翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Security Hub CSPM でのカスタムインサイトについて
<a name="securityhub-custom-insights"></a>

 AWS Security Hub CSPM マネージドインサイトに加えて、Security Hub CSPM でカスタムインサイトを作成して、環境に固有の問題を追跡できます。カスタムインサイトは、問題のキュレーションされたサブセットを追跡するのに役立ちます。

以下に、設定に役立つカスタムインサイトの例をいくつか示します。
+ 管理者アカウントを所有している場合は、カスタムインサイトを設定して、メンバーアカウントに影響を与えているクリティカルな結果および重要度の高い結果を追跡できます。
+ 特定の[統合 AWS サービス](securityhub-internal-providers.md)に依存している場合は、カスタムインサイトを設定して、そのサービスからの重大度の高い検出結果を追跡できます。
+ [サードパーティー統合](securityhub-partner-providers.md)に依存する場合、カスタムインサイトを設定して、その統合された製品からクリティカルな結果と重大度が高い結果を追跡できます。

まったく新しいカスタムインサイトを作成するか、既存のカスタムインサイトまたはマネージド型インサイトから作成を開始できます。

各インサイトは、次のオプションを使用して設定できます。
+ **Grouping attribute** (グループ化属性) - グループ化属性によって、インサイト結果リストに表示される項目が決定します。例えば、グループ化属性が **[製品名]** の場合、インサイト結果には、各検出結果プロバイダー関連付けられている結果の数が表示されます。
+ **Optional filters** (オプションのフィルター) - フィルターにより、インサイトの一致する結果が絞り込まれます。

  検出結果は、提供されたすべてのフィルターに一致する場合にのみインサイト結果に含まれます。例えば、フィルターが「製品名が GuardDuty」と「リソースタイプが `AwsS3Bucket`」である場合、一致となる検出結果はこれらの両方の条件に一致する必要があります。

  ただし、Security Hub CSPM では、同じ属性に異なる値を使用するフィルターにはブール OR 論理を適用します。例えば、フィルターが「製品名が GuardDuty」と「製品名が Amazon Inspector」である場合、検出結果は、Amazon GuardDuty または Amazon Inspector のいずれかによって生成されていれば一致となります。

リソース識別子またはリソースタイプをグループ化属性として使用する場合、インサイト結果には、一致する検出結果のすべてのリソースが含まれます。このリストは、リソースタイプフィルターに一致するリソースに限定されません。例えば、インサイトは S3 バケットに関連付けられている結果を特定し、それらの結果をリソース識別子でグループ化します。一致する結果には、S3 バケットリソースと IAM アクセスキーリソースの両方が含まれます。インサイト結果には、両方のリソースが含まれます。

[クロスリージョン集約](finding-aggregation.md) を有効にしていて、カスタムインサイトを作成すると、インサイトは集約リージョンとリンクされたリージョンでの一致する検出結果に適用されます。ただし、インサイトにリージョンフィルターが含まれている場合は例外です。

# カスタムインサイトの作成
<a name="securityhub-custom-insight-create-api"></a>

 AWS Security Hub CSPM では、カスタムインサイトを使用して特定の検出結果を収集し、環境に固有の問題を追跡できます。カスタムインサイトの背景情報については、「[Security Hub CSPM でのカスタムインサイトについて](securityhub-custom-insights.md)」を参照してください。

お好みの方法を選択し、手順に従って Security Hub CSPM でカスタムインサイトを作成します。

------
#### [ Security Hub CSPM console ]

**カスタムインサイトを作成するには (コンソール)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで、**[Insights]** (インサイト) を選択します。

1. **[インサイトの作成]** を選択します。

1. インサイトのグループ化属性を選択するには:

   1. 検索ボックスを選択して、フィルターオプションを表示します。

   1. **[Group by]** (グループ化の条件) を選択します。

   1. このインサイトに関連付けられている結果をグループ化するのに使用する属性を選択します。

   1. **[Apply]** (適用) を選択します。

1. 必要に応じて、このインサイトに使用する追加のフィルターを選択します。フィルターごとに、フィルター条件を定義し、**[Apply]** (適用) を選択します。

1. **[Create insight]** (インサイトの作成) を選択します。

1. [**インサイトの名前**] を入力し、[**インサイトの作成**] を選択します。

------
#### [ Security Hub CSPM API ]

