了解 Security Hub 中的自定义洞察 - AWS Security Hub

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

了解 Security Hub 中的自定义洞察

除了 Sec AWS urity Hub 托管见解之外,您还可以在 Security Hub 中创建自定义见解,以跟踪特定于您的环境的问题。自定义洞察可帮助您跟踪一部分精选问题。

以下是一些可能有助于设置的自定义见解示例:

  • 如果您拥有管理员账户,则可以设置自定义见解来跟踪影响成员账户的关键和高严重性调查发现。

  • 如果您依赖特定的集成 AWS 服务,则可以设置自定义洞察来跟踪该服务的关键和高严重性发现。

  • 如果您依赖第三方集成,您可以设置一个自定义见解来跟踪来自该集成产品的关键和高严重性结果。

您可以创建全新的自定义见解,也可以从现有的自定义见解或托管见解开始。

每个洞察都可以配置以下选项:

  • 分组属性——分组属性确定了在见解结果列表中显示哪些项目。例如,如果分组属性是产品名称,则洞察结果会显示与每个调查发现提供者关联的调查发现数量。

  • 可选筛选条件——筛选条件将缩小见解的匹配调查发现的范围。

    只有当调查发现符合所有提供的筛选条件时,它才会包含在洞察结果中。例如,如果筛选条件为 “产品名称为 GuardDuty”,“资源类型为AwsS3Bucket”,则匹配的结果必须符合这两个条件。

    不过,Security Hub 会对使用相同属性但不同值的筛选条件应用布尔值 OR 逻辑。例如,如果筛选条件为 “商品名称为”,“商品名称为 Amazon In GuardDuty spector”,则如果搜索结果由亚马逊 GuardDuty 或亚马逊检查员生成,则结果与之匹配。

如果您使用资源标识符或资源类型作为分组属性,则洞察结果会包括匹配调查发现中的所有资源。该列表不限于与资源类型筛选条件匹配的资源。例如,见解可以识别与 S3 存储桶关联的调查发现,并按资源标识符对这些调查发现进行分组。匹配的调查发现同时包含 S3 存储桶资源和 IAM 访问密钥资源。见解结果包括这两种资源。

如果您启用了跨区域聚合,然后创建自定义洞察,则该洞察会应用于聚合区域和关联区域中的匹配调查发现。例外情况是洞察包含区域筛选条件。