Visualizar e tomar medidas em resultados e descobertas de insight - AWS Security Hub
Visualizar e tomar medidas em relação a resultados de insights (console)Visualizar e tomar medidas em relação às descobertas de um resultado de insight (console)

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Visualizar e tomar medidas em resultados e descobertas de insight

Para cada insight, o AWS Security Hub primeiro determina as descobertas que correspondem aos critérios de filtro e, depois, usa o atributo de agrupamento para agrupar as descobertas correspondentes.

Na página Insights do console, você pode visualizar e agir em relação a resultados e a descobertas.

Se você habilitar a agregação entre regiões, os resultados para insights gerenciados (quando você fez login na região de agregação) incluirão descobertas da região de agregação e das regiões vinculadas. Os resultados de insights personalizados, se o insight não for filtrado por região, incluirão descobertas da região de agregação e das regiões vinculadas (quando você fez login na região de agregação). Em outras regiões, os resultados do insight são somente para aquela região.

Para obter informações sobre agregação entre regiões, consulte Compreender a agregação entre regiões do Security Hub.

Visualizar e tomar medidas em relação a resultados de insights (console)

Os resultados do insight consistem em uma lista agrupada dos resultados para o insight. Por exemplo, se o insight for agrupado por identificadores de recurso, os resultados de insight serão a lista de identificadores de recurso. Cada item na lista de resultados indica o número de descobertas correspondentes para esse item.

Se as descobertas forem agrupadas por identificador de recurso ou tipo de recurso, os resultados incluirão todos os recursos nas descobertas correspondentes. Isso inclui recursos que têm um tipo diferente do tipo de recurso especificado nos critérios de filtro. Por exemplo, um insight identifica descobertas associadas aos buckets do S3. Se uma descoberta correspondente contiver um recurso de bucket do S3 e a um recurso de chave de acesso do IAM, os resultados do insight incluirão ambos os recursos.

No console do Security Hub, a lista de resultados é classificada em ordem decrescente por quantidade de descobertas correspondentes. O Security Hub só pode exibir 100 resultados. Se houver mais de 100 valores de agrupamento, você verá somente os 100 primeiros.

Além da lista de resultados, os resultados do insight exibem um conjunto de gráficos resumindo o número de descobertas correspondentes para os seguintes atributos.

  • Rótulo de gravidade – número de descobertas para cada rótulo de gravidade

  • Conta da AWS ID – cinco principais IDs de conta para as descobertas correspondentes

  • Tipo de recurso – cinco principais tipos de recurso para as descobertas correspondentes

  • ID do recurso – cinco principais IDs de recurso para as descobertas correspondentes

  • Nome do produto – cinco principais provedores para as descobertas correspondentes

Se você configurou ações personalizadas, poderá enviar resultados selecionados para uma ação personalizada. A ação deve ser associada a uma regra do Amazon CloudWatch para o tipo de evento Security Hub Insight Results. Para obter mais informações, consulte Usar o EventBridge para resposta e remediação automatizada. Se você não configurou ações personalizadas, o menu Ações será desabilitado.

Security Hub console
Para visualizar e agir em relação a resultados de insights (console)

  1. Abra o console do AWS Security Hub em https://console.aws.amazon.com/securityhub/.

  2. No painel de navegação, escolha Insights.

  3. Para exibir a lista de resultados de insight, escolha o nome do insight.

  4. Marque a caixa de seleção para cada resultado a ser enviado para a ação personalizada.

  5. No menu Actions (Ações), escolha a ação personalizada.

Security Hub API, AWS CLI

Para visualizar e agir em relação aos resultados de insights (API, AWS CLI)

Para visualizar resultados de insights, use a operação >GetInsightResults da API do Security Hub. Se você usar a AWS CLI, execute o comando get-insight-results.

Para identificar o insight para o qual retornar resultados, você precisa do ARN do insight. Para obter os ARNs dos personalizados, use a operação da API GetInsights ou o comando get-insight-results.

O exemplo a seguir recupera os resultados para o insight especificado. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\)” para melhorar a legibilidade.

$ aws securityhub get-insight-results --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Para obter informações sobre como criar ações personalizadas programaticamente, consulte Usando ações personalizadas para enviar descobertas e resultados de insights para o EventBridge.

Visualizar e tomar medidas em relação às descobertas de um resultado de insight (console)

Na lista de resultados de insights no console do Security Hub, você pode exibir a lista de descobertas para cada resultado.

Como exibir e agir em relação a descobertas de insights (console)

  1. Abra o console do AWS Security Hub em https://console.aws.amazon.com/securityhub/.

  2. No painel de navegação, escolha Insights.

  3. Para exibir a lista de resultados de insight, escolha o nome do insight.

  4. Para exibir a lista de descobertas para um resultado de insight, escolha o item na lista de resultados. A lista de descobertas mostra as descobertas ativas para o resultado do insight selecionado com um status de fluxo de trabalho de NEW ou NOTIFIED.

Na lista de descobertas, você pode realizar as seguintes ações: