

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Security Hub CSPM에서 인사이트 보기
<a name="securityhub-insights"></a>

 AWS Security Hub CSPM에서 *인사이트*는 관련 조사 결과의 모음입니다. 인사이트는 주의와 개입이 필요한 보안 영역을 식별합니다. 예를 들어, 인사이트는 잘못된 보안 관행을 감지하는 조사 결과의 대상이 되는 EC2 인스턴스를 지정할 수 있습니다. 인사이트는 전체 조사 결과 공급자의 조사 결과를 함께 나타냅니다.

각 인사이트는 그룹화 기준 문과 선택적 필터에 의해 정의됩니다. 그룹화 기준 문은 일치하는 조사 결과를 그룹화하는 방법을 나타내며 인사이트가 적용되는 항목 유형을 식별합니다. 예를 들어, 인사이트가 리소스 식별자별로 그룹화된 경우, 인사이트는 리소스 식별자 목록을 생성합니다. 선택적 필터는 인사이트와 일치하는 조사 결과의 범위를 식별합니다. 예를 들어, 특정 공급자의 조사 결과나 특정 리소스 유형과 연관된 조사 결과만 볼 수 있습니다.

Security Hub CSPM에서는 여러 가지 기본 제공 관리형 인사이트를 제공합니다. 관리형 인사이트는 수정하거나 삭제할 수 없습니다. AWS 환경 및 사용량에 고유한 보안 문제를 추적하려면 사용자 지정 인사이트를 생성할 수 있습니다.

 AWS Security Hub CSPM 콘솔의 **인사이트** 페이지에는 사용 가능한 인사이트 목록이 표시됩니다.

기본적으로 목록에는 관리형 인사이트와 사용자 지정 인사이트가 모두 표시됩니다. 인사이트 유형을 기반으로 인사이트 목록을 필터링하려면 필터 필드 옆에 있는 드롭다운 메뉴에서 인사이트 유형을 선택합니다.
+ 사용 가능한 인사이트를 모두 표시하려면 **모든 인사이트**를 선택합니다. 이 항목이 기본 옵션입니다.
+ 관리형 인사이트만 표시하려면 **Security Hub CSPM 관리형 인사이트**를 선택합니다.
+ 사용자 지정 인사이트만 표시하려면 **사용자 지정 인사이트**를 선택합니다.

또한, 인사이트 이름을 기반으로 인사이트 목록을 필터링할 수 있습니다. 이렇게 하려면 필터 필드에서 목록을 필터링하는 데 사용할 텍스트를 입력합니다. 필터는 대소문자를 구분하지 않습니다. 필터는 인사이트 이름의 모든 위치에서 텍스트가 포함된 인사이트를 찾습니다.

인사이트는 일치하는 조사 결과를 생성하는 통합 또는 표준을 활성화한 경우에만 결과를 반환합니다. 예를 들어, 관리형 인사이트 **29. 실패한 CIS 점검 횟수별 상위 리소스**는 인터넷 보안 센터(CIS) AWS Foundations Benchmark 표준의 한 버전을 활성화한 경우에만 결과를 반환합니다.

# Security Hub CSPM에서 인사이트 검토 및 조치
<a name="securityhub-insights-view-take-action"></a>

각 인사이트에 대해 AWS Security Hub CSPM은 먼저 필터 기준과 일치하는 결과를 확인한 다음 그룹화 속성을 사용하여 일치하는 결과를 그룹화합니다.

콘솔의 **인사이트** 페이지에서 결과 및 조사 결과를 보고 조치를 취할 수 있습니다.

교차 리전 집계를 활성화하면, 관리형 인사이트 조사 결과(집계 리전에 로그인한 경우)에 집계 리전 및 연결된 리전에서 나온 조사 결과가 포함됩니다. 사용자 지정 인사이트 조사 결과의 경우 또한, 인사이트가 리전별로 필터링되지 않으면 집계 리전 및 연결된 리전의 조사 결과가 조사 결과에 포함됩니다(집계 리전에 로그인한 경우). 다른 리전에는 인사이트 결과가 해당 리전에 대한 것만 해당됩니다.

교차 리전 집계에 대한 자세한 내용은 [Security Hub CSPM의 교차 리전 집계 이해](finding-aggregation.md) 섹션을 참조하세요.

## 인사이트 결과 보기 및 조치 수행
<a name="securityhub-insight-results-console"></a>

인사이트 결과는 인사이트에 대한 결과의 그룹화된 목록으로 구성됩니다. 예를 들어, 인사이트가 리소스 ID별로 그룹화된 경우, 인사이트 결과는 리소스 ID의 목록입니다. 조사 결과 목록의 각 항목은 해당 항목에 일치하는 조사 결과 수를 나타냅니다.

조사 결과를 리소스 식별자 또는 리소스 유형으로 그룹화하는 경우, 조사 결과에는 일치하는 조사 결과에 있는 모든 리소스가 포함됩니다. 여기에는 필터 기준의 리소스 유형과 유형이 다른 리소스가 포함됩니다. 예를 들어, 인사이트 는 S3 버킷과 관련된 조사 결과를 식별합니다. 일치하는 조사 결과에 S3 버킷 리소스와 IAM 액세스 키 리소스가 모두 포함된 경우, 인사이트 조사 결과에는 두 리소스가 모두 포함됩니다.

