Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Afficher des informations dans Security Hub CSPM
<a name="securityhub-insights"></a>

Dans AWS Security Hub CSPM, un *aperçu* est un ensemble de résultats connexes. Un aperçu peut identifier une zone de sécurité spécifique qui nécessite une attention et une intervention. Par exemple, un aperçu peut mettre en évidence EC2 des cas faisant l'objet de résultats permettant de détecter de mauvaises pratiques de sécurité. Un aperçu rassemble les résultats de l'ensemble des fournisseurs de résultats.

Chaque aperçu est défini par une instruction Group by (Regrouper par) et par des filtres facultatifs. L'instruction Group by (Regrouper par) indique comment regrouper les résultats qui coïncident et identifie le type d'élément auquel l'aperçu s'applique. Par exemple, si un aperçu est regroupé par identificateur de ressource, l'aperçu génère une liste d'identificateurs de ressource. Les filtres facultatifs identifient les résultats correspondants à l'aperçu. Par exemple, vous souhaiterez peut-être consulter uniquement les résultats provenant de fournisseurs spécifiques ou les résultats associés à des types de ressources spécifiques.

Security Hub CSPM propose plusieurs informations gérées intégrées. Vous ne pouvez pas modifier ou supprimer les informations gérées. Pour suivre les problèmes de sécurité propres à votre AWS environnement et à votre utilisation, vous pouvez créer des informations personnalisées.

La page **Insights** de la console AWS Security Hub CSPM affiche la liste des informations disponibles.

Par défaut, la liste affiche à la fois des informations gérées et personnalisées. Pour filtrer la liste d'informations en fonction du type d'aperçu, choisissez le type d'aperçu dans le menu déroulant situé à côté du champ de filtre.
+ Pour afficher toutes les informations disponibles, sélectionnez **Toutes les informations**. Il s’agit de l’option par défaut.
+ Pour afficher uniquement les informations gérées, choisissez **Security Hub CSPM managed** insights.
+ Pour afficher uniquement les informations personnalisées, sélectionnez **Informations personnalisées**.

Vous pouvez également filtrer la liste des aperçus en fonction du nom de l'aperçu. Pour ce faire, dans le champ de filtre, saisissez le texte à utiliser pour filtrer la liste. Le filtre ne fait pas la distinction majuscules/minuscules. Le filtre recherche les aperçus dont le texte se trouve n'importe où dans le nom de l'aperçu.

Un aperçu ne renvoie de résultats que si vous avez activé des intégrations ou des normes qui produisent des résultats correspondants. Par exemple, l'information gérée **29. Les meilleures ressources en fonction du nombre d'échecs des contrôles CIS** ne donnent de résultats que si vous activez une version de la norme de référence du Center for Internet Security (CIS) AWS Foundations.

# Examen et prise en compte des informations contenues dans Security Hub CSPM
<a name="securityhub-insights-view-take-action"></a>

Pour chaque information, AWS Security Hub CSPM détermine d'abord les résultats correspondant aux critères du filtre, puis utilise l'attribut de regroupement pour regrouper les résultats correspondants.

Sur la page **Insights** de la console, vous pouvez consulter les résultats et les conclusions et agir en conséquence.

Si vous activez l'agrégation entre régions, les résultats des informations gérées (lorsque vous êtes connecté à la région d'agrégation) incluent les résultats de la région d'agrégation et des régions associées. Les résultats des aperçus personnalisés, s'ils ne sont pas filtrés par région, incluent également les résultats de la région d'agrégation et des régions associées (lorsque vous êtes connecté à la région d'agrégation). Dans d'autres régions, les résultats d'analyse ne concernent que cette région.

Pour plus d'informations sur la configuration de l'agrégation entre régions, consultez[Comprendre l'agrégation entre régions dans Security Hub CSPM](finding-aggregation.md).

## Afficher les résultats des analyses et prendre des mesures en fonction de ces informations
<a name="securityhub-insight-results-console"></a>

Les résultats de l'aperçu consistent en une liste regroupée des résultats de l'aperçu. Par exemple, si les informations sont regroupées par identificateurs de ressources, les résultats d'analyse sont la liste des identifiants de ressources. Chaque élément de la liste des résultats indique le nombre de résultats correspondants pour cet élément.

