本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 在 Security Hub CSPM 中查看见解
在 S AWS ecurity Hub CSPM 中,*见解*是相关发现的集合。见解可以确定需要注意和干预的特定安全领域。例如,见解可能会指出发现不良安全做法的调查结果所针对的实 EC2 例。见解汇集了来自各个调查发现提供商的结果。
每个见解由一个分组依据语句和多个可选的筛选条件定义。分组依据语句指示如何对匹配的调查发现进行分组,并确定见解应用于的项目的类型。例如,如果见解按资源标识符分组,则该见解会生成资源标识符列表。可选的筛选条件用于识别与见解匹配的调查发现。例如,您可能希望仅查看来自特定提供商的调查发现或与特定类型的资源相关的调查发现。
Security Hub CSPM 提供了多个内置的托管见解。您无法修改或删除托管见解。要跟踪您的 AWS 环境和使用情况所特有的安全问题,您可以创建自定义见解。
Sec AWS urity Hub CSPM 控制台上的 “**见解**” 页面显示可用见解列表。
默认情况下,该列表同时显示托管和自定义见解。要根据见解类型筛选见解列表,请从筛选字段旁边的下拉菜单中选择见解类型。
+ 要显示所有可用的见解,请选择**所有见解**。这是默认选项。
+ 要仅显示托管见解,请选择 **Security Hub CSPM 托管见解**。
+ 要仅显示自定义见解,请选择**自定义见解**。
您还可以根据见解名称筛选见解列表。为此,在筛选字段中,键入用于筛选列表的文本。筛选不区分大小写。筛选器会查找在见解名称中任意位置包含文本的见解。
仅在启用了集成或标准来生成匹配的调查发现时,见解才返回结果。例如,托管见解 **29. 仅当您启用 Center for Internet Security(CIS) AWS 基金会基准标准版本时,失败的 CIS 检查次数排在首位的资源**才会返回结果。
# 查看 Security Hub CSPM 中的见解并对其采取行动
对于每个见解,S AWS ecurity Hub CSPM 首先确定与筛选条件匹配的结果,然后使用分组属性对匹配的结果进行分组。
在控制台上的**见解**页面中,您可以查看结果和调查发现并执行相应操作。
如果您启用跨区域聚合,则托管见解的结果(在您登录到聚合区域后)包括聚合区域和关联区域的调查发现。如果见解未按区域筛选,则自定义见解的结果还会包括聚合区域和关联区域的调查发现(在您登录到聚合区域后)。在其他区域,见解结果仅适用于本区域。
有关配置跨区域聚合的信息,请参阅[了解 Security Hub CSPM 中的跨区域聚合](finding-aggregation.md)。
## 查看见解结果并执行相应操作
见解结果由见解结果的分组列表组成。例如,如果见解按资源标识符进行分组,则见解结果是资源标识符的列表。结果列表中的每个项均指示该项的匹配调查发现数。
如果调查发现按资源标识符或资源类型分组,则结果会包括匹配调查发现中的所有资源。这包括与筛选条件中指定的资源类型不同的资源。例如,一个见解识别与 S3 存储桶相关联的调查发现。如果匹配的调查发现同时包含 S3 存储桶资源和 IAM 访问密钥资源,则洞察结果会包括这两种资源。
在 Security Hub CSPM 控制台上,结果列表从匹配率最高的调查发现到匹配率最低的调查发现排序。Security Hub CSPM 只能显示 100 个结果。如果分组值超过 100 个,则只能看到前 100 个。
除了结果列表之外,见解结果还显示一组图表,其中汇总了以下属性的匹配调查发现数。
+ **严重性标签**——每个严重性标签的调查发现数
+ **AWS 账户 ID** — 匹配结果的前五个原因 IDs
+ **资源类型**——匹配调查发现的前 5 个资源类型
+ **资源 ID**-匹配结果的前五个资源 IDs
+ **产品名称**——匹配的调查发现的前 5 个调查发现提供商
如果您已配置自定义操作,则可以将选定结果发送到自定义操作。该操作必须与`Security Hub Insight Results`事件类型的 Amazon CloudWatch 规则相关联。有关更多信息,请参阅 [EventBridge 用于自动响应和补救](securityhub-cloudwatch-events.md)。如果您尚未配置自定义操作,则**操作**菜单处于禁用状态。
------
#### [ Security Hub CSPM console ]
**查看见解结果并执行相应操作(控制台)**
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. 在导航窗格中,选择 **Insights**。
1. 要显示见解结果列表,请选择见解名称。
1. 选中要发送到自定义操作的每个结果的复选框。
1. 从**操作**菜单中,选择自定义操作。
------
#### [ Security Hub CSPM API, AWS CLI ]
**要查看洞察结果并对其采取行动(API, AWS CLI)**
要查看见解结果,请使用 Security Hub CSPM API 的 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetInsightResults.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetInsightResults.html) 操作。如果您使用 AWS CLI,请运行该[https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html)命令。
要确定要返回结果的见解,您需要见解 ARN。要获取自定义见解 ARNs 的见解,请使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html)API 操作或[https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html)命令。
