

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Security Hub CSPM のインサイトの表示
<a name="securityhub-insights"></a>

 AWS Security Hub CSPM では、*インサイト*は関連する検出結果のコレクションです。インサイトは、注意と介入が必要な特定のセキュリティ領域を特定できます。たとえば、インサイトによって、不十分なセキュリティ慣行を示す結果の対象として EC2 インスタンスが指摘される場合があります。インサイトには、複数の提供元からの結果がまとめられます。

各インサイトは、group by ステートメントとオプションのフィルターによって定義されます。group by ステートメントは、一致する結果をグループ化する方法を示し、インサイトが適用される項目のタイプを識別します。たとえば、インサイトがリソース識別子によってグループ化されている場合、インサイトによってリソース識別子のリストが生成されます。オプションのフィルターは、インサイトの一致する結果を特定します。例えば、特定のプロバイダーからの結果または特定のタイプのリソースに関連付けられた結果のみが、表示されるようにできます。

Security Hub CSPM には、組み込みのマネージド型インサイトがいくつか用意されています。マネージド型インサイトを変更または削除することはできません。 AWS 環境と使用状況に固有のセキュリティ問題を追跡するには、カスタムインサイトを作成できます。

 AWS Security Hub CSPM コンソールの**インサイト**ページには、使用可能なインサイトのリストが表示されます。

デフォルトでは、リストにはマネージド型インサイトとカスタムインサイトの両方が表示されます。インサイトタイプに基づいてインサイトリストをフィルタリングするには、フィルターフィールドの横にあるドロップダウンメニューからインサイトタイプを選択します。
+ 使用できるインサイトをすべて表示するには、**[All insights]** (すべてのインサイト) を選択します。これはデフォルトのオプションです。
+ マネージド型インサイトのみを表示するには、**[Security Hub CSPM managed insights]** (Security Hub CSPM マネージド型インサイト) を選択します。
+ カスタムインサイトのみを表示するには、**[Custom insights]** (カスタムインサイト) を選択します。

インサイトの名前に基づいてインサイトリストをフィルタリングすることもできます。これを行うために、フィルターフィールドに、リストのフィルタリングに使用するテキストを入力します。フィルターでは、大文字と小文字は区別されません。フィルターは、インサイト名の全体または一部にそのテキストが含まれているインサイトを検索します。

インサイトは、一致する結果を生成する統合または標準を有効にしている場合にのみ、結果を返します。たとえば、マネージド型インサイト **29 などです。Top resources by counts of failed CIS checks** (失敗した CIS チェック数でのトップリソース) は、Center for Internet Security (CIS) AWS Foundations Benchmark 標準のバージョンを有効にした場合にのみ、結果を返します。

# Security Hub CSPM でのインサイトの確認と対応
<a name="securityhub-insights-view-take-action"></a>

インサイトごとに、 AWS Security Hub CSPM はまずフィルター条件に一致する検出結果を決定し、次にグループ化属性を使用して一致する検出結果をグループ化します。

コンソールの **[インサイト]** ページで、結果と検出結果を表示して、それらに基づいてアクションを実行できます。

クロスリージョン集約を有効にすると、集約リージョンでは、マネージド型インサイトの結果 (集約リージョンにサイインしている場合) には、集約リージョンとリンクされたリージョンの検出結果が含まれます。カスタムインサイトの結果では、インサイトがリージョンでフィルタリングされない場合、集約リージョンとリンクされたリージョン (集約リージョンにサイインしている場合) の検出結果も含まれます。他のリージョンでは、インサイト結果に含まれるのはそのリージョンの結果のみです。

クロスリージョン集約の詳細については、「[Security Hub CSPM でのクロスリージョン集約について](finding-aggregation.md)」を参照してください。

## インサイト結果の表示とアクションの実行
<a name="securityhub-insight-results-console"></a>

インサイト結果は、インサイトの結果をグループ化したリストで構成されます。例えば、インサイトがリソース識別子に基づいてグループ化されている場合、インサイト結果はリソース識別子のリストになります。結果のリストの各項目は、その項目に一致する結果の数を示します。