Si les résultats sont regroupés par identifiant de ressource ou par type de ressource, les résultats incluent toutes les ressources des résultats correspondants. Cela inclut les ressources dont le type est différent de celui spécifié dans les critères de filtre. Par exemple, un aperçu identifie les résultats associés aux compartiments S3. Si un résultat correspondant contient à la fois une ressource de compartiment S3 et une ressource de clé d'accès IAM, les résultats d'analyse incluent les deux ressources.

Sur la console Security Hub CSPM, la liste des résultats est triée du plus grand nombre de résultats correspondants au plus faible. Security Hub CSPM ne peut afficher que 100 résultats. S'il existe plus de 100 valeurs de regroupement, seules les 100 premières s'affichent.

En plus de la liste des résultats, les résultats d'analyse affichent un ensemble de graphiques résumant le nombre de résultats correspondants pour les attributs suivants.
+ **Étiquette de gravité** — Nombre de résultats pour chaque étiquette de gravité
+ **Compte AWS ID** — Les cinq meilleurs comptes IDs pour les résultats correspondants
+ **Type de ressource** : les cinq principaux types de ressources pour les résultats correspondants
+ **ID de ressource** — Les cinq meilleures ressources IDs pour les résultats correspondants
+ **Nom du produit** - Les cinq meilleurs fournisseurs pour les résultats correspondants

Si vous avez configuré des actions personnalisées, vous pouvez envoyer les résultats sélectionnés à une action personnalisée. L'action doit être associée à une CloudWatch règle Amazon pour le type `Security Hub Insight Results` d'événement. Pour de plus amples informations, veuillez consulter [Utilisation EventBridge pour une réponse et une correction automatisées](securityhub-cloudwatch-events.md). Si vous n'avez pas configuré d'actions personnalisées, le menu **Actions** est désactivé.

------
#### [ Security Hub CSPM console ]

**Pour consulter les résultats des analyses et prendre des mesures en conséquence (console)**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Dans le panneau de navigation, choisissez **Insights**.

1. Pour afficher la liste des résultats de l'aperçu, choisissez le nom de l'aperçu.

1. Activez la case à cocher pour chaque résultat à envoyer à l'action personnalisée.

1. Dans le menu **Actions** choisissez l'action personnalisée.

------
#### [ Security Hub CSPM API, AWS CLI ]

**Pour consulter les résultats d'analyse et prendre des mesures en conséquence (API, AWS CLI)**

Pour afficher les résultats d'analyse, utilisez le [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetInsightResults.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetInsightResults.html)fonctionnement de l'API Security Hub CSPM. Si vous utilisez le AWS CLI, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html)commande.

Pour identifier les informations pour lesquelles vous devez renvoyer des résultats, vous avez besoin de l'Insight ARN. Pour obtenir des informations ARNs personnalisées, utilisez l'opération [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html)d'API ou la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html)commande.

L'exemple suivant récupère les résultats pour l'aperçu spécifié. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.

```
$ aws securityhub get-insight-results --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

Pour plus d'informations sur la création d'actions personnalisées par programmation, consultez. [Utilisation d'actions personnalisées pour envoyer des résultats et des informations sur les résultats à EventBridge](securityhub-cwe-custom-actions.md)

------

## Affichage et prise de mesures en fonction des résultats d'Insight (console)
<a name="securityhub-insight-findings-console"></a>

À partir de la liste des résultats d'analyse de la console Security Hub CSPM, vous pouvez afficher la liste des résultats pour chaque résultat.

**Pour afficher les résultats des analyses et prendre des mesures en conséquence (console)**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Dans le panneau de navigation, choisissez **Insights**.

1. Pour afficher la liste des résultats de l'aperçu, choisissez le nom de l'aperçu.

1. Pour afficher la liste des résultats d'une analyse, choisissez l'élément dans la liste des résultats. La liste des conclusions montre les conclusions actives du résultat d'analyse sélectionné dont l’état de flux de travail est `NEW` ou `NOTIFIED`.

Dans la liste des résultats, vous pouvez effectuer les actions suivantes :
+ [Filtrer les résultats dans Security Hub CSPM](securityhub-findings-manage.md)
+ [Révision des détails des recherches et de l'historique](securityhub-findings-viewing.md#finding-view-details-console)
+ [Configuration de l'état des résultats du flux de travail dans Security Hub CSPM](findings-workflow-status.md)
+ [Envoi des résultats à une action Security Hub CSPM personnalisée](findings-custom-action.md)

# Informations gérées dans Security Hub CSPM
<a name="securityhub-managed-insights"></a>

AWS Security Hub CSPM fournit plusieurs informations gérées.

Vous ne pouvez pas modifier ou supprimer les informations gérées par Security Hub CSPM. Vous pouvez [consulter les résultats de l'aperçu](securityhub-insights-view-take-action.md). Vous pouvez également [utiliser un aperçu géré comme base pour un nouvel aperçu personnalisé](securityhub-custom-insight-create-api.md#securityhub-custom-insight-frrom-managed).

Comme pour tous les résultats, un aperçu ne renvoie des résultats que si vous avez activé les intégrations de produits ou les normes de sécurité qui génèrent des résultats correspondants.

Pour les informations regroupées par identifiant de ressource, les résultats incluent les identifiants de toutes les ressources dans les résultats correspondants. Cela inclut les ressources dont le type est différent de celui indiqué dans les critères de filtre. Par exemple, l'aperçu 2 de la liste suivante identifie les résultats associés aux compartiments Amazon S3. Si un résultat correspondant contient à la fois une ressource de compartiment S3 et une ressource de clé d'accès IAM, les résultats d'analyse incluent les deux ressources.

Security Hub CSPM propose actuellement les informations gérées suivantes :

**1. AWS ressources contenant le plus de résultats**  
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/1`  
**Regroupés par :** identifiant de ressource  
**Recherche de filtres :**  
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`

**2. Compartiments S3 avec des autorisations de lecture et d'écriture publique**  
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/10`  
**Regroupés par :** identifiant de ressource  
**Recherche de filtres :**  
+ Le type commence par `Effects/Data Exposure`
+ Le type de ressource est `AwsS3Bucket`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`

**3. AMIs qui génèrent le plus de résultats**  
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/3`  
**Regroupé par :** ID de l'image de l' EC2 instance  
**Recherche de filtres :**  
+ Le type de ressource est `AwsEc2Instance`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`

**4. EC2 instances impliquées dans des tactiques, techniques et procédures connues (TTPs)**  
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/14`  
**Regroupés par :** ID de ressource  
**Recherche de filtres :**  
+ Le type commence par `TTPs`
+ Le type de ressource est `AwsEc2Instance`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`

**5. AWS directeurs dont l'activité liée aux clés d'accès est suspecte**  
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/9`  
**Regroupés par : nom** principal de la clé d'accès IAM  
**Recherche de filtres :**  
+ Le type de ressource est `AwsIamAccessKey`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`

**6. AWS instances de ressources qui ne répondent pas aux normes de sécurité/meilleures pratiques**  
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/6`  
**Regroupés par :** ID de ressource  
**Recherche de filtres :**  
+ Le type est `Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`

**7. AWS ressources associées à une éventuelle exfiltration de données**  
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/7`  