以下示例会检索指定见解的结果。此示例是针对 Linux、macOS 或 Unix 进行格式化的,它使用反斜杠(\$1)行继续符来提高可读性。
```
$ aws securityhub get-insight-results --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```
有关如何以编程方式创建自定义操作的信息,请参阅[使用自定义操作将调查结果和见解结果发送到 EventBridge](securityhub-cwe-custom-actions.md)。
------
## 查看见解结果调查发现并执行相应操作(控制台)
从 Security Hub CSPM 控制台上的见解结果列表中,您可以显示每个结果的调查发现列表。
**显示见解调查发现并执行相应操作(控制台)**
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. 在导航窗格中,选择 **Insights**。
1. 要显示见解结果列表,请选择见解名称。
1. 要显示见解结果的调查结果列表,请从结果列表中选择项目。调查发现结果列表显示了工作流状态为 `NEW` 或 `NOTIFIED` 的所选见解结果的活动调查发现。
从调查发现列表中,您可以执行以下操作:
+ [在 Security Hub CSPM 中筛选调查发现](securityhub-findings-manage.md)
+ [查看调查发现的详细信息和历史记录](securityhub-findings-viewing.md#finding-view-details-console)
+ [在 Security Hub CSPM 中设置调查发现的工作流状态](findings-workflow-status.md)
+ [将调查发现发送到自定义 Security Hub CSPM 操作](findings-custom-action.md)
# Security Hub CSPM 中的托管见解
AWS Security Hub CSPM 提供了多种托管见解。
您无法编辑或删除 Security Hub CSPM 托管见解。您可以[查看见解结果和调查发现并采取措施](securityhub-insights-view-take-action.md)。您还可以[将托管见解用作新的自定义见解的基础](securityhub-custom-insight-create-api.md#securityhub-custom-insight-frrom-managed)。
与所有见解一样,仅在启用了产品集成或安全标准来生成匹配的调查发现时,托管见解才返回结果。
对于按资源标识符分组的见解,结果包括匹配调查发现中所有资源的标识符。这包括与筛选条件中的资源类型不同的资源。例如,以下列表中的见解 2 识别与 Amazon S3 存储桶关联的调查发现。如果匹配的调查发现同时包含 S3 存储桶资源和 IAM 访问密钥资源,则见解结果会包括这两种资源。
Security Hub CSPM 目前提供了以下托管见解:
**1。 AWS 发现最多的资源**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/1`
**分组依据:**资源标识符
**调查发现筛选条件:**
+ 记录状态为 `ACTIVE`
+ 工作流状态为 `NEW` 或 `NOTIFIED`
**2. 具有公共写入或读取权限的 S3 存储桶**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/10`
**分组依据:**资源标识符
**调查发现筛选条件:**
+ 类型以 `Effects/Data Exposure` 开头
+ 资源类型为 `AwsS3Bucket`
+ 记录状态为 `ACTIVE`
+ 工作流状态为 `NEW` 或 `NOTIFIED`
**3。 AMIs 得出的发现最多**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/3`
**分组依据:** EC2 实例镜像 ID
**调查发现筛选条件:**
+ 资源类型为 `AwsEc2Instance`
+ 记录状态为 `ACTIVE`
+ 工作流状态为 `NEW` 或 `NOTIFIED`
**4。 EC2 已知战术、技术和程序中涉及的实例 (TTPs)**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/14`
**分组依据:**资源 ID
**调查发现筛选条件:**
+ 类型以 `TTPs` 开头
+ 资源类型为 `AwsEc2Instance`
+ 记录状态为 `ACTIVE`
+ 工作流状态为 `NEW` 或 `NOTIFIED`
**5。 AWS 访问密钥活动可疑的校长**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/9`
**分组依据:**IAM 访问密钥主体名称
**调查发现筛选条件:**
+ 资源类型为 `AwsIamAccessKey`
+ 记录状态为 `ACTIVE`
+ 工作流状态为 `NEW` 或 `NOTIFIED`
**6。 AWS 不符合安全标准/最佳实践的资源实例**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/6`
**分组依据:**资源 ID
**调查发现筛选条件:**
+ 类型为 `Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices`
+ 记录状态为 `ACTIVE`
+ 工作流状态为 `NEW` 或 `NOTIFIED`
