Insights personalizados - Security Hub da AWS
Criação de uma visão personalizada (console)Criação de uma visão personalizada (programática)Modificar uma visão personalizada personalizada personalizada (console personalizada) personalizada personalizada (console)Modificando uma visão personalizada (programática)Criação de uma nova visão personalizada a partir de uma visão gerenciada (console)Excluindo uma visão personalizada (console)Excluindo uma visão personalizada (programática)

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Insights personalizados

Além dos insights gerenciados doAWS Security Hub, você pode criar insights personalizados no Security Hub para rastrear problemas específicos do seu ambiente. Os insights personalizados fornecem uma maneira de rastrear um subconjunto selecionado de problemas.

Aqui estão alguns exemplos de insights personalizados que podem ser úteis de configurar:

  • Se você possui uma conta de administrador, pode configurar uma visão personalizada para rastrear descobertas críticas e de alta gravidade que estão afetando as contas dos membros.

  • Se você confia em um AWSserviço integrado específico, pode configurar uma visão personalizada para rastrear as descobertas críticas e de alta gravidade desse serviço.

  • Se você confia em uma integração de terceiros, você pode configurar uma visão personalizada para rastrear descobertas críticas e de alta gravidade desse produto integrado.

Você pode criar insights personalizados completamente novos ou começar a partir de um insight personalizado ou gerenciado existente.

Cada insight é configurado com as seguintes opções.

  • Atributo de agrupamento — O atributo de agrupamento determina quais itens são exibidos na lista de resultados do insight. Por exemplo, se o atributo de agrupamento for o nome do produto, os resultados do insight exibirão o número de descobertas associadas a cada provedor de pesquisa.

  • Filtros opcionais — Os filtros restringem as descobertas correspondentes à visão.

    Ao consultar suas descobertas, o Security Hub aplica a lógica booleana AND ao conjunto de filtros. Em outras palavras, uma descoberta só será correspondente se corresponder a todos os filtros fornecidos. Por exemplo, se os filtros forem “O nome do produto é GuardDuty” e “O tipo de recurso é”AwsS3Bucket, as descobertas correspondentes devem corresponder a esses dois critérios.

    No entanto, o Security Hub aplica a lógica booleana OR a filtros que usam o mesmo atributo, mas valores diferentes. Por exemplo, se os filtros forem “O nome do produto é GuardDuty” e “O nome do produto é Amazon Inspector”, a descoberta coincide com a de ter sido gerada por um deles GuardDuty ou pelo Amazon Inspector.

Observe que, se você usar o identificador ou o tipo de recurso como atributo de agrupamento, os resultados do insight incluirão todos os recursos que estão nas descobertas correspondentes. A lista não se limita aos recursos que correspondem a um filtro de tipo de recurso. Por exemplo, um insight identifica descobertas associadas aos buckets do S3 e agrupa essas descobertas por identificador de recurso. Uma descoberta correspondente contém um recurso de bucket do S3 e um recurso de chave de acesso do IAM. Os resultados do insight incluem os dois recursos.

Criação de uma visão personalizada (console)

No console, você pode criar um insight completamente novo.

Para criar uma visão personalizada personalizada personalizada personalizada personalizada personalizada personalizada

  1. Abra o console doAWS Security Hub em https://console.aws.amazon.com/securityhub/.

  2. No painel de navegação, escolha Insights.

  3. Escolha Create insight (Criar insight).

  4. Para selecionar o atributo de agrupamento do insight:

    1. Escolha a caixa de pesquisa para exibir as opções de filtro.

    2. Escolha Group by (Agrupar por).

    3. Selecione o atributo a ser usado para agrupar as descobertas associadas a essa percepção.

    4. Escolha Apply (Aplicar).

  5. (Opcional) Escolha quaisquer filtros adicionais a serem usados para esse insight. Para cada filtro, defina os critérios do filtro e escolha Aplicar.

  6. Escolha Create insight (Criar insight).

  7. Insira um Insight name (Nome do insight) e escolha Create insight (Criar insight).

Criação de uma visão personalizada (programática)

Escolha seu método preferido e siga as etapas para criar programaticamente uma visão personalizada no Security Hub. Você pode especificar filtros para restringir a coleção de descobertas no insight a um subconjunto específico.

As guias a seguir incluem instruções em alguns idiomas para criar uma visão personalizada. Para obter suporte em outros idiomas, consulteUsando o Security Hub com umAWS SDK.

Security Hub API

  1. Execute a CreateInsightoperação.

  2. Preencha oName parâmetro com um nome para sua visão personalizada.

  3. Preencha oFilters parâmetro para especificar quais descobertas incluir no insight.

  4. Preencha oGroupByAttribute parâmetro para especificar qual atributo é usado para agrupar as descobertas incluídas no insight.

  5. Opcionalmente, preencha oSortCriteria parâmetro para classificar as descobertas por um campo específico.

Se você ativou a agregação entre regiões e chamou essa API a partir da região de agregação, a visão se aplica às descobertas correspondentes na agregação e nas regiões vinculadas.

AWS CLI

  1. Na linha de comando, execute o create-insightcomando.

  2. Preencha oname parâmetro com um nome para sua visão personalizada.

  3. Preencha ofilters parâmetro para especificar quais descobertas incluir no insight.

  4. Preencha ogroup-by-attribute parâmetro para especificar qual atributo é usado para agrupar as descobertas incluídas no insight.

Se você habilitou a agregação entre regiões e executou esse comando na região de agregação, o insight se aplica às descobertas correspondentes da agregação e das regiões vinculadas.

aws securityhub create-insight --name <insight name> --filters <filter values> --group-by-attribute <attribute name>

Exemplo

aws securityhub create-insight --name "Critical role findings" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' --group-by-attribute "ResourceId"
PowerShell

  1. Use oNew-SHUBInsight cmdlet.

  2. Preencha oName parâmetro com um nome para sua visão personalizada.

  3. Preencha oFilter parâmetro para especificar quais descobertas incluir no insight.

  4. Preencha oGroupByAttribute parâmetro para especificar qual atributo é usado para agrupar as descobertas incluídas no insight.

Se você habilitou a agregação entre regiões e usa esse cmdlet da região de agregação, a visão se aplica às descobertas correspondentes da agregação e das regiões vinculadas.

Exemplo

$Filter = @{
    AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "XXX"
    }
    ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = 'FAILED'
    }
}
New-SHUBInsight -Filter $Filter -Name TestInsight -GroupByAttribute ResourceId

Modificar uma visão personalizada personalizada personalizada (console personalizada) personalizada personalizada (console)

Você pode modificar um insight personalizado existente para alterar o valor de agrupamento e os filtros. Depois de fazer as alterações, você pode salvar as atualizações no insight original ou salvar a versão atualizada como um novo insight.

Para modificar um insight

  1. Abra o console doAWS Security Hub em https://console.aws.amazon.com/securityhub/.

  2. No painel de navegação, escolha Insights.

  3. Escolha o insight personalizado a ser modificado.

  4. Edite a configuração de insights, conforme necessário.

    • Para alterar o atributo usado para agrupar descobertas no insight:

      1. Para remover o agrupamento existente, escolha o X ao lado da configuração Grupo por.

      2. Escolha a caixa de pesquisa.

      3. Selecione o atributo a ser usado para agrupamento.

      4. Escolha Apply (Aplicar).

    • Para remover um filtro da visão, escolha o X circulado ao lado do filtro.

    • Para adicionar um filtro ao insight:

      1. Escolha a caixa de pesquisa.

      2. Selecione o atributo e o valor a serem usados como filtro.

      3. Escolha Apply (Aplicar).

  5. Ao concluir as atualizações, escolha Save insight (Salvar insight).

  6. Quando solicitado, siga um destes procedimentos:

    • Para atualizar o insight existente para refletir suas alterações, escolha Atualizar <Insight_Name>e, em seguida, escolha Salvar visão.

    • Para criar um insight com as atualizações, escolha Save new insight (Salvar novo insight). Insira um nome do Insight e escolha Salvar visão.

Modificando uma visão personalizada (programática)

Para modificar uma visão personalizada, escolha seu método preferido e siga as instruções.