**Regroupés par :** ID de ressource  
**Recherche de filtres :**  
+ Le type commence par Effects/Data Exfiltration/
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`

**8. AWS ressources associées à une consommation non autorisée de ressources**  
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/8`  
**Regroupés par :** ID de ressource  
**Recherche de filtres :**  
+ Le type commence par `Effects/Resource Consumption`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`

**9. Compartiments S3 qui ne respectent pas les normes de sécurité ou les bonnes pratiques**  
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/11`  
**Regroupés par :** ID de ressource  
**Recherche de filtres :**  
+ Le type de ressource est `AwsS3Bucket`
+ Le type est `Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`

**10. Compartiments S3 avec des données sensibles**  
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/12`  
**Regroupés par :** ID de ressource  
**Recherche de filtres :**  
+ Le type de ressource est `AwsS3Bucket`
+ Le type commence par `Sensitive Data Identifications/`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`

**11. Informations d'identification susceptibles d'avoir fui**  
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/13`  
**Regroupés par :** ID de ressource  
**Recherche de filtres :**  
+ Le type commence par `Sensitive Data Identifications/Passwords/`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`

**12. EC2 instances dans lesquelles des correctifs de sécurité sont manquants pour des vulnérabilités importantes**  
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/16`  
**Regroupés par :** ID de ressource  
**Recherche de filtres :**  
+ Le type commence par `Software and Configuration Checks/Vulnerabilities/CVE`
+ Le type de ressource est `AwsEc2Instance`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`

**13. EC2 instances présentant un comportement général inhabituel**  
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/17`  
**Regroupés par :** ID de ressource  
**Recherche de filtres :**  
+ Le type commence par `Unusual Behaviors`
+ Le type de ressource est `AwsEc2Instance`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`

**14. EC2 instances dont les ports sont accessibles depuis Internet**  
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/18`  
**Regroupés par :** ID de ressource  
**Recherche de filtres :**  
+ Le type commence par `Software and Configuration Checks/AWS Security Best Practices/Network Reachability`
+ Le type de ressource est `AwsEc2Instance`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`

**15. EC2 instances qui ne répondent pas aux normes de sécurité/aux meilleures pratiques**  
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/19`  
**Regroupés par :** ID de ressource  
**Recherche de filtres :**  
+ Le type commence par l'un des éléments suivants :
  + `Software and Configuration Checks/Industry and Regulatory Standards/`
  + `Software and Configuration Checks/AWS Security Best Practices`
+ Le type de ressource est `AwsEc2Instance`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`

**16. EC2 instances ouvertes sur Internet**  
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/21`  
**Regroupés par :** ID de ressource  
**Recherche de filtres :**  
+ Le type commence par `Software and Configuration Checks/AWS Security Best Practices/Network Reachability`
+ Le type de ressource est `AwsEc2Instance`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`

**17. EC2 instances associées à la reconnaissance de l'adversaire**  
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/22`  
**Regroupés par :** ID de ressource  
**Recherche de filtres :**  
+ Le type commence par TTPs /Discovery/Recon
+ Le type de ressource est `AwsEc2Instance`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`

**18. AWS ressources associées à des logiciels malveillants**  
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/23`  
**Regroupés par :** ID de ressource  
**Recherche de filtres :**  
+ Le type commence par l'un des éléments suivants :
  + `Effects/Data Exfiltration/Trojan`
  + `TTPs/Initial Access/Trojan`
  + `TTPs/Command and Control/Backdoor`
  + `TTPs/Command and Control/Trojan`
  + `Software and Configuration Checks/Backdoor`
  + `Unusual Behaviors/VM/Backdoor`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`

**19. AWS ressources associées aux problèmes de cryptomonnaie**  
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/24`  
**Regroupés par :** ID de ressource  
**Recherche de filtres :**  
+ Le type commence par l'un des éléments suivants :
  + `Effects/Resource Consumption/Cryptocurrency`
  + `TTPs/Command and Control/CryptoCurrency`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`

**20. AWS ressources ayant fait l'objet de tentatives d'accès non autorisées**  
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/25`  
