本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在 Security Hub CSPM 中檢視洞見
在 AWS Security Hub CSPM 中,*洞見*是相關調查結果的集合。洞見可以識別需要注意和介入的特定安全區域。舉例來說,洞見可能會指出 EC2 執行個體是偵測到不良安全實務的問題清單主體。洞見結合了各問題清單提供者的問題清單。
每個洞見都會根據 group by 陳述式和選用篩選條件定義。group by 陳述式會指出如何將相符的問題清單分組,並識別套用洞見的項目類型。舉例來說,如果洞見根據資源識別符分組,則洞見會產生資源識別符的清單。選用篩選條件會識別洞見的相符調查結果。例如,您可能只想查看特定提供者的問題清單或與特定類型資源相關聯的問題清單。
Security Hub CSPM 提供數個內建的受管洞察。您無法修改或刪除受管洞察。若要追蹤您 AWS 環境和用量特有的安全問題,您可以建立自訂洞見。
AWS Security Hub CSPM 主控台上的 **Insights** 頁面會顯示可用的洞見清單。
根據預設,清單會顯示受管和自訂洞見。若要根據洞見類型篩選洞見清單,請從篩選欄位旁的下拉式功能表中選擇洞見類型。
+ 若要顯示所有可用的洞見,請選擇**所有洞見**。此為預設選項。
+ 若要僅顯示受管洞見,請選擇 **Security Hub CSPM 受管洞見**。
+ 若要僅顯示自訂洞見,請選擇**自訂洞見**。
您也可以根據洞見的名稱來篩選洞見清單。若要這樣做,請在篩選欄位中,輸入用來篩選清單的文字。篩選條件不區分大小寫。篩選條件會尋找洞見,其中包含洞見名稱中任何位置的文字。
只有當您已啟用產生相符調查結果的整合或標準時,洞見才會傳回結果。例如,受管洞見 **29。如果啟用網際網路安全中心 (CIS) AWS Foundations Benchmark 標準的版本,則依失敗 CIS 檢查計數排序的熱門資源**只會傳回結果。
# 在 Security Hub CSPM 中檢閱洞見並採取行動
對於每個洞見, AWS Security Hub CSPM 會先決定符合篩選條件的問題清單,然後使用分組屬性將相符的問題清單分組。
在 主控台的 **Insights** 頁面中,您可以檢視結果和調查結果並對其採取動作。
如果您啟用跨區域彙總,受管洞察的結果 (當您登入彙總區域時) 會包含來自彙總區域和連結區域的調查結果。如果洞見未依區域篩選,則自訂洞見的結果也會包含來自彙總區域和連結區域的調查結果 (當您登入彙總區域時)。在其他區域中,洞見結果僅適用於該區域。
如需設定跨區域彙總的資訊,請參閱 [了解 Security Hub CSPM 中的跨區域彙總](finding-aggregation.md)。
## 檢視洞見結果並採取行動
洞見結果由洞見結果的分組清單組成。例如,如果洞見依資源識別符分組,洞見結果即為資源識別符的清單。結果清單中的每個項目都會指出該項目符合的問題清單數。
如果問題清單依資源識別符或資源類型分組,則結果會包含相符問題清單中的所有資源。這包括與篩選條件中指定的資源類型具有不同類型的資源。例如,洞見可識別與 S3 儲存貯體相關聯的調查結果。如果相符的調查結果同時包含 S3 儲存貯體資源和 IAM 存取金鑰資源,則洞見結果會同時包含這兩個資源。
在 Security Hub CSPM 主控台上,結果清單會從最相符的調查結果排序到最少。Security Hub CSPM 只能顯示 100 個結果。如果超過 100 個分組值,您只會看到前 100 個。
除了結果清單之外,洞見結果還會顯示一組圖表,摘要下列屬性的相符問題清單數。
+ **嚴重性標籤** – 每個嚴重性標籤的問題清單數量
+ **AWS 帳戶 ID** – 相符問題清單的前五個帳戶 IDs
+ **資源類型** – 比對問題清單的前五個資源類型
+ **資源 ID** – 相符問題清單的前五個資源 IDs
+ **產品名稱** - 相符調查結果的前五個調查結果提供者
若您已設定自訂動作,即可將選取的結果傳送到自訂動作。動作必須與`Security Hub Insight Results`事件類型的 Amazon CloudWatch 規則相關聯。如需詳細資訊,請參閱[使用 EventBridge 進行自動回應和修復](securityhub-cloudwatch-events.md)。如果您尚未設定自訂動作,則會停用**動作**功能表。
------
#### [ Security Hub CSPM console ]
**檢視洞見結果並採取動作 (主控台)**
1. 在 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。
1. 在導覽窗格中,選擇 ** Insights**。
1. 若要顯示洞見結果的清單,請選擇洞見名稱。
1. 選取各個結果的核取方塊,並傳送到自訂動作。
1. 從 **Actions (動作)** 選單選擇自訂動作。
------
#### [ Security Hub CSPM API, AWS CLI ]
**檢視洞見結果並採取動作 (API) AWS CLI**
若要檢視洞見結果,請使用 Security Hub CSPM API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetInsightResults.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetInsightResults.html)的操作。如果您使用 AWS CLI,請執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html)命令。
若要識別要傳回結果的洞見,您需要洞見 ARN。若要取得自訂洞見ARNs,請使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html) API 操作或 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html)命令。
