personalizado. Essa é uma opção somente no console do Security Hub.

Para criar uma visão personalizada a partir de uma visão gerenciada (console)

1. Abra o console do AWS Security Hub em https://console.aws.amazon.com/securityhub/.

2. No painel de navegação, escolha Insights.

3. Escolha o insight gerenciado no qual trabalhar.

4. Edite a configuração do insight, se necessário.

   • Para alterar o atributo usado para agrupar descobertas no insight:

     1. Para remover o agrupamento existente, escolha o X ao lado da configuração Agrupar por.

     2. Escolha a caixa Pesquisar.

     3. Selecione o atributo a ser usado para agrupamento.

     4. Selecione Apply (Aplicar).

   • Para remover um filtro do insight, escolha o X circulado ao lado do filtro.

   • Para adicionar um filtro ao insight:

     1. Escolha a caixa Pesquisar.

     2. Selecione o atributo e o valor a serem usados como filtro.

     3. Selecione Apply (Aplicar).

5. Quando as atualizações estiverem concluídas, escolha Criar insight.

6. Quando solicitado, insira um Nome de insight e então escolha Criar insight .

Excluindo um insight personalizado

Para excluir um insight personalizado, escolha seu método preferido e siga as instruções. Você não pode excluir um insight gerenciado.

Console

Para excluir um insight personalizado (console)

1. Abra o console do AWS Security Hub em https://console.aws.amazon.com/securityhub/.

2. No painel de navegação, escolha Insights.

3. Localize o insight personalizado a ser excluído.

4. Para esse insight, escolha o ícone de mais opções (os três pontos no canto superior direito do cartão).

5. Escolha Excluir.

Security Hub API

Para excluir um insight personalizado (API)

1. Use a DeleteInsightoperação do Security HubAPI. Se você usar o delete-insightcomando AWS CLI run the.

2. Para identificar o insight personalizado a ser excluído, forneça o insightARN. Para obter uma ARN visão personalizada, use a GetInsightsoperação ou o get-insightscomando.

O exemplo a seguir exclui o insight especificado. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\)” para melhorar a legibilidade.

$ aws securityhub delete-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

PowerShell

Para excluir um insight personalizado (PowerShell)

1. Use o cmdlet Remove-SHUBInsight.

2. Para identificar o insight personalizado, forneça o insightARN. Para obter uma ARN visão personalizada, use o Get-SHUBInsight cmdlet.

Exemplo

-InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"