**Regroupés par :** ID de ressource  
**Recherche de filtres :**  
+ Le type commence par l'un des éléments suivants :
  + `TTPs/Command and Control/UnauthorizedAccess`
  + `TTPs/Initial Access/UnauthorizedAccess`
  + `Effects/Data Exfiltration/UnauthorizedAccess`
  + `Unusual Behaviors/User/UnauthorizedAccess`
  + `Effects/Resource Consumption/UnauthorizedAccess`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`

**21. Indicateurs intel de menace avec le plus d'occurrences au cours de la dernière semaine**  
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/26`  
**Recherche de filtres :**  
+ Créé au cours des 7 derniers jours

**22. Principaux comptes par nombre de conclusions**  
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/27`  
**Regroupés par :** Compte AWS ID  
**Recherche de filtres :**  
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`

**23. Principaux produits par nombre de conclusions**  
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/28`  
**Regroupés par :** Nom du produit  
**Recherche de filtres :**  
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`

**24. Gravité par nombre de conclusions**  
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/29`  
**Regroupés par :** étiquette de gravité  
**Recherche de filtres :**  
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`

**25. Principaux compartiments S3 par nombre de conclusions**  
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/30`  
**Regroupés par :** ID de ressource  
**Recherche de filtres :**  
+ Le type de ressource est `AwsS3Bucket`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`

**26. Principales EC2 instances en termes de nombre de résultats**  
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/31`  
**Regroupés par :** ID de ressource  
**Recherche de filtres :**  
+ Le type de ressource est `AwsEc2Instance`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`

**27. Top AMIs en fonction du nombre de résultats**  
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/32`  
**Regroupé par :** ID de l'image de l' EC2 instance  
**Recherche de filtres :**  
+ Le type de ressource est `AwsEc2Instance`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`

**28. Principaux utilisateurs IAM par nombre de conclusions**  
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/33`  
**Regroupés par :** ID de clé d'accès IAM  
**Recherche de filtres :**  
+ Le type de ressource est `AwsIamAccessKey`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`

**29. Principales ressources par nombre de vérifications CIS ayant échoué**  
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/34`  
**Regroupés par :** ID de ressource  
**Recherche de filtres :**  
+ L'ID du générateur commence par `arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule`
+ Mise à jour le dernier jour
+ Le statut de conformité est `FAILED`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`

**30. Principales intégrations par nombre de conclusions**  
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/35`  
**Regroupés par :** ARN du produit  
**Recherche de filtres :**  
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`

**31. Ressources avec les contrôles de sécurité ayant le plus échoué**  
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/36`  
**Regroupés par :** ID de ressource  
**Recherche de filtres :**  
+ Mise à jour le dernier jour
+ Le statut de conformité est `FAILED`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`

**32. Utilisateurs IAM présentant une activité suspecte**  
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/37`  
**Regroupés par :** utilisateur IAM  
**Recherche de filtres :**  
+ Le type de ressource est `AwsIamUser`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`

**33. Ressources contenant le plus de AWS Health résultats**  
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/38`  
**Regroupés par :** ID de ressource  
**Recherche de filtres :**  
+ `ProductName`est égal `Health`

**34. Ressources contenant le plus de AWS Config résultats**  
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/39`  
**Regroupés par :** ID de ressource  
**Recherche de filtres :**  
+ `ProductName`est égal `Config`

**35. Applications ayant obtenu le plus de résultats**  
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/40`  
**Regroupés par :** ResourceApplicationArn  
**Recherche de filtres :**  
+ `RecordState`est égal `ACTIVE`
+ `Workflow.Status`est égal à `NEW` ou `NOTIFIED`

# Comprendre les informations personnalisées dans Security Hub CSPM
<a name="securityhub-custom-insights"></a>

Outre les informations gérées par AWS Security Hub CSPM, vous pouvez créer des informations personnalisées dans Security Hub CSPM pour suivre les problèmes spécifiques à votre environnement. Des informations personnalisées vous aident à suivre un sous-ensemble de problèmes sélectionnés.

Voici quelques exemples d'informations personnalisées qu'il peut être utile de configurer :
