本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 了解 Security Hub CSPM 中的自定义见解
<a name="securityhub-custom-insights"></a>

除了 S AWS ecurity Hub CSPM 托管见解外，您还可以在 Security Hub CSPM 中创建自定义见解，以跟踪特定于您的环境的问题。自定义见解可帮助您跟踪一部分精选问题。

以下是一些可能有助于设置的自定义见解示例：
+ 如果您拥有管理员账户，则可以设置自定义见解来跟踪影响成员账户的关键和高严重性调查发现。
+ 如果您依赖特定的[集成 AWS 服务](securityhub-internal-providers.md)，则可以设置自定义洞察来跟踪该服务的关键和高严重性发现。
+ 如果您依赖[第三方集成](securityhub-partner-providers.md)，您可以设置一个自定义见解来跟踪来自该集成产品的关键和高严重性调查发现。

您可以创建全新的自定义见解，也可以从现有的自定义见解或托管见解开始。

每个见解都可以配置以下选项：
+ **分组属性**——分组属性确定了在见解结果列表中显示哪些项目。例如，如果分组属性是**产品名称**，则见解结果会显示与每个调查发现提供者关联的调查发现数量。
+ **可选筛选条件**——筛选条件将缩小见解的匹配调查发现的范围。

  只有当调查发现符合所有提供的筛选条件时，它才会包含在见解结果中。例如，如果筛选条件为 “产品名称为 GuardDuty”，“资源类型为`AwsS3Bucket`”，则匹配的结果必须符合这两个条件。

  但是，Security Hub CSPM 会对使用相同属性但不同值的筛选条件应用布尔值 OR 逻辑。例如，如果筛选条件为 “商品名称为”，“商品名称为 Amazon In GuardDuty spector”，则如果搜索结果由亚马逊 GuardDuty 或亚马逊检查员生成，则结果与之匹配。

如果您使用资源标识符或资源类型作为分组属性，则见解结果会包括匹配调查发现中的所有资源。该列表不限于与资源类型筛选条件匹配的资源。例如，见解可以识别与 S3 存储桶关联的调查发现，并按资源标识符对这些调查发现进行分组。匹配的调查发现同时包含 S3 存储桶资源和 IAM 访问密钥资源。见解结果包括这两种资源。

如果您启用了[跨区域聚合](finding-aggregation.md)，然后创建自定义见解，则该见解会应用于聚合区域和关联区域中的匹配调查发现。例外情况是见解包含区域筛选条件。

# 创建自定义见解
<a name="securityhub-custom-insight-create-api"></a>

在 S AWS ecurity Hub CSPM 中，可以使用自定义见解来收集一组特定的调查结果并跟踪您的环境所特有的问题。有关自定义见解的背景信息，请参阅[了解 Security Hub CSPM 中的自定义见解](securityhub-custom-insights.md)。

选择您喜欢的方法，然后按照以下步骤在 Security Hub CSPM 中创建自定义见解

------
#### [ Security Hub CSPM console ]

**创建自定义见解（控制台）**

1. 打开 S AWS ecurity Hub CSPM 控制台，网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. 在导航窗格中，选择 **Insights**。

1. 选择**创建见解**。

1. 要为见解选择分组属性，请执行以下操作：

   1. 选择搜索框以显示筛选选项。

   1. 选择**分组依据**。

   1. 选择要用于对与该见解关联的调查发现进行分组的属性。

   1. 选择**应用**。

1. （可选）选择要用于此见解的任何其他筛选条件。为每个筛选条件定义筛选标准，然后选择**应用**。

1. 选择**创建见解**。

1. 输入**见解名称**，然后选择**创建见解**。

------
#### [ Security Hub CSPM API ]

**创建自定义见解（API）**

1. 要创建自定义见解，请使用 Security Hub CSPM API 的 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateInsight.html) 操作。如果您使用 AWS CLI，请运行该[https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-insight.html)命令。

1. 为自定义见解输入 `Name` 参数名称。

1. 填充 `Filters` 参数以指定要在见解中包含哪些调查发现。

1. 填充 `GroupByAttribute` 参数以指定使用哪个属性对包含在见解中的调查发现进行分组。

1. 或者，填充 `SortCriteria` 参数以按特定字段对调查发现进行排序。

以下示例会创建一个自定义见解，其中包括具有 `AwsIamRole` 资源类型的重要调查发现。此示例是针对 Linux、macOS 或 Unix 进行格式化的，它使用反斜杠（\$1）行继续符来提高可读性。

```
$ aws securityhub create-insight --name "Critical role findings" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' --group-by-attribute "ResourceId"
```

------
#### [ PowerShell ]

**创建自定义见解 (PowerShell)**

1. 使用 `New-SHUBInsight` cmdlet。

1. 为自定义见解输入 `Name` 参数名称。

1. 填充 `Filter` 参数以指定要在见解中包含哪些调查发现。

1. 填充 `GroupByAttribute` 参数以指定使用哪个属性对包含在见解中的调查发现进行分组。

如果您已启用[跨区域聚合](finding-aggregation.md)并使用聚合区域中的此 cmdlet，则该见解将应用于聚合和关联区域的匹配调查发现。

**示例**

```
$Filter = @{
    AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "XXX"
    }
    ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = 'FAILED'
    }
}
New-SHUBInsight -Filter $Filter -Name TestInsight -GroupByAttribute ResourceId
```

------

## 从托管见解创建自定义见解（仅限控制台）
<a name="securityhub-custom-insight-frrom-managed"></a>

您无法保存对托管见解的更改，也无法删除托管见解。但是，您可以将托管见解用作自定义见解的基础。这仅是 Security Hub CSPM 控制台中的一个选项。

**从托管见解创建自定义见解（控制台）**

1. 打开 S AWS ecurity Hub CSPM 控制台，网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. 在导航窗格中，选择 **Insights**。

1. 选择要使用的托管见解。

1. 根据需要编辑见解配置。
   + 要更改用于对见解中的调查发现进行分组的属性，请执行以下操作：

     1. 要删除现有分组，请选择**分组**设置旁边的 **X**。

     1. 选择搜索框。

     1. 选择要用于分组的属性。

     1. 选择**应用**。
   + 要从见解中删除筛选条件，请选择筛选条件旁边带圆圈的 **X**。
   + 要将筛选条件添加到见解，请执行以下操作：

     1. 选择搜索框。

     1. 选择要用作筛选条件的属性和值。

     1. 选择**应用**。

1. 更新完成后，请选择**创建见解**。

1. 在出现提示时，输入**见解名称**，然后选择**创建见解**。

# 编辑自定义见解
<a name="securityhub-custom-insight-modify-console"></a>

您可以编辑现有的自定义见解来更改分组值和筛选条件。进行更改后，您可以保存对原始见解的更新，或将更新后的版本另存为新见解。

在 S AWS ecurity Hub CSPM 中，可以使用自定义见解来收集一组特定的调查结果并跟踪您的环境所特有的问题。有关自定义见解的背景信息，请参阅[了解 Security Hub CSPM 中的自定义见解](securityhub-custom-insights.md)。

要编辑自定义见解，请选择您的首选方法，然后按照说明操作。

------
#### [ Security Hub CSPM console ]

**编辑自定义见解（控制台）**

1. 打开 S AWS ecurity Hub CSPM 控制台，网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. 在导航窗格中，选择 **Insights**。

1. 选择要修改的自定义见解。

1. 根据需要编辑见解配置。
   + 要更改用于对见解中的调查发现进行分组的属性，请执行以下操作：

     1. 要删除现有分组，请选择**分组**设置旁边的 **X**。

     1. 选择搜索框。

     1. 选择要用于分组的属性。

     1. 选择**应用**。
   + 要从见解中删除筛选条件，请选择筛选条件旁边带圆圈的 **X**。
   + 要将筛选条件添加到见解，请执行以下操作：

     1. 选择搜索框。

     1. 选择要用作筛选条件的属性和值。

     1. 选择**应用**。

1. 完成更新后，请选择**保存见解**。

1. 在出现提示时，执行下列操作之一：
   + 要更新现有洞察以反映您的更改，**请选择 “更新**”，*<Insight\$1Name>*然后选择 “**保存见解**”。
   + 要使用更新创建新的见解，请选择**保存新见解**。输入**见解名称**，然后选择**保存见解**。

------
#### [ Security Hub CSPM API ]

**编辑自定义见解（API）**

1. 使用 Security Hub CSPM API 的 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateInsight.html) 操作。如果你使用，请 AWS CLI 运行[https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-insight.html)命令。

1. 要识别您要更新的自定义见解，请提供该见解的 Amazon 资源名称（ARN）。要获取自定义见解的 ARN，请使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html) 操作或 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html) 命令。

1. 根据需要更新参数 `Name`、`Filters` 和 `GroupByAttribute`。

以下示例会更新指定的见解。此示例是针对 Linux、macOS 或 Unix 进行格式化的，它使用反斜杠（\$1）行继续符来提高可读性。

```
$ aws securityhub update-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' --name "High severity role findings"
```

------
#### [ PowerShell ]

**编辑自定义见解 (PowerShell)**

1. 使用 `Update-SHUBInsight` cmdlet。

1. 要识别自定义见解，请提供见解的 Amazon 资源名称（ARN）。要获取自定义见解的 ARN，请使用 `Get-SHUBInsight` cmdlet。

1. 根据需要更新参数 `Name`、`Filter` 和 `GroupByAttribute`。

**示例**

```
$Filter = @{
    ResourceType = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "AwsIamRole"
    }
    SeverityLabel = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "HIGH"
    }
}

Update-SHUBInsight -InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" -Filter $Filter -Name "High severity role findings"
```

------

# 删除自定义见解
<a name="securityhub-custom-insight-delete-console"></a>

在 S AWS ecurity Hub CSPM 中，可以使用自定义见解来收集一组特定的调查结果并跟踪您的环境所特有的问题。有关自定义见解的背景信息，请参阅[了解 Security Hub CSPM 中的自定义见解](securityhub-custom-insights.md)。

要删除自定义见解，请选择您的首选方法，然后按照说明操作。您无法删除托管见解。

------
#### [ Security Hub CSPM console ]

**删除自定义见解（控制台）**

1. 打开 S AWS ecurity Hub CSPM 控制台，网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. 在导航窗格中，选择 **Insights**。

1. 找到要删除的自定义见解。

1. 对于该见解，请选择更多选项图标（卡右上角的三个点）。

1. 选择**删除**。

------
#### [ Security Hub CSPM API ]

**删除自定义见解（API）**

1. 使用 Security Hub CSPM API 的 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DeleteInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DeleteInsight.html) 操作。如果你使用，请 AWS CLI 运行[https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-insight.html)命令。

1. 要识别删除的自定义见解，请提供见解的 ARN。要获取自定义见解的 ARN，请使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html) 操作或 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html) 命令。

以下示例会删除指定的见解。此示例是针对 Linux、macOS 或 Unix 进行格式化的，它使用反斜杠（\$1）行继续符来提高可读性。

```
$ aws securityhub delete-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------
#### [ PowerShell ]

**删除自定义见解 (PowerShell)**

1. 使用 `Remove-SHUBInsight` cmdlet。

1. 要识别自定义见解，请提供该见解的 ARN。要获取自定义见解的 ARN，请使用 `Get-SHUBInsight` cmdlet。

**示例**

```
-InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------