**7。 AWS 与潜在数据泄露相关的资源**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/7`
**分组依据:**资源 ID
**调查发现筛选条件:**
+ 类型以 Effects/Data Exfiltration/ 开头
+ 记录状态为 `ACTIVE`
+ 工作流状态为 `NEW` 或 `NOTIFIED`
**8。 AWS 与未经授权的资源消耗相关的资源**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/8`
**分组依据:**资源 ID
**调查发现筛选条件:**
+ 类型以 `Effects/Resource Consumption` 开头
+ 记录状态为 `ACTIVE`
+ 工作流状态为 `NEW` 或 `NOTIFIED`
**9. 不符合安全标准/最佳实践的 S3 存储桶**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/11`
**分组依据:**资源 ID
**调查发现筛选条件:**
+ 资源类型为 `AwsS3Bucket`
+ 类型为 `Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices`
+ 记录状态为 `ACTIVE`
+ 工作流状态为 `NEW` 或 `NOTIFIED`
**10. 具有敏感数据的 S3 存储桶**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/12`
**分组依据:**资源 ID
**调查发现筛选条件:**
+ 资源类型为 `AwsS3Bucket`
+ 类型以 `Sensitive Data Identifications/` 开头
+ 记录状态为 `ACTIVE`
+ 工作流状态为 `NEW` 或 `NOTIFIED`
**11. 可能泄露的凭证**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/13`
**分组依据:**资源 ID
**调查发现筛选条件:**
+ 类型以 `Sensitive Data Identifications/Passwords/` 开头
+ 记录状态为 `ACTIVE`
+ 工作流状态为 `NEW` 或 `NOTIFIED`
**12。 EC2 缺少针对重要漏洞的安全补丁的实例**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/16`
**分组依据:**资源 ID
**调查发现筛选条件:**
+ 类型以 `Software and Configuration Checks/Vulnerabilities/CVE` 开头
+ 资源类型为 `AwsEc2Instance`
+ 记录状态为 `ACTIVE`
+ 工作流状态为 `NEW` 或 `NOTIFIED`
**13。 EC2 具有一般异常行为的实例**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/17`
**分组依据:**资源 ID
**调查发现筛选条件:**
+ 类型以 `Unusual Behaviors` 开头
+ 资源类型为 `AwsEc2Instance`
+ 记录状态为 `ACTIVE`
+ 工作流状态为 `NEW` 或 `NOTIFIED`
**14。 EC2 具有可从互联网访问端口的实例**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/18`
**分组依据:**资源 ID
**调查发现筛选条件:**
+ 类型以 `Software and Configuration Checks/AWS Security Best Practices/Network Reachability` 开头
+ 资源类型为 `AwsEc2Instance`
+ 记录状态为 `ACTIVE`
+ 工作流状态为 `NEW` 或 `NOTIFIED`
**15。 EC2 不符合安全标准/最佳实践的实例**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/19`
**分组依据:**资源 ID
**调查发现筛选条件:**
+ 类型以下列某个项开头:
+ `Software and Configuration Checks/Industry and Regulatory Standards/`
+ `Software and Configuration Checks/AWS Security Best Practices`
+ 资源类型为 `AwsEc2Instance`
+ 记录状态为 `ACTIVE`
+ 工作流状态为 `NEW` 或 `NOTIFIED`
**16。 EC2 向互联网开放的实例**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/21`
**分组依据:**资源 ID
**调查发现筛选条件:**
+ 类型以 `Software and Configuration Checks/AWS Security Best Practices/Network Reachability` 开头
+ 资源类型为 `AwsEc2Instance`
+ 记录状态为 `ACTIVE`
+ 工作流状态为 `NEW` 或 `NOTIFIED`
**17。 EC2 与对手侦察相关的实例**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/22`
**分组依据:**资源 ID
**调查发现筛选条件:**
+ 类型以 /Discovery TTPs /Recon 开头
+ 资源类型为 `AwsEc2Instance`