+ Si vous possédez un compte administrateur, vous pouvez configurer un aperçu personnalisé pour suivre les résultats critiques et très graves qui affectent les comptes des membres.
+ Si vous vous fiez à un [AWS service intégré](securityhub-internal-providers.md) spécifique, vous pouvez configurer un aperçu personnalisé pour suivre les résultats critiques et très graves de ce service.
+ Si vous comptez sur une [intégration tierce](securityhub-partner-providers.md), vous pouvez configurer un aperçu personnalisé pour suivre les résultats critiques et très graves liés à ce produit intégré.

Vous pouvez créer des aperçus personnalisés à partir de zéro ou modifier des aperçus personnalisés ou gérés existants.

Chaque aperçu peut être configuré avec les options suivantes :
+ **Attribut** de regroupement : l'attribut de regroupement détermine quels éléments sont affichés dans la liste des résultats d'analyse. Par exemple, si l'attribut de regroupement est **Nom du produit**, les résultats d'analyse indiquent le nombre de résultats associés à chaque fournisseur de recherche.
+ **Filtres facultatifs** : les filtres affinent les résultats correspondants à l'aperçu.

  Un résultat n'est inclus dans les résultats d'analyse que s'il correspond à tous les filtres fournis. Par exemple, si les filtres sont « Le nom du produit est GuardDuty » et « Type de ressource est `AwsS3Bucket` », les résultats correspondants doivent correspondre à ces deux critères.

  Cependant, Security Hub CSPM applique une logique booléenne OR aux filtres qui utilisent le même attribut mais des valeurs différentes. Par exemple, si les filtres sont « Le nom du produit est GuardDuty » et « Le nom du produit est Amazon Inspector », le résultat correspond s'il a été généré par Amazon GuardDuty ou Amazon Inspector.

Si vous utilisez l'identifiant ou le type de ressource comme attribut de regroupement, les résultats d'aperçu incluent toutes les ressources figurant dans les résultats correspondants. La liste n'est pas limitée aux ressources qui correspondent à un filtre de type de ressource. Par exemple, un aperçu identifie les résultats associés aux compartiments S3 et regroupe ces résultats par identifiant de ressource. Un résultat correspondant contient à la fois une ressource de compartiment S3 et une ressource de clé d'accès IAM. Les résultats d'analyse incluent les deux ressources.

Si vous activez [l'agrégation entre régions](finding-aggregation.md), puis que vous créez un aperçu personnalisé, celui-ci s'applique aux résultats correspondants dans la région d'agrégation et dans les régions liées. L'exception est si votre aperçu inclut un filtre de région.

# Création d'un aperçu personnalisé
<a name="securityhub-custom-insight-create-api"></a>

Dans AWS Security Hub CSPM, des informations personnalisées peuvent être utilisées pour collecter un ensemble spécifique de résultats et suivre les problèmes propres à votre environnement. Pour obtenir des informations générales sur les informations personnalisées, consultez[Comprendre les informations personnalisées dans Security Hub CSPM](securityhub-custom-insights.md).

Choisissez votre méthode préférée et suivez les étapes pour créer un aperçu personnalisé dans Security Hub CSPM

------
#### [ Security Hub CSPM console ]

**Pour créer un aperçu personnalisé (console)**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Dans le panneau de navigation, choisissez **Insights**.

1. Choisissez **Create insight (Créer une information)**.

1. Pour sélectionner l'attribut de regroupement pour l'aperçu :

   1. Choisissez le champ de recherche pour afficher les options de filtre.

   1. Choisissez **Group by (Regrouper par)**.

   1. Sélectionnez l'attribut à utiliser pour regrouper les résultats associés à cet aperçu.

   1. Cliquez sur **Appliquer**.

1. Vous pouvez éventuellement choisir des filtres supplémentaires à utiliser pour ces informations. Pour chaque filtre, définissez les critères du filtre, puis choisissez **Appliquer**.

1. Choisissez **Create insight (Créer une information)**.

1. Entrez un **nom d'aperçu**, puis choisissez **Créer un aperçu**.

------
#### [ Security Hub CSPM API ]

**Pour créer un aperçu personnalisé (API)**

1. Pour créer un aperçu personnalisé, utilisez le [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateInsight.html)fonctionnement de l'API Security Hub CSPM. Si vous utilisez le AWS CLI, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-insight.html)commande.

1. Renseignez le `Name` paramètre avec un nom pour votre aperçu personnalisé.

1. Renseignez le `Filters` paramètre pour spécifier les résultats à inclure dans l'aperçu.

1. Renseignez le `GroupByAttribute` paramètre pour spécifier quel attribut est utilisé pour regrouper les résultats inclus dans l'aperçu.

1. Vous pouvez éventuellement renseigner le `SortCriteria` paramètre pour trier les résultats selon un champ spécifique.

L'exemple suivant crée un aperçu personnalisé qui inclut les résultats critiques associés au type de `AwsIamRole` ressource. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.