検出結果が、リソース識別子またはリソースタイプでグループ化されている場合、結果には、一致する検出結果のすべてのリソースが含まれます。これには、フィルター条件で指定されたリソースタイプとは異なるタイプのリソースが含まれます。例えば、インサイトでは S3 バケットに関連付けられている結果が識別されます。一致する検出結果に S3 バケットリソースと IAM アクセスキーリソースの両方が含まれている場合、インサイト結果には両方のリソースが含まれます。

Security Hub CSPM コンソールでは、結果のリストは、一致する検出結果が最も多いものから最も少ないものへとソートされます。Security Hub CSPM では 100 件の結果しか表示されません。グループ化値の数が 100 を超える場合、最初の 100 個のみが表示されます。

インサイト結果には、結果のリストに加えて、次の属性に一致した結果の数を要約した一連のチャートが表示されます。
+ **重要度ラベル** - 各重要度ラベルの結果の数
+ **AWS アカウント ID** – 一致する結果の上位 5 つのアカウント IDs 
+ **リソースタイプ** - 一致する結果の上位 5 つのリソースタイプ
+ **リソース ID** - 一致する結果の上位 5 つのリソース ID
+ **製品名** - 一致する結果の上位 5 つの結果プロバイダー

カスタムアクションを設定している場合、選択した結果をカスタムアクションに送信できます。アクションは、`Security Hub Insight Results` イベントタイプの Amazon CloudWatch ルールに関連付けられている必要があります。詳細については、「[EventBridge を使用した自動応答と修復](securityhub-cloudwatch-events.md)」を参照してください。カスタムアクションを設定していない場合は、**[アクション]** メニューは無効です。

------
#### [ Security Hub CSPM console ]

**インサイト結果を表示してアクションを実行するには (コンソール)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで、**[Insights]** (インサイト) を選択します。

1. インサイト結果のリストを表示するには、インサイト名を選択します。

1. カスタムアクションに送信する結果ごとにチェックボックスを選択します。

1. **[Actions]** (アクション) メニューから、カスタムアクションを選択します。

------
#### [ Security Hub CSPM API, AWS CLI ]

**インサイト結果を表示してアクションを実行するには (API、 AWS CLI)**

インサイトの結果を表示するには、Security Hub CSPM API の [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetInsightResults.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetInsightResults.html) オペレーションを使用します。を使用する場合は AWS CLI、 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html) コマンドを実行します。

インサイトを特定して結果を返すには、インサイト ARN が必要です。カスタムインサイトのインサイト ARN を取得するには、 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html) API オペレーションまたは [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html) コマンドを使用します。

次の例では、指定されたインサイトの結果を取得します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws securityhub get-insight-results --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

プログラムでカスタムアクションを作成する方法については、「[カスタムアクションを使用して結果とインサイト結果を EventBridge に送信する](securityhub-cwe-custom-actions.md)」を参照してください。

------

## インサイト結果の検出結果の表示とアクションの実行 (コンソール)
<a name="securityhub-insight-findings-console"></a>

Security Hub CSPM のコンソールのインサイト結果のリストから、結果ごとに検出結果のリストを表示できます。

**インサイトの結果を表示して、アクションを実行するには (コンソール)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで、**[Insights]** (インサイト) を選択します。

1. インサイト結果のリストを表示するには、インサイト名を選択します。

1. インサイト結果の結果のリストを表示するには、インサイト結果のリストからその項目を選択します。結果リストには、ワークフローステータスが `NEW` または `NOTIFIED` で、選択されたインサイト結果のアクティブな結果が表示されます。

結果リストから、以下のアクションを実行できます。
+ [Security Hub CSPM での検出結果のフィルタリング](securityhub-findings-manage.md)
+ [検出結果の詳細と履歴の確認](securityhub-findings-viewing.md#finding-view-details-console)
+ [Security Hub CSPM 検出結果のワークフローステータスの設定](findings-workflow-status.md)
+ [Security Hub CSPM の検出結果をカスタム Security Hub CSPM アクションに送信する](findings-custom-action.md)