Security Hub CSPM 콘솔에서 조사 결과 목록은 가장 적게 일치하는 조사 결과부터 순서대로 정렬됩니다. Security Hub CSPM은 결과를 100개만 표시할 수 있습니다. 그룹화 값이 100개를 초과하는 경우, 처음 100개만 표시됩니다.

조사 결과 목록 외에도 인사이트 조사 결과에는 다음 속성에 대해 일치하는 조사 결과 수를 요약하는 차트 세트가 표시됩니다.
+ **심각도 레이블** - 각 심각도 레이블에 대한 조사 결과 수
+ **AWS 계정 ID** - 일치하는 조사 결과에 대한 상위 5IDs 
+ **리소스 유형** - 일치하는 조사 결과에 대한 상위 5개 리소스 유형
+ **리소스 ID** - 일치하는 조사 결과에 대한 상위 5개 리소스 ID
+ **제품 이름** - 일치하는 조사 결과에 대한 상위 5개 조사 결과 공급자

사용자 지정 작업을 구성한 경우, 선택한 결과를 사용자 지정 작업으로 보낼 수 있습니다. 이 작업은 `Security Hub Insight Results` 이벤트 유형에 대한 Amazon CloudWatch 규칙과 연결되어야 합니다. 자세한 내용은 [자동 응답 및 문제 해결을 위해 EventBridge 사용](securityhub-cloudwatch-events.md) 섹션을 참조하세요. 사용자 지정 작업을 구성하지 않으면 **작업** 메뉴가 비활성화됩니다.

------
#### [ Security Hub CSPM console ]

**인사이트 결과 보기 및 조치 수행(콘솔)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.

1. 탐색 창에서 **인사이트**를 선택합니다.

1. 인사이트 결과 목록을 표시하려면 인사이트 이름을 선택합니다.

1. 사용자 지정 작업으로 보낼 각 결과에 대한 확인란을 선택합니다.

1. **작업** 메뉴에서 사용자 지정 작업을 선택합니다.

------
#### [ Security Hub CSPM API, AWS CLI ]

**인사이트 결과를 보고 이에 대한 조치를 취하려면(API, AWS CLI)**

인사이트 결과를 보려면 Security Hub CSPM API의 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetInsightResults.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetInsightResults.html) 작업을 사용합니다. 를 사용하는 경우 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html) 명령을 AWS CLI실행합니다.

결과를 반환할 인사이트를 식별하려면 인사이트 ARN이 필요합니다. 사용자 지정 인사이트를 위한 인사이트 ARN을 얻으려면 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html) 작업이나 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html) 명령을 사용합니다.