```
$ aws securityhub create-insight --name "Critical role findings" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' --group-by-attribute "ResourceId"
```

------
#### [ PowerShell ]

**Pour créer un aperçu personnalisé (PowerShell)**

1. Utilisez l’applet de commande `New-SHUBInsight`.

1. Renseignez le `Name` paramètre avec un nom pour votre aperçu personnalisé.

1. Renseignez le `Filter` paramètre pour spécifier les résultats à inclure dans l'aperçu.

1. Renseignez le `GroupByAttribute` paramètre pour spécifier quel attribut est utilisé pour regrouper les résultats inclus dans l'aperçu.

Si vous avez activé [l'agrégation entre régions](finding-aggregation.md) et que vous utilisez cette applet de commande depuis la région d'agrégation, les informations s'appliquent à la mise en correspondance des résultats de l'agrégation et des régions liées.

**Exemple**

```
$Filter = @{
    AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "XXX"
    }
    ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = 'FAILED'
    }
}
New-SHUBInsight -Filter $Filter -Name TestInsight -GroupByAttribute ResourceId
```

------

## Création d'un aperçu personnalisé à partir d'un aperçu géré (console uniquement)
<a name="securityhub-custom-insight-frrom-managed"></a>

Vous ne pouvez pas enregistrer les modifications apportées à un aperçu géré ou le supprimer. Cependant, vous pouvez utiliser un aperçu géré comme base pour un aperçu personnalisé. Il s'agit d'une option disponible uniquement sur la console Security Hub CSPM.

**Pour créer un aperçu personnalisé à partir d'un aperçu géré (console)**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Dans le panneau de navigation, choisissez **Insights**.

1. Choisissez l'aperçu géré à partir duquel vous souhaitez travailler.

1. Modifiez la configuration d'Insight selon vos besoins.
   + Pour modifier l'attribut utilisé pour regrouper les résultats dans l'aperçu :

     1. Pour supprimer le regroupement existant, choisissez le **X** à côté du paramètre **Groupe par** paramètre.

     1. Cliquez sur la barre de recherche.

     1. Sélectionnez l'attribut à utiliser pour le regroupement.

     1. Cliquez sur **Appliquer**.
   + Pour supprimer un filtre de l'aperçu, choisissez le **X** encerclé à côté du filtre.
   + Pour ajouter un filtre à l'aperçu :

     1. Cliquez sur la barre de recherche.

     1. Sélectionnez l'attribut et la valeur à utiliser comme filtre.

     1. Cliquez sur **Appliquer**.

1. Lorsque vos mises à jour sont terminées, choisissez **Create insight (Créer un aperçu)**.

1. Lorsque vous y êtes invité, entrez un **nom d'aperçu**, puis choisissez **Créer un aperçu**.

# Modification d'un aperçu personnalisé
<a name="securityhub-custom-insight-modify-console"></a>

Vous pouvez modifier un aperçu personnalisé existant pour modifier la valeur de regroupement et les filtres. Après avoir apporté les modifications, vous pouvez enregistrer les mises à jour de l'aperçu d'origine ou enregistrer la version mise à jour en tant que nouvel aperçu.

Dans AWS Security Hub CSPM, des informations personnalisées peuvent être utilisées pour collecter un ensemble spécifique de résultats et suivre les problèmes propres à votre environnement. Pour obtenir des informations générales sur les informations personnalisées, consultez[Comprendre les informations personnalisées dans Security Hub CSPM](securityhub-custom-insights.md).

Pour modifier un aperçu personnalisé, choisissez votre méthode préférée et suivez les instructions.

------
#### [ Security Hub CSPM console ]

**Pour modifier un aperçu personnalisé (console)**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Dans le panneau de navigation, choisissez **Insights**.

1. Choisissez l'aperçu personnalisé à modifier.

1. Modifiez la configuration d'Insight selon vos besoins.
   + Pour modifier l'attribut utilisé pour regrouper les résultats dans l'aperçu :

     1. Pour supprimer le regroupement existant, choisissez le **X** à côté du paramètre **Groupe par** paramètre.

     1. Cliquez sur la barre de recherche.

     1. Sélectionnez l'attribut à utiliser pour le regroupement.

     1. Cliquez sur **Appliquer**.
   + Pour supprimer un filtre de l'aperçu, choisissez le **X** encerclé à côté du filtre.
   + Pour ajouter un filtre à l'aperçu :

     1. Cliquez sur la barre de recherche.

     1. Sélectionnez l'attribut et la valeur à utiliser comme filtre.

     1. Cliquez sur **Appliquer**.

1. Lorsque vous avez terminé les mises à jour, choisissez **Save insight (Enregistrer l'aperçu)**.

1. Lorsque vous y êtes invité, effectuez l'une des opérations suivantes :
   + Pour mettre à jour les informations existantes afin de refléter vos modifications, choisissez **Mettre à jour**, *<Insight\$1Name>* puis **Enregistrer les informations**.
   + Pour créer un aperçu avec les mises à jour, choisissez **Save new insight (Enregistrer un nouvel aperçu)**. Renseignez le champ **Insight name (Nom de l'aperçu)**, puis choisissez **Save insight (Enregistrer l'aperçu)**.

------
#### [ Security Hub CSPM API ]

**Pour modifier un aperçu personnalisé (API)**

1. Utilisez le [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateInsight.html)fonctionnement de l'API Security Hub CSPM. Si vous utilisez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-insight.html)commande AWS CLI Exécuter.

1. Pour identifier l'aperçu personnalisé que vous souhaitez mettre à jour, indiquez le nom de ressource Amazon (ARN) de l'aperçu. Pour obtenir l'ARN d'un aperçu personnalisé, utilisez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html)opération ou la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html)commande.

1. Mettez à jour les `GroupByAttribute` paramètres `Name``Filters`, et selon vos besoins.

L'exemple suivant met à jour l'aperçu spécifié. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.