# Security Hub CSPM のマネージド型インサイト
<a name="securityhub-managed-insights"></a>

AWS Security Hub CSPM は、いくつかのマネージド型インサイトを提供します。

Security Hub CSPM のマネージド型インサイトを編集または削除することはできません。[インサイトの結果と検出結果を表示し、それらに対してアクションを実行](securityhub-insights-view-take-action.md)できます。また、[マネージド型インサイトを新しいカスタムインサイトのベースとして使用](securityhub-custom-insight-create-api.md#securityhub-custom-insight-frrom-managed)することができます。

すべてのインサイトと同様、マネージド型インサイトは、一致する結果をする製品統合またはセキュリティ標準が有効にされている場合にのみ、結果を返します。

リソース識別子でグループ化されたインサイトの場合、結果には、一致する結果のすべてのリソースの識別子が含まれます。これには、フィルター条件のリソースタイプとは異なるタイプのリソースが含まれます。例えば、次のリストのインサイト 2 では Amazon S3 バケットに関連付けられている結果が識別されます。一致する検出結果に S3 バケットリソースと IAM アクセスキーリソースの両方が含まれている場合、インサイト結果には両方のリソースが含まれます。

Security Hub CSPM には現在、次のマネージド型インサイトが用意されています。

**1.検出結果が最も多い AWS リソース**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/1`  
**グループ化の基準:** リソース識別子  
**結果フィルター:**  
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**2. パブリック書き込みまたは読み取り許可を含む S3 バケット**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/10`  
**グループ化の基準:** リソース識別子  
**結果フィルター:**  
+ タイプが `Effects/Data Exposure` で始まる
+ リソースタイプが `AwsS3Bucket`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**3. 最も多くの結果を生成している AMI**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/3`  
**グループ化の基準:** EC2 インスタンスイメージ ID  
**結果フィルター:**  
+ リソースタイプが `AwsEc2Instance`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**4. 既知の戦略、手法、および手順 (TTP) に含まれる EC2 インスタンス**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/14`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ タイプが `TTPs` で始まる
+ リソースタイプが `AwsEc2Instance`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**5.疑わしいアクセスキーアクティビティを持つ AWS プリンシパル**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/9`  
**グループ化の基準:** IAM アクセスキーのプリンシパル名  
**結果フィルター:**  
+ リソースタイプが `AwsIamAccessKey`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**6. セキュリティ標準/ベストプラクティスを満たさないインスタンスを AWS リソース化する**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/6`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ タイプが `Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**7.潜在的なデータ流出に関連する AWS リソース**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/7`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ タイプが Effects/Data Exfiltration/ で始まる
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**8. 不正な AWS リソース消費に関連するリソース**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/8`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ タイプが `Effects/Resource Consumption` で始まる
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**9. セキュリティ標準/ベストプラクティスを満たさない S3 バケット**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/11`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ リソースタイプが `AwsS3Bucket`
+ タイプが `Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**10. 機密データを含む S3 バケット**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/12`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ リソースタイプが `AwsS3Bucket`
+ タイプが `Sensitive Data Identifications/` で始まる
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**11. 漏洩した可能性がある認証情報**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/13`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ タイプが `Sensitive Data Identifications/Passwords/` で始まる
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**12. 重要な脆弱性のセキュリティパッチが欠落している EC2 インスタンス**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/16`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ タイプが `Software and Configuration Checks/Vulnerabilities/CVE` で始まる
+ リソースタイプが `AwsEc2Instance`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**13. 一般的な異常な動作に関連する EC2 インスタンス**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/17`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ タイプが `Unusual Behaviors` で始まる
+ リソースタイプが `AwsEc2Instance`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**14. インターネットからアクセス可能なポートを持つ EC2 インスタンス**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/18`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ タイプが `Software and Configuration Checks/AWS Security Best Practices/Network Reachability` で始まる
+ リソースタイプが `AwsEc2Instance`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**15. セキュリティ標準/ベストプラクティスを満たさない EC2 インスタンス**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/19`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ タイプが次のいずれかで始まる。
  + `Software and Configuration Checks/Industry and Regulatory Standards/`
  + `Software and Configuration Checks/AWS Security Best Practices`
+ リソースタイプが `AwsEc2Instance`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**16. インターネットに開放されている EC2 インスタンス**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/21`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ タイプが `Software and Configuration Checks/AWS Security Best Practices/Network Reachability` で始まる
+ リソースタイプが `AwsEc2Instance`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**17. 敵対的な偵察に関連付けられている EC2 インスタンス**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/22`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ タイプが TTPs/Discovery/Recon で始まる
+ リソースタイプが `AwsEc2Instance`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**18.マルウェアに関連付けられている AWS リソース**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/23`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ タイプが次のいずれかで始まる。
  + `Effects/Data Exfiltration/Trojan`
  + `TTPs/Initial Access/Trojan`
  + `TTPs/Command and Control/Backdoor`
  + `TTPs/Command and Control/Trojan`
  + `Software and Configuration Checks/Backdoor`
  + `Unusual Behaviors/VM/Backdoor`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**19.暗号通貨の問題に関連する AWS リソース**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/24`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ タイプが次のいずれかで始まる。
  + `Effects/Resource Consumption/Cryptocurrency`
  + `TTPs/Command and Control/CryptoCurrency`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**20.不正アクセスの試みがある AWS リソース**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/25`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ タイプが次のいずれかで始まる。
  + `TTPs/Command and Control/UnauthorizedAccess`
  + `TTPs/Initial Access/UnauthorizedAccess`
  + `Effects/Data Exfiltration/UnauthorizedAccess`
  + `Unusual Behaviors/User/UnauthorizedAccess`
  + `Effects/Resource Consumption/UnauthorizedAccess`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**21. 先週ヒット数が最も多かった脅威インテリジェンス指標**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/26`  
**結果フィルター:**  
+ 過去 7 日以内に作成