+ 记录状态为 `ACTIVE`
+ 工作流状态为 `NEW` 或 `NOTIFIED`
**18。 AWS 与恶意软件关联的资源**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/23`
**分组依据:**资源 ID
**调查发现筛选条件:**
+ 类型以下列某个项开头:
+ `Effects/Data Exfiltration/Trojan`
+ `TTPs/Initial Access/Trojan`
+ `TTPs/Command and Control/Backdoor`
+ `TTPs/Command and Control/Trojan`
+ `Software and Configuration Checks/Backdoor`
+ `Unusual Behaviors/VM/Backdoor`
+ 记录状态为 `ACTIVE`
+ 工作流状态为 `NEW` 或 `NOTIFIED`
**19。 AWS 与加密货币问题相关的资源**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/24`
**分组依据:**资源 ID
**调查发现筛选条件:**
+ 类型以下列某个项开头:
+ `Effects/Resource Consumption/Cryptocurrency`
+ `TTPs/Command and Control/CryptoCurrency`
+ 记录状态为 `ACTIVE`
+ 工作流状态为 `NEW` 或 `NOTIFIED`
**20。 AWS 尝试未经授权访问的资源**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/25`
**分组依据:**资源 ID
**调查发现筛选条件:**
+ 类型以下列某个项开头:
+ `TTPs/Command and Control/UnauthorizedAccess`
+ `TTPs/Initial Access/UnauthorizedAccess`
+ `Effects/Data Exfiltration/UnauthorizedAccess`
+ `Unusual Behaviors/User/UnauthorizedAccess`
+ `Effects/Resource Consumption/UnauthorizedAccess`
+ 记录状态为 `ACTIVE`
+ 工作流状态为 `NEW` 或 `NOTIFIED`
**21. 上周命中次数最多的威胁情报指标**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/26`
**调查发现筛选条件:**
+ 已在过去 7 天内创建
**22. 按调查发现数排列的顶级账户**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/27`
**分组依据:** AWS 账户 ID
**调查发现筛选条件:**
+ 记录状态为 `ACTIVE`
+ 工作流状态为 `NEW` 或 `NOTIFIED`
**23. 按调查发现数排列的顶级产品**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/28`
**分组依据:**产品名称
**调查发现筛选条件:**
+ 记录状态为 `ACTIVE`
+ 工作流状态为 `NEW` 或 `NOTIFIED`
**24. 按调查发现数排列的严重性**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/29`
**分组依据:**严重性标签
**调查发现筛选条件:**
+ 记录状态为 `ACTIVE`
+ 工作流状态为 `NEW` 或 `NOTIFIED`
**25. 按调查发现数排列的顶级 S3 存储桶**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/30`
**分组依据:**资源 ID
**调查发现筛选条件:**
+ 资源类型为 `AwsS3Bucket`
+ 记录状态为 `ACTIVE`
+ 工作流状态为 `NEW` 或 `NOTIFIED`
**26. 按发现次数排列的热门 EC2 实例**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/31`
**分组依据:**资源 ID
**调查发现筛选条件:**
+ 资源类型为 `AwsEc2Instance`
+ 记录状态为 `ACTIVE`
+ 工作流状态为 `NEW` 或 `NOTIFIED`
**27. AMIs 按发现次数排在首位**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/32`
**分组依据:** EC2 实例镜像 ID
**调查发现筛选条件:**
+ 资源类型为 `AwsEc2Instance`
+ 记录状态为 `ACTIVE`
+ 工作流状态为 `NEW` 或 `NOTIFIED`
**28. 按调查发现数排列的顶级 IAM 用户**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/33`
**分组依据:**IAM 访问密钥 ID
**调查发现筛选条件:**
+ 资源类型为 `AwsIamAccessKey`
+ 记录状态为 `ACTIVE`
+ 工作流状态为 `NEW` 或 `NOTIFIED`
**29. 按失败 CIS 检查数排列的顶级资源**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/34`
**分组依据:**资源 ID
**调查发现筛选条件:**
+ 生成器 ID 以 `arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule` 开头