```
$ aws securityhub update-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' --name "High severity role findings"
```

------
#### [ PowerShell ]

**Pour modifier un aperçu personnalisé (PowerShell)**

1. Utilisez l’applet de commande `Update-SHUBInsight`.

1. Pour identifier l'aperçu personnalisé, fournissez le nom de ressource Amazon (ARN) de l'aperçu. Pour obtenir l'ARN d'un aperçu personnalisé, utilisez l'`Get-SHUBInsight`applet de commande.

1. Mettez à jour les `GroupByAttribute` paramètres `Name``Filter`, et selon vos besoins.

**Exemple**

```
$Filter = @{
    ResourceType = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "AwsIamRole"
    }
    SeverityLabel = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "HIGH"
    }
}

Update-SHUBInsight -InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" -Filter $Filter -Name "High severity role findings"
```

------

# Supprimer un aperçu personnalisé
<a name="securityhub-custom-insight-delete-console"></a>

Dans AWS Security Hub CSPM, des informations personnalisées peuvent être utilisées pour collecter un ensemble spécifique de résultats et suivre les problèmes propres à votre environnement. Pour obtenir des informations générales sur les informations personnalisées, consultez[Comprendre les informations personnalisées dans Security Hub CSPM](securityhub-custom-insights.md).

Pour supprimer un aperçu personnalisé, choisissez votre méthode préférée et suivez les instructions. Vous ne pouvez pas supprimer un aperçu géré.

------
#### [ Security Hub CSPM console ]

**Pour supprimer un aperçu personnalisé (console)**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Dans le panneau de navigation, choisissez **Insights**.

1. Recherchez l'aperçu personnalisé à supprimer.

1. Pour en savoir plus, cliquez sur l'icône Plus d'options (les trois points dans le coin supérieur droit de la carte).

1. Sélectionnez **Delete (Supprimer)**.

------
#### [ Security Hub CSPM API ]

**Pour supprimer un aperçu personnalisé (API)**

1. Utilisez le [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DeleteInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DeleteInsight.html)fonctionnement de l'API Security Hub CSPM. Si vous utilisez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-insight.html)commande AWS CLI Exécuter.

1. Pour identifier l'aperçu personnalisé à supprimer, indiquez l'ARN de l'aperçu. Pour obtenir l'ARN d'un aperçu personnalisé, utilisez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html)opération ou la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html)commande.

L'exemple suivant supprime l'aperçu spécifié. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.

```
$ aws securityhub delete-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------
#### [ PowerShell ]

**Pour supprimer un aperçu personnalisé (PowerShell)**

1. Utilisez l’applet de commande `Remove-SHUBInsight`.

1. Pour identifier l'aperçu personnalisé, fournissez l'ARN de l'aperçu. Pour obtenir l'ARN d'un aperçu personnalisé, utilisez l'`Get-SHUBInsight`applet de commande.

**Exemple**

```
-InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------