다음 예제에서는 지정된 인사이트에 대한 결과를 검색합니다. 이 예제는 Linux, macOS 또는 Unix용으로 형식이 지정되며, 가독성을 높이기 위해 백슬래시(\$1) 줄 연속 문자를 사용합니다.

```
$ aws securityhub get-insight-results --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

프로그래밍 방식으로 사용자 지정 작업을 생성하는 방법에 대한 자세한 내용은 [사용자 지정 작업을 사용하여 조사 결과 및 인사이트 조사 결과를 EventBridge로 전송](securityhub-cwe-custom-actions.md) 섹션을 참조하세요.

------

## 인사이트 조사 결과에 대한 보기 및 조치 수행(콘솔)
<a name="securityhub-insight-findings-console"></a>

Security Hub CSPM 콘솔의 인사이트 조사 결과 목록에서 각 조사 결과에 대한 조사 결과 목록을 표시할 수 있습니다.

**인사이트 조사 결과를 표시하고 조치를 취하려면(콘솔)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.

1. 탐색 창에서 **인사이트**를 선택합니다.

1. 인사이트 결과 목록을 표시하려면 인사이트 이름을 선택합니다.

1. 인사이트 조사 결과에 대한 조사 결과 목록을 표시하려면 조사 결과 목록에서 항목을 선택합니다. 조사 결과 목록에는 워크플로우 상태가 `NEW` 또는 `NOTIFIED`인 선택한 통합에 대한 활성 조사 결과가 표시됩니다.

조사 결과 목록에서 다음 작업을 수행할 수 있습니다.
+ [Security Hub CSPM에서 조사 결과 필터링](securityhub-findings-manage.md)
+ [조사 결과 세부 정보 및 기록 검토](securityhub-findings-viewing.md#finding-view-details-console)
+ [Security Hub CSPM에서 조사 결과의 워크플로 상태 설정](findings-workflow-status.md)
+ [사용자 지정 Security Hub CSPM 작업으로 조사 결과 전송](findings-custom-action.md)

# Security Hub CSPM의 관리형 인사이트
<a name="securityhub-managed-insights"></a>

AWS Security Hub CSPM은 여러 관리형 인사이트를 제공합니다.

Security Hub CSPM 관리형 인사이트는 편집하거나 삭제할 수 없습니다. [인사이트 조사 결과와 조사 결과를 보고 조치를 취할](securityhub-insights-view-take-action.md) 수 있습니다. [관리형 인사이트를 새로운 사용자 지정 인사이트의 기반으로 사용할](securityhub-custom-insight-create-api.md#securityhub-custom-insight-frrom-managed) 수도 있습니다.

다른 모든 인사이트과 마찬가지로, 관리형 인사이트는 일치하는 조사 결과를 생성할 수 있는 제품 통합 또는 보안 표준을 활성화한 경우에만 조사 결과를 반환합니다.

리소스 식별자별로 그룹화된 인사이트의 경우, 조사 결과에는 일치하는 조사 결과에 있는 모든 리소스의 식별자가 포함됩니다. 여기에는 필터 기준의 리소스 유형과 유형이 다른 리소스가 포함됩니다. 예를 들어, 다음 목록에 있는 인사이트 2는 Amazon S3 버킷과 관련된 조사 결과를 식별합니다. 일치하는 조사 결과에 S3 버킷 리소스와 IAM 액세스 키 리소스가 모두 포함된 경우, 인사이트 조사 결과에는 두 리소스가 모두 포함됩니다.

Security Hub CSPM은 현재 다음과 같은 관리형 인사이트를 제공합니다.

**1. 결과가 가장 많은 AWS 리소스**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/1`  
**그룹화 기준:** 리소스 식별자  
**조사 결과 필터:**  
+ 레코드 상태가 `ACTIVE`임
+ 워크플로우 상태가 `NEW` 또는 `NOTIFIED`임

**2. 퍼블릭 쓰기 또는 읽기 권한이 있는 S3 버킷**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/10`  
**그룹화 기준:** 리소스 식별자  
**조사 결과 필터:**  
+ 유형이 `Effects/Data Exposure`로 시작
+ 리소스 유형이 `AwsS3Bucket`임
+ 레코드 상태가 `ACTIVE`임
+ 워크플로우 상태가 `NEW` 또는 `NOTIFIED`임

**3. 가장 많은 조사 결과를 생성하는 AMI**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/3`  
**그룹화 기준:** EC2 인스턴스 이미지 ID  
**조사 결과 필터:**  
+ 리소스 유형이 `AwsEc2Instance`임
+ 레코드 상태가 `ACTIVE`임
+ 워크플로우 상태가 `NEW` 또는 `NOTIFIED`임

**4. 알려진 Tactics, Techniques, and Procedures(TTP)와 관련된 EC2 인스턴스**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/14`  
**그룹화 기준:** 리소스 ID  
**조사 결과 필터:**  
+ 유형이 `TTPs`로 시작
+ 리소스 유형이 `AwsEc2Instance`임
+ 레코드 상태가 `ACTIVE`임
+ 워크플로우 상태가 `NEW` 또는 `NOTIFIED`임

**5. 의심스러운 액세스 키 활동이 있는 보안 AWS 주체**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/9`  
**그룹화 기준:** IAM 액세스 키 보안 주체 이름  
**조사 결과 필터:**  
+ 리소스 유형이 `AwsIamAccessKey`임
+ 레코드 상태가 `ACTIVE`임
+ 워크플로우 상태가 `NEW` 또는 `NOTIFIED`임

**6.보안 표준/모범 사례를 충족하지 않는 인스턴스 AWS 를 리소스합니다.**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/6`  
**그룹화 기준:** 리소스 ID  
**조사 결과 필터:**  
+ 유형이 `Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices`임
+ 레코드 상태가 `ACTIVE`임
+ 워크플로우 상태가 `NEW` 또는 `NOTIFIED`임

**7. 잠재적 데이터 유출과 관련된 AWS 리소스**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/7`  
**그룹화 기준:**: 리소스 ID  
**조사 결과 필터:**  
+ 유형이 Effects/Data Exfiltration/로 시작