**カスタムインサイトを作成するには (API)**

1. カスタムインサイトを作成するには、Security Hub CSPM API の [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateInsight.html) オペレーションを使用します。を使用する場合は AWS CLI、 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-insight.html) コマンドを実行します。

1. `Name` パラメータにカスタムインサイトの名前を指定します。

1. `Filters` パラメーターを入力して、インサイトに含める結果を指定します。

1. `GroupByAttribute` パラメーターを入力して、インサイトに含まれる結果をグループ化するために使用する属性を指定します。

1. オプションで、特定のフィールドで調査結果をソートする `SortCriteria` パラメーターを指定します。

次の例では、`AwsIamRole` リソースタイプで重要な検出結果を含むカスタムインサイトを作成します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws securityhub create-insight --name "Critical role findings" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' --group-by-attribute "ResourceId"
```

------
#### [ PowerShell ]

**カスタムインサイトを作成するには (PowerShell)**

1. `New-SHUBInsight` コマンドレットを使用します。

1. `Name` パラメータにカスタムインサイトの名前を指定します。

1. `Filter` パラメーターを入力して、インサイトに含める結果を指定します。

1. `GroupByAttribute` パラメーターを入力して、インサイトに含まれる結果をグループ化するために使用する属性を指定します。

[クロスリージョン集約](finding-aggregation.md)を有効にしていて、集約リージョンからこのコマンドレットを使用すると、インサイトは集約とリンクされたリージョンでの一致する結果に適用されます。

**例**

```
$Filter = @{
    AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "XXX"
    }
    ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = 'FAILED'
    }
}
New-SHUBInsight -Filter $Filter -Name TestInsight -GroupByAttribute ResourceId
```

------

## マネージド型インサイトからのカスタムインサイトの作成 (コンソールのみ)
<a name="securityhub-custom-insight-frrom-managed"></a>

マネージド型インサイトに変更を保存したり、マネージド型インサイトを削除したりすることはできません。ただし、マネージド型インサイトをカスタムインサイトのベースとして使用することができます。これは Security Hub CSPM コンソールでのみ使用できます。

**マネージド型インサイトからカスタムインサイトを作成するには (コンソール)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで、**[Insights]** (インサイト) を選択します。

1. 作成元になるマネージド型インサイトを選択します。

1. 必要に応じてインサイト設定を編集します。
   + インサイトで結果のグループ化に使用される属性を変更するには:

     1. 既存のグループ化を削除するには、**[Group by]** (グループ化の条件) 設定の横にある **X** を選択します。

     1. 検索ボックスを選択します。

     1. グループ化に使用する属性を選択します。

     1. **[適用]** を選択します。
   + インサイトからフィルターを削除するには、フィルターの横にある円で囲まれた **X** を選択します。
   + インサイトにフィルターを追加するには:

     1. 検索ボックスを選択します。

     1. フィルターとして使用する属性と値を選択します。

     1. **[Apply]** (適用) を選択します。

1. 更新が完了したら、**[Create insight]** (インサイトの作成) を選択します。

1. プロンプトが表示されたら、**[Insight name]** (インサイト名) に入力し、**[Create insight]** (インサイトの作成) を選択します。

# カスタムインサイトの編集
<a name="securityhub-custom-insight-modify-console"></a>

既存のカスタムインサイトのグループ化値とフィルターを編集できます。変更後、元のインサイトのまま更新内容を保存するか、新しいインサイトとして更新されたバージョンを保存できます。

 AWS Security Hub CSPM では、カスタムインサイトを使用して特定の検出結果を収集し、環境に固有の問題を追跡できます。カスタムインサイトの背景情報については、「[Security Hub CSPM でのカスタムインサイトについて](securityhub-custom-insights.md)」を参照してください。

カスタムインサイトを編集するには、希望の方法を選択し、手順に従います。

------
#### [ Security Hub CSPM console ]

**カスタムインサイトを編集するには (コンソール)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで、**[Insights]** (インサイト) を選択します。

1. 変更するカスタムインサイトを選択します。

1. 必要に応じてインサイト設定を編集します。
   + インサイトで結果のグループ化に使用される属性を変更するには:

     1. 既存のグループ化を削除するには、**[Group by]** (グループ化の条件) 設定の横にある **X** を選択します。

     1. 検索ボックスを選択します。

     1. グループ化に使用する属性を選択します。

     1. **[適用]** を選択します。
   + インサイトからフィルターを削除するには、フィルターの横にある円で囲まれた **X** を選択します。
   + インサイトにフィルターを追加するには:

     1. 検索ボックスを選択します。

     1. フィルターとして使用する属性と値を選択します。

     1. **[Apply]** (適用) を選択します。

1. 更新が完了したら、**[Save insight]** (インサイトの保存) を選択します。

1. プロンプトが表示されたら、次のいずれかを実行します。
   + 既存のインサイトを更新して変更を反映させる場合は、**[Update *<Insight\$1Name>]*** (<Insight\$1Name> を更新) を選択してから、**[Save insight]** (インサイトの保存) を選択します。
   + 更新内容を使用して新しいインサイトを作成する場合は、**[Save new insight]** (新しいインサイトの保存) を選択します。**[Insight name]** (インサイトの名前) に入力して、**[Save insight]** (インサイトの保存) を選択します。

------
#### [ Security Hub CSPM API ]

**カスタムインサイト (API) を編集するには**

1. Security Hub CSPM API の [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateInsight.html) オペレーションを使用します。を使用する場合は、 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-insight.html) コマンド AWS CLI を実行します。

1. 更新するカスタムインサイトを特定するには、インサイトの Amazon リソースネーム (ARN) を指定します。カスタムインサイトの ARN を取得するには、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html) オペレーションまたは [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html) コマンドを実行します。

1. 必要に応じて、`Name`、`Filters` と `GroupByAttribute` パラメータを更新します。

次の例では、指定されたインサイトを更新します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws securityhub update-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' --name "High severity role findings"
```

