本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 创建自定义见解
在 S AWS ecurity Hub CSPM 中,可以使用自定义见解来收集一组特定的调查结果并跟踪您的环境所特有的问题。有关自定义见解的背景信息,请参阅[了解 Security Hub CSPM 中的自定义见解](securityhub-custom-insights.md)。
选择您喜欢的方法,然后按照以下步骤在 Security Hub CSPM 中创建自定义见解
------
#### [ Security Hub CSPM console ]
**创建自定义见解(控制台)**
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. 在导航窗格中,选择 **Insights**。
1. 选择**创建见解**。
1. 要为见解选择分组属性,请执行以下操作:
1. 选择搜索框以显示筛选选项。
1. 选择**分组依据**。
1. 选择要用于对与该见解关联的调查发现进行分组的属性。
1. 选择**应用**。
1. (可选)选择要用于此见解的任何其他筛选条件。为每个筛选条件定义筛选标准,然后选择**应用**。
1. 选择**创建见解**。
1. 输入**见解名称**,然后选择**创建见解**。
------
#### [ Security Hub CSPM API ]
**创建自定义见解(API)**
1. 要创建自定义见解,请使用 Security Hub CSPM API 的 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateInsight.html) 操作。如果您使用 AWS CLI,请运行该[https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-insight.html)命令。
1. 为自定义见解输入 `Name` 参数名称。
1. 填充 `Filters` 参数以指定要在见解中包含哪些调查发现。
1. 填充 `GroupByAttribute` 参数以指定使用哪个属性对包含在见解中的调查发现进行分组。
1. 或者,填充 `SortCriteria` 参数以按特定字段对调查发现进行排序。
以下示例会创建一个自定义见解,其中包括具有 `AwsIamRole` 资源类型的重要调查发现。此示例是针对 Linux、macOS 或 Unix 进行格式化的,它使用反斜杠(\$1)行继续符来提高可读性。
```
$ aws securityhub create-insight --name "Critical role findings" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' --group-by-attribute "ResourceId"
```
------
#### [ PowerShell ]
**创建自定义见解 (PowerShell)**
1. 使用 `New-SHUBInsight` cmdlet。
1. 为自定义见解输入 `Name` 参数名称。
1. 填充 `Filter` 参数以指定要在见解中包含哪些调查发现。
1. 填充 `GroupByAttribute` 参数以指定使用哪个属性对包含在见解中的调查发现进行分组。
如果您已启用[跨区域聚合](finding-aggregation.md)并使用聚合区域中的此 cmdlet,则该见解将应用于聚合和关联区域的匹配调查发现。
**示例**
```
$Filter = @{
AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{
Comparison = "EQUALS"
Value = "XXX"
}
ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{
Comparison = "EQUALS"
Value = 'FAILED'
}
}
New-SHUBInsight -Filter $Filter -Name TestInsight -GroupByAttribute ResourceId
```
------
## 从托管见解创建自定义见解(仅限控制台)
您无法保存对托管见解的更改,也无法删除托管见解。但是,您可以将托管见解用作自定义见解的基础。这仅是 Security Hub CSPM 控制台中的一个选项。
**从托管见解创建自定义见解(控制台)**
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. 在导航窗格中,选择 **Insights**。
1. 选择要使用的托管见解。
1. 根据需要编辑见解配置。
+ 要更改用于对见解中的调查发现进行分组的属性,请执行以下操作:
1. 要删除现有分组,请选择**分组**设置旁边的 **X**。
1. 选择搜索框。
1. 选择要用于分组的属性。
1. 选择**应用**。
+ 要从见解中删除筛选条件,请选择筛选条件旁边带圆圈的 **X**。
+ 要将筛选条件添加到见解,请执行以下操作:
1. 选择搜索框。
1. 选择要用作筛选条件的属性和值。
1. 选择**应用**。
1. 更新完成后,请选择**创建见解**。
1. 在出现提示时,输入**见解名称**,然后选择**创建见解**。