**22. 結果数による上位アカウント**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/27`  
**グループ化基準:** AWS アカウント ID  
**結果フィルター:**  
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**23. 結果数による上位製品**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/28`  
**グループ化の基準:** 製品名  
**結果フィルター:**  
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**24. 結果数による重要度**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/29`  
**グループ化の基準:** 重要度ラベル  
**結果フィルター:**  
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**25. 結果数による上位 S3 バケット**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/30`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ リソースタイプが `AwsS3Bucket`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**26. 結果数による上位 EC2 インスタンス**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/31`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ リソースタイプが `AwsEc2Instance`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**27. 結果数による上位 AMI**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/32`  
**グループ化の基準:** EC2 インスタンスイメージ ID  
**結果フィルター:**  
+ リソースタイプが `AwsEc2Instance`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**28. 結果数による上位 IAM ユーザー**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/33`  
**グループ化の基準:** IAM アクセスキー ID  
**結果フィルター:**  
+ リソースタイプが `AwsIamAccessKey`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**29. 失敗した CIS チェック数による上位リソース**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/34`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ ジェネレーター ID が `arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule` で始まる
+ 最終日に更新
+ コンプライアンス状況が `FAILED`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**30. 調査数による上位統合**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/35`  
**グループ化の基準:** 製品 ARN  
**結果フィルター:**  
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**31. セキュリティチェックの失敗が最も多いリソース**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/36`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ 最終日に更新
+ コンプライアンス状況が `FAILED`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**32。不審なアクティビティに関連する IAM ユーザー**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/37`  
**グループ化の基準:** IAM ユーザー  
**結果フィルター:**  
+ リソースタイプが `AwsIamUser`
+ レコードの状態が `ACTIVE`
+ ワークフローステータスが `NEW` または `NOTIFIED`

**33。 AWS Health 検出結果が最も多いリソース**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/38`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ `ProductName`が`Health`

**34。 AWS Config 検出結果が最も多いリソース**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/39`  
**グループ化の基準:** リソース ID  
**結果フィルター:**  
+ `ProductName`が`Config`

**35。最も検出結果の多いアプリケーション**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/40`  
**グループ化の基準:** ResourceApplicationArn  
**結果フィルター:**  
+ `RecordState`が`ACTIVE`
+ `Workflow.Status` が `NEW` または `NOTIFIED`

# Security Hub CSPM でのカスタムインサイトについて
<a name="securityhub-custom-insights"></a>

 AWS Security Hub CSPM マネージドインサイトに加えて、Security Hub CSPM でカスタムインサイトを作成して、環境に固有の問題を追跡できます。カスタムインサイトは、問題のキュレーションされたサブセットを追跡するのに役立ちます。