+ 已在最后一天更新
+ 合规性状态为 `FAILED`
+ 记录状态为 `ACTIVE`
+ 工作流状态为 `NEW` 或 `NOTIFIED`
**30. 按调查发现数排列的顶级集成**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/35`
**分组依据:**产品 ARN
**调查发现筛选条件:**
+ 记录状态为 `ACTIVE`
+ 工作流状态为 `NEW` 或 `NOTIFIED`
**31. 安全检查失败最多的资源**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/36`
**分组依据:**资源 ID
**调查发现筛选条件:**
+ 已在最后一天更新
+ 合规性状态为 `FAILED`
+ 记录状态为 `ACTIVE`
+ 工作流状态为 `NEW` 或 `NOTIFIED`
**32。有可疑活动的 IAM 用户**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/37`
**分组依据:**IAM 用户
**调查发现筛选条件:**
+ 资源类型为 `AwsIamUser`
+ 记录状态为 `ACTIVE`
+ 工作流状态为 `NEW` 或 `NOTIFIED`
**33。 AWS Health 发现最多的资源**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/38`
**分组依据:**资源 ID
**调查发现筛选条件:**
+ `ProductName` 等于 `Health`
**34。 AWS Config 发现最多的资源**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/39`
**分组依据:**资源 ID
**调查发现筛选条件:**
+ `ProductName` 等于 `Config`
**35。调查发现最多的应用程序**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/40`
**分组依据:** ResourceApplicationArn
**调查发现筛选条件:**
+ `RecordState` 等于 `ACTIVE`
+ `Workflow.Status` 等于 `NEW` 或 `NOTIFIED`
# 了解 Security Hub CSPM 中的自定义见解
除了 S AWS ecurity Hub CSPM 托管见解外,您还可以在 Security Hub CSPM 中创建自定义见解,以跟踪特定于您的环境的问题。自定义见解可帮助您跟踪一部分精选问题。
以下是一些可能有助于设置的自定义见解示例:
+ 如果您拥有管理员账户,则可以设置自定义见解来跟踪影响成员账户的关键和高严重性调查发现。
+ 如果您依赖特定的[集成 AWS 服务](securityhub-internal-providers.md),则可以设置自定义洞察来跟踪该服务的关键和高严重性发现。
+ 如果您依赖[第三方集成](securityhub-partner-providers.md),您可以设置一个自定义见解来跟踪来自该集成产品的关键和高严重性调查发现。
您可以创建全新的自定义见解,也可以从现有的自定义见解或托管见解开始。
每个见解都可以配置以下选项:
+ **分组属性**——分组属性确定了在见解结果列表中显示哪些项目。例如,如果分组属性是**产品名称**,则见解结果会显示与每个调查发现提供者关联的调查发现数量。
+ **可选筛选条件**——筛选条件将缩小见解的匹配调查发现的范围。
只有当调查发现符合所有提供的筛选条件时,它才会包含在见解结果中。例如,如果筛选条件为 “产品名称为 GuardDuty”,“资源类型为`AwsS3Bucket`”,则匹配的结果必须符合这两个条件。
但是,Security Hub CSPM 会对使用相同属性但不同值的筛选条件应用布尔值 OR 逻辑。例如,如果筛选条件为 “商品名称为”,“商品名称为 Amazon In GuardDuty spector”,则如果搜索结果由亚马逊 GuardDuty 或亚马逊检查员生成,则结果与之匹配。
如果您使用资源标识符或资源类型作为分组属性,则见解结果会包括匹配调查发现中的所有资源。该列表不限于与资源类型筛选条件匹配的资源。例如,见解可以识别与 S3 存储桶关联的调查发现,并按资源标识符对这些调查发现进行分组。匹配的调查发现同时包含 S3 存储桶资源和 IAM 访问密钥资源。见解结果包括这两种资源。
如果您启用了[跨区域聚合](finding-aggregation.md),然后创建自定义见解,则该见解会应用于聚合区域和关联区域中的匹配调查发现。例外情况是见解包含区域筛选条件。
# 创建自定义见解
在 S AWS ecurity Hub CSPM 中,可以使用自定义见解来收集一组特定的调查结果并跟踪您的环境所特有的问题。有关自定义见解的背景信息,请参阅[了解 Security Hub CSPM 中的自定义见解](securityhub-custom-insights.md)。
选择您喜欢的方法,然后按照以下步骤在 Security Hub CSPM 中创建自定义见解
------
#### [ Security Hub CSPM console ]
**创建自定义见解(控制台)**
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. 在导航窗格中,选择 **Insights**。
1. 选择**创建见解**。
1. 要为见解选择分组属性,请执行以下操作:
1. 选择搜索框以显示筛选选项。
1. 选择**分组依据**。
1. 选择要用于对与该见解关联的调查发现进行分组的属性。
1. 选择**应用**。