Security Hub API

  1. Execute a UpdateInsightoperação.

  2. Para identificar o personalizada personalizada, forneça o nome de recurso da Amazon (ARN) do personalizada. Para obter o ARN de uma visão personalizada, execute a GetInsightsoperação.

  3. Atualize osGroupByAttribute parâmetrosNameFilters, e conforme necessário.

AWS CLI

  1. Na linha de comando, execute o update-insightcomando.

  2. Para identificar o personalizada personalizada, forneça o nome de recurso da Amazon (ARN) do personalizada. Para obter o ARN de um insight personalizado, execute o get-insightscomando.

  3. Atualize osgroup-by-attribute parâmetrosnamefilters, e conforme necessário.

aws securityhub update-insight --insight-arn <insight ARN> [--name <new name>] [--filters <new filters>] [--group-by-attribute <new grouping attribute>]

Exemplo

aws securityhub update-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' --name "High severity role findings"
PowerShell

  1. Use oUpdate-SHUBInsight cmdlet.

  2. Para identificar o personalizada personalizada, forneça o nome de recurso da Amazon (ARN) do personalizada. Para obter o ARN de um insight personalizado, use oGet-SHUBInsight cmdlet.

  3. Atualize osGroupByAttribute parâmetrosNameFilter, e conforme necessário.

Exemplo

$Filter = @{
    ResourceType = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "AwsIamRole"
    }
    SeverityLabel = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "HIGH"
    }
}

Update-SHUBInsight -InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" -Filter $Filter -Name "High severity role findings"

Criação de uma nova visão personalizada a partir de uma visão gerenciada (console)

Você não pode salvar alterações ou excluir um insight gerenciado. Você pode usar um insight gerenciado como base para um novo insight personalizado.

Como criar um insight personalizado com base em um insight gerenciado

  1. Abra o console doAWS Security Hub em https://console.aws.amazon.com/securityhub/.

  2. No painel de navegação, escolha Insights.

  3. Escolha o insight gerenciado no qual trabalhar.

  4. Edite a configuração de insights, conforme necessário.

    • Para alterar o atributo usado para agrupar descobertas no insight:

      1. Para remover o agrupamento existente, escolha o X ao lado da configuração Grupo por.

      2. Escolha a caixa de pesquisa.

      3. Selecione o atributo a ser usado para agrupamento.

      4. Escolha Apply (Aplicar).

    • Para remover um filtro da visão, escolha o X circulado ao lado do filtro.

    • Para adicionar um filtro ao insight:

      1. Escolha a caixa de pesquisa.

      2. Selecione o atributo e o valor a serem usados como filtro.

      3. Escolha Apply (Aplicar).

  5. Quando as atualizações estiverem concluídas, escolha Create insight (Criar insight).

  6. Quando solicitado, insira um nome do Insight e escolha Criar visão.

Excluindo uma visão personalizada (console)

Quando você não quiser mais um insight personalizado, poderá excluí-lo. Você não pode excluir insights gerenciados.

Para excluir um insight personalizado

  1. Abra o console doAWS Security Hub em https://console.aws.amazon.com/securityhub/.

  2. No painel de navegação, escolha Insights.

  3. Localize o insight personalizado a ser excluído.

  4. Para obter essa visão, escolha o ícone de mais opções (os três pontos no canto superior direito do cartão).

  5. Escolha Delete (Excluir).

Excluindo uma visão personalizada (programática)

Para excluir uma visão personalizada, escolha seu método preferido e siga as instruções.

Security Hub API

  1. Execute a DeleteInsightoperação.

  2. Para identificar o insight personalizado a ser excluído, forneça o ARN do insight. Para obter o ARN de uma visão personalizada, execute a GetInsightsoperação.

AWS CLI

  1. Na linha de comando, execute o delete-insightcomando.

  2. Para identificar o insight personalizado, forneça o ARN do insight. Para obter o ARN de um insight personalizado, execute o get-insightscomando.

aws securityhub delete-insight --insight-arn <insight ARN>

Exemplo

aws securityhub delete-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
PowerShell

  1. Use oRemove-SHUBInsight cmdlet.

  2. Para identificar o insight personalizado, forneça o ARN do insight. Para obter o ARN de um insight personalizado, use oGet-SHUBInsight cmdlet.

Exemplo

-InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"