以下に、設定に役立つカスタムインサイトの例をいくつか示します。
+ 管理者アカウントを所有している場合は、カスタムインサイトを設定して、メンバーアカウントに影響を与えているクリティカルな結果および重要度の高い結果を追跡できます。
+ 特定の[統合 AWS サービス](securityhub-internal-providers.md)に依存している場合は、カスタムインサイトを設定して、そのサービスからの重大度の高い検出結果を追跡できます。
+ [サードパーティー統合](securityhub-partner-providers.md)に依存する場合、カスタムインサイトを設定して、その統合された製品からクリティカルな結果と重大度が高い結果を追跡できます。

まったく新しいカスタムインサイトを作成するか、既存のカスタムインサイトまたはマネージド型インサイトから作成を開始できます。

各インサイトは、次のオプションを使用して設定できます。
+ **Grouping attribute** (グループ化属性) - グループ化属性によって、インサイト結果リストに表示される項目が決定します。例えば、グループ化属性が **[製品名]** の場合、インサイト結果には、各検出結果プロバイダー関連付けられている結果の数が表示されます。
+ **Optional filters** (オプションのフィルター) - フィルターにより、インサイトの一致する結果が絞り込まれます。

  検出結果は、提供されたすべてのフィルターに一致する場合にのみインサイト結果に含まれます。例えば、フィルターが「製品名が GuardDuty」と「リソースタイプが `AwsS3Bucket`」である場合、一致となる検出結果はこれらの両方の条件に一致する必要があります。

  ただし、Security Hub CSPM では、同じ属性に異なる値を使用するフィルターにはブール OR 論理を適用します。例えば、フィルターが「製品名が GuardDuty」と「製品名が Amazon Inspector」である場合、検出結果は、Amazon GuardDuty または Amazon Inspector のいずれかによって生成されていれば一致となります。

リソース識別子またはリソースタイプをグループ化属性として使用する場合、インサイト結果には、一致する検出結果のすべてのリソースが含まれます。このリストは、リソースタイプフィルターに一致するリソースに限定されません。例えば、インサイトは S3 バケットに関連付けられている結果を特定し、それらの結果をリソース識別子でグループ化します。一致する結果には、S3 バケットリソースと IAM アクセスキーリソースの両方が含まれます。インサイト結果には、両方のリソースが含まれます。

[クロスリージョン集約](finding-aggregation.md) を有効にしていて、カスタムインサイトを作成すると、インサイトは集約リージョンとリンクされたリージョンでの一致する検出結果に適用されます。ただし、インサイトにリージョンフィルターが含まれている場合は例外です。

# カスタムインサイトの作成
<a name="securityhub-custom-insight-create-api"></a>

 AWS Security Hub CSPM では、カスタムインサイトを使用して特定の検出結果を収集し、環境に固有の問題を追跡できます。カスタムインサイトの背景情報については、「[Security Hub CSPM でのカスタムインサイトについて](securityhub-custom-insights.md)」を参照してください。

お好みの方法を選択し、手順に従って Security Hub CSPM でカスタムインサイトを作成します。

------
#### [ Security Hub CSPM console ]

**カスタムインサイトを作成するには (コンソール)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで、**[Insights]** (インサイト) を選択します。

1. **[インサイトの作成]** を選択します。

1. インサイトのグループ化属性を選択するには:

   1. 検索ボックスを選択して、フィルターオプションを表示します。

   1. **[Group by]** (グループ化の条件) を選択します。

   1. このインサイトに関連付けられている結果をグループ化するのに使用する属性を選択します。

   1. **[Apply]** (適用) を選択します。

1. 必要に応じて、このインサイトに使用する追加のフィルターを選択します。フィルターごとに、フィルター条件を定義し、**[Apply]** (適用) を選択します。

1. **[Create insight]** (インサイトの作成) を選択します。

1. [**インサイトの名前**] を入力し、[**インサイトの作成**] を選択します。

------
#### [ Security Hub CSPM API ]

**カスタムインサイトを作成するには (API)**

1. カスタムインサイトを作成するには、Security Hub CSPM API の [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateInsight.html) オペレーションを使用します。を使用する場合は AWS CLI、 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-insight.html) コマンドを実行します。

1. `Name` パラメータにカスタムインサイトの名前を指定します。

1. `Filters` パラメーターを入力して、インサイトに含める結果を指定します。

1. `GroupByAttribute` パラメーターを入力して、インサイトに含まれる結果をグループ化するために使用する属性を指定します。

1. オプションで、特定のフィールドで調査結果をソートする `SortCriteria` パラメーターを指定します。

次の例では、`AwsIamRole` リソースタイプで重要な検出結果を含むカスタムインサイトを作成します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws securityhub create-insight --name "Critical role findings" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' --group-by-attribute "ResourceId"
```

------
#### [ PowerShell ]

**カスタムインサイトを作成するには (PowerShell)**

1. `New-SHUBInsight` コマンドレットを使用します。

1. `Name` パラメータにカスタムインサイトの名前を指定します。

1. `Filter` パラメーターを入力して、インサイトに含める結果を指定します。

1. `GroupByAttribute` パラメーターを入力して、インサイトに含まれる結果をグループ化するために使用する属性を指定します。

[クロスリージョン集約](finding-aggregation.md)を有効にしていて、集約リージョンからこのコマンドレットを使用すると、インサイトは集約とリンクされたリージョンでの一致する結果に適用されます。

**例**

```
$Filter = @{
    AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "XXX"
    }
    ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = 'FAILED'
    }
}
New-SHUBInsight -Filter $Filter -Name TestInsight -GroupByAttribute ResourceId
```

------

## マネージド型インサイトからのカスタムインサイトの作成 (コンソールのみ)
<a name="securityhub-custom-insight-frrom-managed"></a>

マネージド型インサイトに変更を保存したり、マネージド型インサイトを削除したりすることはできません。ただし、マネージド型インサイトをカスタムインサイトのベースとして使用することができます。これは Security Hub CSPM コンソールでのみ使用できます。

**マネージド型インサイトからカスタムインサイトを作成するには (コンソール)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで、**[Insights]** (インサイト) を選択します。

1. 作成元になるマネージド型インサイトを選択します。

1. 必要に応じてインサイト設定を編集します。
   + インサイトで結果のグループ化に使用される属性を変更するには:

     1. 既存のグループ化を削除するには、**[Group by]** (グループ化の条件) 設定の横にある **X** を選択します。

     1. 検索ボックスを選択します。

     1. グループ化に使用する属性を選択します。

     1. **[適用]** を選択します。
   + インサイトからフィルターを削除するには、フィルターの横にある円で囲まれた **X** を選択します。
   + インサイトにフィルターを追加するには:

     1. 検索ボックスを選択します。

     1. フィルターとして使用する属性と値を選択します。

     1. **[Apply]** (適用) を選択します。

1. 更新が完了したら、**[Create insight]** (インサイトの作成) を選択します。

1. プロンプトが表示されたら、**[Insight name]** (インサイト名) に入力し、**[Create insight]** (インサイトの作成) を選択します。

# カスタムインサイトの編集
<a name="securityhub-custom-insight-modify-console"></a>

既存のカスタムインサイトのグループ化値とフィルターを編集できます。変更後、元のインサイトのまま更新内容を保存するか、新しいインサイトとして更新されたバージョンを保存できます。

 AWS Security Hub CSPM では、カスタムインサイトを使用して特定の検出結果を収集し、環境に固有の問題を追跡できます。カスタムインサイトの背景情報については、「[Security Hub CSPM でのカスタムインサイトについて](securityhub-custom-insights.md)」を参照してください。

カスタムインサイトを編集するには、希望の方法を選択し、手順に従います。

------
#### [ Security Hub CSPM console ]

**カスタムインサイトを編集するには (コンソール)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで、**[Insights]** (インサイト) を選択します。

1. 変更するカスタムインサイトを選択します。

1. 必要に応じてインサイト設定を編集します。
   + インサイトで結果のグループ化に使用される属性を変更するには:

     1. 既存のグループ化を削除するには、**[Group by]** (グループ化の条件) 設定の横にある **X** を選択します。

     1. 検索ボックスを選択します。

     1. グループ化に使用する属性を選択します。

     1. **[適用]** を選択します。
   + インサイトからフィルターを削除するには、フィルターの横にある円で囲まれた **X** を選択します。
   + インサイトにフィルターを追加するには:

     1. 検索ボックスを選択します。

     1. フィルターとして使用する属性と値を選択します。

     1. **[Apply]** (適用) を選択します。

1. 更新が完了したら、**[Save insight]** (インサイトの保存) を選択します。

1. プロンプトが表示されたら、次のいずれかを実行します。
   + 既存のインサイトを更新して変更を反映させる場合は、**[Update *<Insight\$1Name>]*** (<Insight\$1Name> を更新) を選択してから、**[Save insight]** (インサイトの保存) を選択します。
   + 更新内容を使用して新しいインサイトを作成する場合は、**[Save new insight]** (新しいインサイトの保存) を選択します。**[Insight name]** (インサイトの名前) に入力して、**[Save insight]** (インサイトの保存) を選択します。

------
#### [ Security Hub CSPM API ]

**カスタムインサイト (API) を編集するには**

1. Security Hub CSPM API の [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateInsight.html) オペレーションを使用します。を使用する場合は、 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-insight.html) コマンド AWS CLI を実行します。

1. 更新するカスタムインサイトを特定するには、インサイトの Amazon リソースネーム (ARN) を指定します。カスタムインサイトの ARN を取得するには、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html) オペレーションまたは [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html) コマンドを実行します。

1. 必要に応じて、`Name`、`Filters` と `GroupByAttribute` パラメータを更新します。

次の例では、指定されたインサイトを更新します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws securityhub update-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' --name "High severity role findings"
```