1. (可选)选择要用于此见解的任何其他筛选条件。为每个筛选条件定义筛选标准,然后选择**应用**。
1. 选择**创建见解**。
1. 输入**见解名称**,然后选择**创建见解**。
------
#### [ Security Hub CSPM API ]
**创建自定义见解(API)**
1. 要创建自定义见解,请使用 Security Hub CSPM API 的 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateInsight.html) 操作。如果您使用 AWS CLI,请运行该[https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-insight.html)命令。
1. 为自定义见解输入 `Name` 参数名称。
1. 填充 `Filters` 参数以指定要在见解中包含哪些调查发现。
1. 填充 `GroupByAttribute` 参数以指定使用哪个属性对包含在见解中的调查发现进行分组。
1. 或者,填充 `SortCriteria` 参数以按特定字段对调查发现进行排序。
以下示例会创建一个自定义见解,其中包括具有 `AwsIamRole` 资源类型的重要调查发现。此示例是针对 Linux、macOS 或 Unix 进行格式化的,它使用反斜杠(\$1)行继续符来提高可读性。
```
$ aws securityhub create-insight --name "Critical role findings" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' --group-by-attribute "ResourceId"
```
------
#### [ PowerShell ]
**创建自定义见解 (PowerShell)**
1. 使用 `New-SHUBInsight` cmdlet。
1. 为自定义见解输入 `Name` 参数名称。
1. 填充 `Filter` 参数以指定要在见解中包含哪些调查发现。
1. 填充 `GroupByAttribute` 参数以指定使用哪个属性对包含在见解中的调查发现进行分组。
如果您已启用[跨区域聚合](finding-aggregation.md)并使用聚合区域中的此 cmdlet,则该见解将应用于聚合和关联区域的匹配调查发现。
**示例**
```
$Filter = @{
AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{
Comparison = "EQUALS"
Value = "XXX"
}
ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{
Comparison = "EQUALS"
Value = 'FAILED'
}
}
New-SHUBInsight -Filter $Filter -Name TestInsight -GroupByAttribute ResourceId
```
------
## 从托管见解创建自定义见解(仅限控制台)
您无法保存对托管见解的更改,也无法删除托管见解。但是,您可以将托管见解用作自定义见解的基础。这仅是 Security Hub CSPM 控制台中的一个选项。
**从托管见解创建自定义见解(控制台)**
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. 在导航窗格中,选择 **Insights**。
1. 选择要使用的托管见解。
1. 根据需要编辑见解配置。
+ 要更改用于对见解中的调查发现进行分组的属性,请执行以下操作:
1. 要删除现有分组,请选择**分组**设置旁边的 **X**。
1. 选择搜索框。
1. 选择要用于分组的属性。
1. 选择**应用**。
+ 要从见解中删除筛选条件,请选择筛选条件旁边带圆圈的 **X**。
+ 要将筛选条件添加到见解,请执行以下操作:
1. 选择搜索框。
1. 选择要用作筛选条件的属性和值。
1. 选择**应用**。
1. 更新完成后,请选择**创建见解**。
1. 在出现提示时,输入**见解名称**,然后选择**创建见解**。
# 编辑自定义见解
您可以编辑现有的自定义见解来更改分组值和筛选条件。进行更改后,您可以保存对原始见解的更新,或将更新后的版本另存为新见解。
在 S AWS ecurity Hub CSPM 中,可以使用自定义见解来收集一组特定的调查结果并跟踪您的环境所特有的问题。有关自定义见解的背景信息,请参阅[了解 Security Hub CSPM 中的自定义见解](securityhub-custom-insights.md)。
要编辑自定义见解,请选择您的首选方法,然后按照说明操作。
------
#### [ Security Hub CSPM console ]
**编辑自定义见解(控制台)**
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. 在导航窗格中,选择 **Insights**。
1. 选择要修改的自定义见解。
1. 根据需要编辑见解配置。
+ 要更改用于对见解中的调查发现进行分组的属性,请执行以下操作:
1. 要删除现有分组,请选择**分组**设置旁边的 **X**。
1. 选择搜索框。
1. 选择要用于分组的属性。
1. 选择**应用**。
+ 要从见解中删除筛选条件,请选择筛选条件旁边带圆圈的 **X**。
+ 要将筛选条件添加到见解,请执行以下操作:
1. 选择搜索框。
1. 选择要用作筛选条件的属性和值。
1. 选择**应用**。
1. 完成更新后,请选择**保存见解**。
1. 在出现提示时,执行下列操作之一:
+ 要更新现有洞察以反映您的更改,**请选择 “更新**”,**然后选择 “**保存见解**”。