+ 레코드 상태가 `ACTIVE`임
+ 워크플로우 상태가 `NEW` 또는 `NOTIFIED`임

**8.무단 AWS 리소스 소비와 관련된 리소스**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/8`  
**그룹화 기준:** 리소스 ID  
**조사 결과 필터:**  
+ 유형이 `Effects/Resource Consumption`로 시작
+ 레코드 상태가 `ACTIVE`임
+ 워크플로우 상태가 `NEW` 또는 `NOTIFIED`임

**9. 보안 표준/모범 사례를 준수하지 않는 S3 버킷**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/11`  
**그룹화 기준:** 리소스 ID  
**조사 결과 필터:**  
+ 리소스 유형이 `AwsS3Bucket`임
+ 유형이 `Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices`임
+ 레코드 상태가 `ACTIVE`임
+ 워크플로우 상태가 `NEW` 또는 `NOTIFIED`임

**10. 민감한 데이터가 포함된 S3 버킷**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/12`  
**그룹화 기준:** 리소스 ID  
**조사 결과 필터:**  
+ 리소스 유형이 `AwsS3Bucket`임
+ 유형이 `Sensitive Data Identifications/`로 시작
+ 레코드 상태가 `ACTIVE`임
+ 워크플로우 상태가 `NEW` 또는 `NOTIFIED`임

**11. 유출되었을 수 있는 자격 증명**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/13`  
**그룹화 기준:** 리소스 ID  
**조사 결과 필터:**  
+ 유형이 `Sensitive Data Identifications/Passwords/`로 시작
+ 레코드 상태가 `ACTIVE`임
+ 워크플로우 상태가 `NEW` 또는 `NOTIFIED`임

**12. 중요한 취약성에 대한 보안 패치가 없는 EC2 인스턴스**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/16`  
**그룹화 기준:** 리소스 ID  
**조사 결과 필터:**  
+ 유형이 `Software and Configuration Checks/Vulnerabilities/CVE`로 시작
+ 리소스 유형이 `AwsEc2Instance`임
+ 레코드 상태가 `ACTIVE`임
+ 워크플로우 상태가 `NEW` 또는 `NOTIFIED`임

**13. 전반적으로 비정상적 동작을 하는 EC2 인스턴스**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/17`  
**그룹화 기준:** 리소스 ID  
**조사 결과 필터:**  
+ 유형이 `Unusual Behaviors`로 시작
+ 리소스 유형이 `AwsEc2Instance`임
+ 레코드 상태가 `ACTIVE`임
+ 워크플로우 상태가 `NEW` 또는 `NOTIFIED`임

**14. 인터넷에서 액세스할 수 있는 포트가 있는 EC2 인스턴스**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/18`  
**그룹화 기준:** 리소스 ID  
**조사 결과 필터:**  
+ 유형이 `Software and Configuration Checks/AWS Security Best Practices/Network Reachability`로 시작
+ 리소스 유형이 `AwsEc2Instance`임
+ 레코드 상태가 `ACTIVE`임
+ 워크플로우 상태가 `NEW` 또는 `NOTIFIED`임

**15. 보안 표준/모범 사례를 준수하지 않는 EC2 인스턴스**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/19`  
**그룹화 기준:** 리소스 ID  
**조사 결과 필터:**  
+ 유형이 다음 중 하나로 시작:
  + `Software and Configuration Checks/Industry and Regulatory Standards/`
  + `Software and Configuration Checks/AWS Security Best Practices`
+ 리소스 유형이 `AwsEc2Instance`임
+ 레코드 상태가 `ACTIVE`임
+ 워크플로우 상태가 `NEW` 또는 `NOTIFIED`임

**16. 인터넷에 개방된 EC2 인스턴스**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/21`  
**그룹화 기준:** 리소스 ID  
**조사 결과 필터:**  
+ 유형이 `Software and Configuration Checks/AWS Security Best Practices/Network Reachability`로 시작
+ 리소스 유형이 `AwsEc2Instance`임
+ 레코드 상태가 `ACTIVE`임
+ 워크플로우 상태가 `NEW` 또는 `NOTIFIED`임

**17. 공격자 정찰과 관련된 EC2 인스턴스**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/22`  
**그룹화 기준:** 리소스 ID  
**조사 결과 필터:**  
+ 유형이 TTPs/Discovery/Recon으로 시작
+ 리소스 유형이 `AwsEc2Instance`임
+ 레코드 상태가 `ACTIVE`임
+ 워크플로우 상태가 `NEW` 또는 `NOTIFIED`임

**맬웨어와 연결된 18. AWS resources**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/23`  
**그룹화 기준:** 리소스 ID  
**조사 결과 필터:**  
+ 유형이 다음 중 하나로 시작:
  + `Effects/Data Exfiltration/Trojan`
  + `TTPs/Initial Access/Trojan`
  + `TTPs/Command and Control/Backdoor`
  + `TTPs/Command and Control/Trojan`
  + `Software and Configuration Checks/Backdoor`
  + `Unusual Behaviors/VM/Backdoor`
+ 레코드 상태가 `ACTIVE`임
+ 워크플로우 상태가 `NEW` 또는 `NOTIFIED`임