------
#### [ PowerShell ]

**カスタムインサイトを編集するには (PowerShell)**

1. `Update-SHUBInsight` コマンドレットを使用します。

1. カスタムインサイトを特定するには、インサイトの Amazon リソースネーム (ARN) を指定します。カスタムインサイトの ARN を取得するには、`Get-SHUBInsight`コマンドレットを使用します。

1. 必要に応じて、`Name`、`Filter` と `GroupByAttribute` パラメータを更新します。

**例**

```
$Filter = @{
    ResourceType = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "AwsIamRole"
    }
    SeverityLabel = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "HIGH"
    }
}

Update-SHUBInsight -InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" -Filter $Filter -Name "High severity role findings"
```

------

# カスタムインサイトの削除
<a name="securityhub-custom-insight-delete-console"></a>

 AWS Security Hub CSPM では、カスタムインサイトを使用して特定の検出結果を収集し、環境に固有の問題を追跡できます。カスタムインサイトの背景情報については、「[Security Hub CSPM でのカスタムインサイトについて](securityhub-custom-insights.md)」を参照してください。

カスタムインサイトの削除は、希望の方法を選択し、手順に従います。マネージド型インサイトを削除することはできません。

------
#### [ Security Hub CSPM console ]

**カスタムインサイトを削除するには (コンソール)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで、**[Insights]** (インサイト) を選択します。

1. 削除するカスタムインサイトを見つけます。

1. そのインサイトで、その他のオプションを表示するためのアイコン (カードの右上隅にある 3 つのドット) を選択します。

1. **[削除]** を選択します。

------
#### [ Security Hub CSPM API ]

**カスタムインサイトを削除するには (API)**

1. Security Hub CSPM API の [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DeleteInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DeleteInsight.html) オペレーションを使用します。を使用する場合は、 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-insight.html) コマンド AWS CLI を実行します。

1. 削除するカスタムインサイトを特定するには、インサイト ARN を指定します。カスタムインサイトの ARN を取得するには、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html) オペレーションまたは [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html) コマンドを実行します。

次の例では、特定のインサイトを削除します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws securityhub delete-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------
#### [ PowerShell ]

**カスタムインサイトを削除するには (PowerShell)**

1. `Remove-SHUBInsight` コマンドレットを使用します。

1. カスタムインサイトを特定するには、インサイト ARN を指定します。カスタムインサイトの ARN を取得するには、`Get-SHUBInsight` コマンドレットを使用します。

**例**

```
-InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------