+ 要使用更新创建新的见解,请选择**保存新见解**。输入**见解名称**,然后选择**保存见解**。
------
#### [ Security Hub CSPM API ]
**编辑自定义见解(API)**
1. 使用 Security Hub CSPM API 的 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateInsight.html) 操作。如果你使用,请 AWS CLI 运行[https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-insight.html)命令。
1. 要识别您要更新的自定义见解,请提供该见解的 Amazon 资源名称(ARN)。要获取自定义见解的 ARN,请使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html) 操作或 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html) 命令。
1. 根据需要更新参数 `Name`、`Filters` 和 `GroupByAttribute`。
以下示例会更新指定的见解。此示例是针对 Linux、macOS 或 Unix 进行格式化的,它使用反斜杠(\$1)行继续符来提高可读性。
```
$ aws securityhub update-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' --name "High severity role findings"
```
------
#### [ PowerShell ]
**编辑自定义见解 (PowerShell)**
1. 使用 `Update-SHUBInsight` cmdlet。
1. 要识别自定义见解,请提供见解的 Amazon 资源名称(ARN)。要获取自定义见解的 ARN,请使用 `Get-SHUBInsight` cmdlet。
1. 根据需要更新参数 `Name`、`Filter` 和 `GroupByAttribute`。
**示例**
```
$Filter = @{
ResourceType = [Amazon.SecurityHub.Model.StringFilter]@{
Comparison = "EQUALS"
Value = "AwsIamRole"
}
SeverityLabel = [Amazon.SecurityHub.Model.StringFilter]@{
Comparison = "EQUALS"
Value = "HIGH"
}
}
Update-SHUBInsight -InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" -Filter $Filter -Name "High severity role findings"
```
------
# 删除自定义见解
在 S AWS ecurity Hub CSPM 中,可以使用自定义见解来收集一组特定的调查结果并跟踪您的环境所特有的问题。有关自定义见解的背景信息,请参阅[了解 Security Hub CSPM 中的自定义见解](securityhub-custom-insights.md)。
要删除自定义见解,请选择您的首选方法,然后按照说明操作。您无法删除托管见解。
------
#### [ Security Hub CSPM console ]
**删除自定义见解(控制台)**
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. 在导航窗格中,选择 **Insights**。
1. 找到要删除的自定义见解。
1. 对于该见解,请选择更多选项图标(卡右上角的三个点)。
1. 选择**删除**。
------
#### [ Security Hub CSPM API ]
**删除自定义见解(API)**
1. 使用 Security Hub CSPM API 的 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DeleteInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DeleteInsight.html) 操作。如果你使用,请 AWS CLI 运行[https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-insight.html)命令。
1. 要识别删除的自定义见解,请提供见解的 ARN。要获取自定义见解的 ARN,请使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html) 操作或 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html) 命令。
以下示例会删除指定的见解。此示例是针对 Linux、macOS 或 Unix 进行格式化的,它使用反斜杠(\$1)行继续符来提高可读性。
```
$ aws securityhub delete-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```
------
#### [ PowerShell ]
**删除自定义见解 (PowerShell)**
1. 使用 `Remove-SHUBInsight` cmdlet。
1. 要识别自定义见解,请提供该见解的 ARN。要获取自定义见解的 ARN,请使用 `Get-SHUBInsight` cmdlet。
**示例**
```
-InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```
------