**19.암호화 화폐 문제와 관련된 AWS 리소스**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/24`  
**그룹화 기준:** 리소스 ID  
**조사 결과 필터:**  
+ 유형이 다음 중 하나로 시작:
  + `Effects/Resource Consumption/Cryptocurrency`
  + `TTPs/Command and Control/CryptoCurrency`
+ 레코드 상태가 `ACTIVE`임
+ 워크플로우 상태가 `NEW` 또는 `NOTIFIED`임

**무단 액세스 시도가 있는 20. AWS resources**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/25`  
**그룹화 기준:** 리소스 ID  
**조사 결과 필터:**  
+ 유형이 다음 중 하나로 시작:
  + `TTPs/Command and Control/UnauthorizedAccess`
  + `TTPs/Initial Access/UnauthorizedAccess`
  + `Effects/Data Exfiltration/UnauthorizedAccess`
  + `Unusual Behaviors/User/UnauthorizedAccess`
  + `Effects/Resource Consumption/UnauthorizedAccess`
+ 레코드 상태가 `ACTIVE`임
+ 워크플로우 상태가 `NEW` 또는 `NOTIFIED`임

**21. 지난 주에 가장 많은 조회수를 기록한 위협 인텔리전스 지표**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/26`  
**조사 결과 필터:**  
+ 지난 7일 이내에 생성됨

**22. 조사 결과 개수 기준 상위 계정**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/27`  
**그룹화 기준:** AWS 계정 ID  
**조사 결과 필터:**  
+ 레코드 상태가 `ACTIVE`임
+ 워크플로우 상태가 `NEW` 또는 `NOTIFIED`임

**23. 조사 결과 개수 기준 상위 제품**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/28`  
**그룹화 기준:** 제품 이름  
**조사 결과 필터:**  
+ 레코드 상태가 `ACTIVE`임
+ 워크플로우 상태가 `NEW` 또는 `NOTIFIED`임

**24. 조사 결과 개수 기준 심각도**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/29`  
**그룹화 기준:** 심각도 레이블  
**조사 결과 필터:**  
+ 레코드 상태가 `ACTIVE`임
+ 워크플로우 상태가 `NEW` 또는 `NOTIFIED`임

**25. 조사 결과 개수 기준 상위 S3 버킷**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/30`  
**그룹화 기준:** 리소스 ID  
**조사 결과 필터:**  
+ 리소스 유형이 `AwsS3Bucket`임
+ 레코드 상태가 `ACTIVE`임
+ 워크플로우 상태가 `NEW` 또는 `NOTIFIED`임

**26. 조사 결과 개수 기준 상위 EC2 인스턴스**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/31`  
**그룹화 기준:** 리소스 ID  
**조사 결과 필터:**  
+ 리소스 유형이 `AwsEc2Instance`임
+ 레코드 상태가 `ACTIVE`임
+ 워크플로우 상태가 `NEW` 또는 `NOTIFIED`임

**27. 조사 결과 개수 기준별 상위 AMI**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/32`  
**그룹화 기준:** EC2 인스턴스 이미지 ID  
**조사 결과 필터:**  
+ 리소스 유형이 `AwsEc2Instance`임
+ 레코드 상태가 `ACTIVE`임
+ 워크플로우 상태가 `NEW` 또는 `NOTIFIED`임

**28. 조사 결과 개수 기준 상위 IAM 사용자**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/33`  
**그룹화 기준:** IAM 액세스 키 ID  
**조사 결과 필터:**  
+ 리소스 유형이 `AwsIamAccessKey`임
+ 레코드 상태가 `ACTIVE`임
+ 워크플로우 상태가 `NEW` 또는 `NOTIFIED`임

**29. CIS 점검 실패 횟수 기준 상위 리소스**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/34`  
**그룹화 기준:** 리소스 ID  
**조사 결과 필터:**  
+ 생성기 ID가 `arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule`로 시작
+ 마지막 날에 업데이트됨
+ 규정 준수 상태가 `FAILED`임
+ 레코드 상태가 `ACTIVE`임
+ 워크플로우 상태가 `NEW` 또는 `NOTIFIED`임

**30. 조사 결과 개수 기준 상위 통합**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/35`  
**그룹화 기준:** 제품 ARN  
**조사 결과 필터:**  
+ 레코드 상태가 `ACTIVE`임
+ 워크플로우 상태가 `NEW` 또는 `NOTIFIED`임

**31. 가장 실패한 보안 검사가 있는 리소스**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/36`  
**그룹화 기준:** 리소스 ID  
**조사 결과 필터:**  
+ 마지막 날에 업데이트됨
+ 규정 준수 상태가 `FAILED`임
+ 레코드 상태가 `ACTIVE`임
+ 워크플로우 상태가 `NEW` 또는 `NOTIFIED`임

**32. 활동이 의심스러운 IAM 사용자**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/37`  
**그룹화 기준:** IAM 사용자  
**조사 결과 필터:**  
+ 리소스 유형이 `AwsIamUser`임
+ 레코드 상태가 `ACTIVE`임
+ 워크플로우 상태가 `NEW` 또는 `NOTIFIED`임

**33. 조사 AWS Health 결과가 가장 많은 리소스**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/38`  
**그룹화 기준:** 리소스 ID  
**조사 결과 필터:**  
+ `ProductName`은(는) `Health`와(과) 같음

**34. 조사 AWS Config 결과가 가장 많은 리소스**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/39`  
**그룹화 기준:** 리소스 ID  
**조사 결과 필터:**  
+ `ProductName`은(는) `Config`와(과) 같음