------
#### [ PowerShell ]

**カスタムインサイトを編集するには (PowerShell)**

1. `Update-SHUBInsight` コマンドレットを使用します。

1. カスタムインサイトを特定するには、インサイトの Amazon リソースネーム (ARN) を指定します。カスタムインサイトの ARN を取得するには、`Get-SHUBInsight`コマンドレットを使用します。

1. 必要に応じて、`Name`、`Filter` と `GroupByAttribute` パラメータを更新します。

**例**

```
$Filter = @{
    ResourceType = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "AwsIamRole"
    }
    SeverityLabel = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "HIGH"
    }
}

Update-SHUBInsight -InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" -Filter $Filter -Name "High severity role findings"
```

------

# カスタムインサイトの削除
<a name="securityhub-custom-insight-delete-console"></a>

 AWS Security Hub CSPM では、カスタムインサイトを使用して特定の検出結果を収集し、環境に固有の問題を追跡できます。カスタムインサイトの背景情報については、「[Security Hub CSPM でのカスタムインサイトについて](securityhub-custom-insights.md)」を参照してください。

カスタムインサイトの削除は、希望の方法を選択し、手順に従います。マネージド型インサイトを削除することはできません。

------
#### [ Security Hub CSPM console ]

**カスタムインサイトを削除するには (コンソール)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで、**[Insights]** (インサイト) を選択します。

1. 削除するカスタムインサイトを見つけます。

1. そのインサイトで、その他のオプションを表示するためのアイコン (カードの右上隅にある 3 つのドット) を選択します。

1. **[削除]** を選択します。

------
#### [ Security Hub CSPM API ]

**カスタムインサイトを削除するには (API)**

1. Security Hub CSPM API の [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DeleteInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DeleteInsight.html) オペレーションを使用します。を使用する場合は、 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-insight.html) コマンド AWS CLI を実行します。

1. 削除するカスタムインサイトを特定するには、インサイト ARN を指定します。カスタムインサイトの ARN を取得するには、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html) オペレーションまたは [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html) コマンドを実行します。

次の例では、特定のインサイトを削除します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws securityhub delete-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------
#### [ PowerShell ]

**カスタムインサイトを削除するには (PowerShell)**

1. `Remove-SHUBInsight` コマンドレットを使用します。

1. カスタムインサイトを特定するには、インサイト ARN を指定します。カスタムインサイトの ARN を取得するには、`Get-SHUBInsight` コマンドレットを使用します。

**例**

```
-InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------