Compreender insights personalizados no Security Hub - AWS Security Hub

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Compreender insights personalizados no Security Hub

Além dos insights gerenciados do AWS Security Hub, você pode criar insights personalizados no Security Hub para rastrear problemas específicos do seu ambiente. Os insights personalizados ajudam a rastrear um subconjunto selecionado de problemas.

Aqui estão alguns exemplos de insights personalizados que podem ser úteis configurar:

  • Se você tiver uma conta de administrador, pode configurar uma visão personalizada para rastrear descobertas críticas e de alta gravidade que estão afetando as contas dos membros.

  • Se você confia em um AWS serviço integrado específico, pode configurar uma visão personalizada para rastrear descobertas críticas e de alta gravidade desse serviço.

  • Se você depende de uma integração de terceiros, pode configurar um insight personalizado para rastrear descobertas críticas e de alta gravidade desse produto integrado.

Você pode criar insights personalizados completamente novos ou começar a partir de um insight personalizado ou gerenciado existente.

Cada insight pode ser configurado com as seguintes opções:

  • Atributo de agrupamento: o atributo de agrupamento determina os itens que são exibidos na lista de resultados do insight. Por exemplo, se o atributo de agrupamento for Nome do produto, os resultados de insights exibirão o número de descobertas associadas a cada provedor de descobertas.

  • Filtros opcionais: os filtros opcionais reduzem as descobertas correspondentes para o insight.

    Uma descoberta será incluída nos resultados do insight somente se corresponder a todos os filtros fornecidos. Por exemplo, se os filtros forem “Nome do produto é GuardDuty” e “Tipo de recurso é AwsS3Bucket “, as descobertas correspondentes devem corresponder a esses dois critérios.

    Porém, o Security Hub aplica a lógica booliana OR aos filtros que usam o mesmo atributo, mas valores diferentes. Por exemplo, se os filtros forem “Nome do produto é GuardDuty” e “Nome do produto é Amazon Inspector”, uma descoberta corresponderá se foi gerada pela Amazon GuardDuty ou pelo Amazon Inspector.

Se você usar o identificador ou o tipo de recurso como atributo de agrupamento, os resultados do insight incluirão todos os recursos que estiverem nas descobertas correspondentes. A lista não está limitada aos recursos que correspondem a um filtro de tipo de recurso. Por exemplo, um insight identifica as descobertas associadas aos buckets do S3 e agrupa essas descobertas por identificador de recurso. Uma descoberta correspondente contém um recurso de bucket do S3 e um recurso de chave de IAM acesso. Os resultados do insight incluem ambos os recursos.

Se você habilitou a agregação entre regiões e depois criou om insight personalizado, o insight se aplicará às descobertas correspondentes na região de agregação e nas regiões vinculadas. A exceção é se o insight incluir um filtro de região.