**35. 가장 많은 조사 결과가 포함된 애플리케이션**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/40`  
**그룹화 기준:** ResourceApplicationArn  
**조사 결과 필터:**  
+ `RecordState`은(는) `ACTIVE`와(과) 같음
+ `Workflow.Status`은(는) `NEW` 또는 `NOTIFIED`와(과) 같음

# Security Hub CSPM의 사용자 지정 인사이트 이해
<a name="securityhub-custom-insights"></a>

 AWS Security Hub CSPM 관리형 인사이트 외에도 Security Hub CSPM에서 사용자 지정 인사이트를 생성하여 환경에 특정한 문제를 추적할 수 있습니다. 사용자 지정 인사이트는 큐레이션된 하위 집합 추적을 돕습니다.

설정하는 데 유용할 수 있는 사용자 지정 인사이트의 몇 가지 예제는 다음과 같습니다.
+ 관리자 계정을 소유하고 있는 경우, 사용자 지정 인사이트를 설정하여 구성원 계정에 영향을 미치는 중요하고 심각도가 높은 조사 결과를 추적할 수 있습니다.
+ 특정 [통합 AWS 서비스를](securityhub-internal-providers.md) 사용하는 경우 사용자 지정 인사이트를 설정하여 해당 서비스의 중요하고 심각도가 높은 결과를 추적할 수 있습니다.
+ [타사 통합](securityhub-partner-providers.md)을 사용하는 경우, 사용자 지정 인사이트를 설정하여 해당 통합 제품에서 중요하고 심각도가 높은 조사 결과를 추적할 수 있습니다.

완전히 새로운 사용자 지정 인사이트를 생성하거나 기존 사용자 지정 인사이트 또는 관리형 인사이트를 시작할 수 있습니다.

각 인사이트는 다음 옵션으로 구성됩니다.
+ **그룹화 속성** – 그룹화 속성은 인사이트 결과 목록에 표시되는 항목을 결정합니다. 예를 들어, 그룹화 속성이 **제품 이름**이면 인사이트 조사 결과에 각 조사 결과 공급자와 연관된 조사 결과 수가 표시됩니다.
+ **선택적 필터** - 필터는 인사이트과 일치하는 조사 결과의 범위를 좁힙니다.

  조사 결과는 제공된 모든 필터와 일치하는 경우에만 인사이트 조사 결과에 포함됩니다. 예를 들어, 필터가 ‘제품 이름이 GuardDuty임’ 및 ‘리소스 유형이 `AwsS3Bucket`임’인 경우, 일치하는 조사 결과는 이 두 기준과 일치해야 합니다.

  그러나 Security Hub CSPM에서는 속성은 동일하지만 다른 값을 사용하는 필터에 Boolean OR 로직을 적용합니다. 예를 들어, 필터가 ‘제품 이름이 GuardDuty임’이고 ‘제품 이름이 Amazon Inspector임’이면 Amazons GuardDuty 또는 Amazon Inspector에 의해 생성된 경우, 조사 결과가 일치합니다.

리소스 식별자 또는 리소스 유형을 그룹화 속성으로 사용하는 경우, 인사이트 조사 결과에는 일치하는 조사 결과에 있는 모든 리소스가 포함됩니다. 이 목록은 리소스 유형 필터와 일치하는 리소스에만 국한되지 않습니다. 예를 들어, 인사이트은 S3 버킷과 관련된 조사 결과를 식별하고 해당 조사 결과를 리소스 식별자별로 그룹화합니다. 일치하는 조사 결과에는 S3 버킷 리소스와 IAM 액세스 키 리소스가 모두 포함됩니다. 인사이트 결과에는 두 리소스가 모두 포함됩니다.

[교차 리전 집계](finding-aggregation.md)를 활성화하고 사용자 지정 인사이트를 생성하면, 집계 리전 및 연결된 리전에서 일치하는 조사 결과에 인사이트가 적용됩니다. 인사이트에 리전 필터가 포함된 경우는 예외입니다.

# 사용자 지정 인사이트 생성
<a name="securityhub-custom-insight-create-api"></a>

 AWS Security Hub CSPM에서 사용자 지정 인사이트를 사용하여 특정 결과 세트를 수집하고 사용자 환경에 고유한 문제를 추적할 수 있습니다. 사용자 지정 인사이트에 대한 배경 정보는 [Security Hub CSPM의 사용자 지정 인사이트 이해](securityhub-custom-insights.md) 섹션을 참조하세요.

원하는 방법을 선택하고 단계에 따라 Security Hub CSPM에서 사용자 지정 인사이트를 생성합니다.

------
#### [ Security Hub CSPM console ]

**사용자 지정 인사이트를 생성하려면(콘솔)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.

1. 탐색 창에서 **인사이트**를 선택합니다.

1. **인사이트 생성**을 선택하세요.

1. 인사이트에 대한 그룹화 속성을 선택하려면

   1. 검색 상자를 선택하여 필터 옵션을 표시합니다.

   1. **그룹화 기준**을 선택합니다.

   1. 이 인사이트과 관련되어 있는 조사 결과를 그룹화하는 데 사용할 속성을 선택합니다.

   1. **Apply(적용)**를 선택합니다.

1. 선택 사항으로, 이 인사이트에 사용할 추가 필터를 선택합니다. 각 필터에 대해 필터 기준을 정의한 다음 **적용**를 선택합니다.

1. **인사이트 생성**을 선택하세요.

1. **인사이트 이름**을 입력한 다음 **인사이트 생성**를 선택하세요.

------
#### [ Security Hub CSPM API ]

**사용자 지정 인사이트를 생성하려면(API)**

1. 사용자 지정 인사이트를 생성하려면 Security Hub CSPM API에서 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateInsight.html) 작업을 사용합니다. 를 사용하는 경우 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-insight.html) 명령을 AWS CLI실행합니다.

1. 사용자 지정 인사이트의 이름을 `Name` 파라미터에 입력합니다.

1. 인사이트에 포함할 조사 결과를 지정하기 위해 `Filters` 파라미터를 채웁니다.

1. `GroupByAttribute` 매개 변수를 채워 인사이트에 포함된 조사 결과를 그룹화하는 데 사용할 속성을 지정합니다.

1. 선택적으로 `SortCriteria` 파라미터를 채워 특정 필드를 기준으로 조사 결과를 정렬할 수 있습니다.

다음 예제에서는 `AwsIamRole` 리소스 유형과 함께 중요한 조사 결과를 포함하는 사용자 지정 인사이트를 생성합니다. 이 예제는 Linux, macOS 또는 Unix용으로 형식이 지정되며, 가독성을 높이기 위해 백슬래시(\$1) 줄 연속 문자를 사용합니다.

```
$ aws securityhub create-insight --name "Critical role findings" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' --group-by-attribute "ResourceId"
```

------
#### [ PowerShell ]

**사용자 지정 인사이트를 생성하려면(PowerShell)**

1. `New-SHUBInsight` cmdlet을 사용하세요.

1. 사용자 지정 인사이트의 이름을 `Name` 파라미터에 입력합니다.

1. 인사이트에 포함할 조사 결과를 지정하기 위해 `Filter` 파라미터를 채웁니다.

1. `GroupByAttribute` 매개 변수를 채워 인사이트에 포함된 조사 결과를 그룹화하는 데 사용할 속성을 지정합니다.

[교차 리전 집계](finding-aggregation.md)를 활성화하고 집계 리전에서 이 cmdlet를 사용하는 경우, 집계 및 연결된 리전에서 나온 일치하는 조사 결과에 인사이트이 적용됩니다.

**예제**

```
$Filter = @{
    AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "XXX"
    }
    ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = 'FAILED'
    }
}
New-SHUBInsight -Filter $Filter -Name TestInsight -GroupByAttribute ResourceId
```

------

## 관리형 인사이트에서 사용자 지정 인사이트 생성(콘솔에서만)
<a name="securityhub-custom-insight-frrom-managed"></a>

관리형 인사이트에 대한 변경 사항을 저장하거나 관리형 인사이트를 삭제할 수 없습니다. 관리형 인사이트를 사용자 지정 인사이트의 기반으로 사용할 수도 있습니다. 이는 Security Hub CSPM 콘솔에서만 사용할 수 있는 옵션입니다.

**관리형 인사이트에서 사용자 지정 인사이트 생성(콘솔)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.

1. 탐색 창에서 **인사이트**를 선택합니다.

1. 작업할 관리형 인사이트를 선택합니다.

1. 필요에 따라 인사이트 구성을 편집합니다.
   + 인사이트의 조사 결과를 그룹화하는 데 사용한 속성을 변경하려면

     1. 기존의 그룹화를 제거하려면 **그룹화 기준** 설정 옆에 있는 **X**를 선택합니다.

     1. 검색 창을 선택합니다.

     1. 그룹화에 사용할 속성을 선택합니다.

     1. **적용**을 선택합니다.
   + 인사이트에서 필터를 제거하려면 필터 옆의 원으로 둘러싸인 **X**를 선택하세요.
   + 인사이트에 필터를 추가하려면

     1. 검색 창을 선택합니다.

     1. 필터로 사용할 속성과 값을 선택합니다.

     1. **적용**을 선택합니다.

1. 업데이트가 완료되면 **인사이트 생성**을 선택합니다.

1. 메시지가 표시되면 **인사이트 이름**을 입력한 다음 **인사이트 생성**를 선택합니다.

# 사용자 지정 인사이트 편집
<a name="securityhub-custom-insight-modify-console"></a>

기존 사용자 지정 인사이트를 수정하여 그룹화 값과 필터를 변경할 수 있습니다. 변경한 후 업데이트를 원래 인사이트에 저장하거나 업데이트된 버전을 새로운 인사이트로 저장할 수 있습니다.

 AWS Security Hub CSPM에서 사용자 지정 인사이트를 사용하여 특정 결과 세트를 수집하고 사용자 환경에 고유한 문제를 추적할 수 있습니다. 사용자 지정 인사이트에 대한 배경 정보는 [Security Hub CSPM의 사용자 지정 인사이트 이해](securityhub-custom-insights.md) 섹션을 참조하세요.

사용자 지정 인사이트을 편집하려면 원하는 방법을 선택하고 지침을 따르세요.

------
#### [ Security Hub CSPM console ]

**사용자 지정 인사이트를 편집하려면(콘솔)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.

1. 탐색 창에서 **인사이트**를 선택합니다.

1. 수정할 사용자 지정 인사이트를 선택합니다.

1. 필요에 따라 인사이트 구성을 편집합니다.
   + 인사이트의 조사 결과를 그룹화하는 데 사용한 속성을 변경하려면

     1. 기존의 그룹화를 제거하려면 **그룹화 기준** 설정 옆에 있는 **X**를 선택합니다.

     1. 검색 창을 선택합니다.

     1. 그룹화에 사용할 속성을 선택합니다.

     1. **적용**을 선택합니다.
   + 인사이트에서 필터를 제거하려면 필터 옆의 원으로 둘러싸인 **X**를 선택하세요.
   + 인사이트에 필터를 추가하려면

     1. 검색 창을 선택합니다.

     1. 필터로 사용할 속성과 값을 선택합니다.

     1. **적용**을 선택합니다.

1. 업데이트를 완료하면 **인사이트 저장**을 선택합니다.

1. 메시지가 표시되면 다음 중 하나를 수행합니다.
   + 기존 인사이트를 업데이트하여 변경 사항을 반영하려면 ***<Insight\$1Name>* 업데이트**를 선택한 다음 **인사이트 저장**을 선택합니다.
   + 업데이트가 적용된 새로운 인사이트를 생성하려면 **새로운 인사이트 저장**을 선택합니다. **인사이트 이름**을 입력한 다음 **인사이트 저장**을 선택합니다.

------
#### [ Security Hub CSPM API ]

**사용자 지정 인사이트를 편집하려면(API)**

1. Security Hub CSPM API의 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateInsight.html) 작업을 사용합니다. 를 사용하는 경우 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-insight.html) 명령을 AWS CLI 실행합니다.

1. 업데이트하기 원하는 사용자 지정 인사이트를 식별하려면 인사이트의 Amazon 리소스 이름(ARN)을 입력합니다. 사용자 지정 인사이트의 ARN을 가져오려면 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html) 작업 또는 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html)를 사용합니다.

1. 필요에 따라 `Name`, `Filters`, `GroupByAttribute` 파라미터를 업데이트합니다.

다음 예제에서는 지정된 인사이트를 업데이트합니다. 이 예제는 Linux, macOS 또는 Unix용으로 형식이 지정되며, 가독성을 높이기 위해 백슬래시(\$1) 줄 연속 문자를 사용합니다.

```
$ aws securityhub update-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' --name "High severity role findings"
```

------
#### [ PowerShell ]

**사용자 지정 인사이트를 편집하려면(PowerShell)**

1. `Update-SHUBInsight` cmdlet을 사용하세요.

1. 사용자 지정 인사이트를 식별할 수 있도록 인사이트의 Amazon 리소스 이름(ARN)을 제공합니다. 사용자 지정 인사이트의 ARN을 가져오려면 `Get-SHUBInsight` cmdlet을 사용하세요.

1. 필요에 따라 `Name`, `Filter`, `GroupByAttribute` 파라미터를 업데이트합니다.

**예제**

```
$Filter = @{
    ResourceType = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "AwsIamRole"
    }
    SeverityLabel = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "HIGH"
    }
}

Update-SHUBInsight -InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" -Filter $Filter -Name "High severity role findings"
```

------

# 사용자 지정 인사이트 삭제
<a name="securityhub-custom-insight-delete-console"></a>

 AWS Security Hub CSPM에서 사용자 지정 인사이트를 사용하여 특정 결과 세트를 수집하고 사용자 환경에 고유한 문제를 추적할 수 있습니다. 사용자 지정 인사이트에 대한 배경 정보는 [Security Hub CSPM의 사용자 지정 인사이트 이해](securityhub-custom-insights.md) 섹션을 참조하세요.

사용자 지정 인사이트를 삭제하려면 원하는 방법을 선택하고 지침을 따르세요. 관리형 인상이트를 삭제할 수 없습니다.

------
#### [ Security Hub CSPM console ]

**사용자 지정 인사이트를 삭제하려면(콘솔)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.

1. 탐색 창에서 **인사이트**를 선택합니다.

1. 삭제할 사용자 지정 인사이트를 찾습니다.

1. 이러한 인사이트를 보려면 추가 옵션 아이콘(카드 오른쪽 상단에 있는 점 세 개)을 선택합니다.

1. **삭제**를 선택합니다.

------
#### [ Security Hub CSPM API ]

**사용자 지정 인사이트를 삭제하려면(API)**

1. Security Hub CSPM API의 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DeleteInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DeleteInsight.html) 작업을 사용합니다. 를 사용하는 경우 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-insight.html) 명령을 AWS CLI 실행합니다.

1. 삭제할 사용자 지정 인사이트를 식별하려면 해당 인사이트의 ARN을 제공하세요. 사용자 지정 인사이트의 ARN을 가져오려면 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html) 작업 또는 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html)을(를) 사용합니다.

다음 예제에서는 지정한 인사이트를 삭제합니다. 이 예제는 Linux, macOS 또는 Unix용으로 형식이 지정되며, 가독성을 높이기 위해 백슬래시(\$1) 줄 연속 문자를 사용합니다.

```
$ aws securityhub delete-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------
#### [ PowerShell ]

**사용자 지정 인사이트를 삭제하려면(PowerShell)**

1. `Remove-SHUBInsight` cmdlet을 사용하세요.

1. 사용자 지정 인사이트를 식별하려면 인사이트의 ARN을 제공하세요. 사용자 지정 인사이트의 ARN을 가져오려면 `Get-SHUBInsight` cmdlet을 사용하세요.

**예제**

```
-InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------