下列範例會擷取指定洞見的結果。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\$1) 行接續字元來改善可讀性。
```
$ aws securityhub get-insight-results --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```
如需如何以程式設計方式建立自訂動作的詳細資訊,請參閱 [使用自訂動作將問題清單和洞見結果傳送至 EventBridge](securityhub-cwe-custom-actions.md)。
------
## 檢視洞見結果調查結果並對其採取行動 (主控台)
從 Security Hub CSPM 主控台上的洞見結果清單中,您可以顯示每個結果的調查結果清單。
**顯示洞見調查結果並對其採取動作 (主控台)**
1. 在 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。
1. 在導覽窗格中,選擇 ** Insights**。
1. 若要顯示洞見結果的清單,請選擇洞見名稱。
1. 若要顯示洞見結果的問題清單,請從結果清單選擇項目。問題清單會顯示工作流程狀態為 `NEW` 或 `NOTIFIED` 選取洞見結果的作用中問題清單。
從調查結果清單中,您可以執行下列動作:
+ [在 Security Hub CSPM 中篩選問題清單](securityhub-findings-manage.md)
+ [檢閱問題清單詳細資訊和歷史記錄](securityhub-findings-viewing.md#finding-view-details-console)
+ [在 Security Hub CSPM 中設定問題清單的工作流程狀態](findings-workflow-status.md)
+ [將問題清單傳送至自訂 Security Hub CSPM 動作](findings-custom-action.md)
# Security Hub CSPM 中的受管洞察
AWS Security Hub CSPM 提供數個受管洞察。
您無法編輯或刪除 Security Hub CSPM 受管洞察。您可以[檢視並對洞見結果和問題清單採取動作](securityhub-insights-view-take-action.md)。您也可以[使用受管洞見做為新自訂洞見的基礎](securityhub-custom-insight-create-api.md#securityhub-custom-insight-frrom-managed)。
如同所有洞見,如果您有啟用的產品整合或可產生相符問題清單的安全標準,則受管洞見只會傳回結果。
對於依資源識別符分組的洞見,結果會包含相符調查結果中所有資源的識別符。這包括與篩選條件中的資源類型具有不同類型的資源。例如,以下清單中的洞見 2 可識別與 Amazon S3 儲存貯體相關聯的調查結果。如果相符的調查結果同時包含 S3 儲存貯體資源和 IAM 存取金鑰資源,則洞見結果會同時包含這兩個資源。
Security Hub CSPM 目前提供下列受管洞察:
**問題清單最多的 1. AWS resources**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/1`
**分組依據:**資源識別符
**尋找篩選條件:**
+ 記錄狀態為 `ACTIVE`
+ 工作流程狀態為 `NEW` 或 `NOTIFIED`
**2. 具有公有寫入或讀取許可的 S3 儲存貯體**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/10`
**分組依據:**資源識別符
**尋找篩選條件:**
+ 類型開頭為 `Effects/Data Exposure`
+ 資源類型為 `AwsS3Bucket`
+ 記錄狀態為 `ACTIVE`
+ 工作流程狀態為 `NEW` 或 `NOTIFIED`
**3. 產生最多問題清單的 AMI**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/3`
**分組依據:**EC2 執行個體映像 ID
**尋找篩選條件:**
+ 資源類型為 `AwsEc2Instance`
+ 記錄狀態為 `ACTIVE`
+ 工作流程狀態為 `NEW` 或 `NOTIFIED`
**4. 有關已知戰術、技術和程序 (TTP) 的 EC2 執行個體**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/14`
**分組依據:**資源 ID
**尋找篩選條件:**
+ 類型開頭為 `TTPs`
+ 資源類型為 `AwsEc2Instance`
+ 記錄狀態為 `ACTIVE`
+ 工作流程狀態為 `NEW` 或 `NOTIFIED`
**具有可疑存取金鑰活動的 5. AWS principals**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/9`
**分組依據:**IAM 存取金鑰主體名稱
**尋找篩選條件:**
+ 資源類型為 `AwsIamAccessKey`
+ 記錄狀態為 `ACTIVE`
+ 工作流程狀態為 `NEW` 或 `NOTIFIED`
**6. AWS 資源不符合安全標準/最佳實務的執行個體**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/6`
**分組依據:**資源 ID
**尋找篩選條件:**
+ 類型為 `Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices`
+ 記錄狀態為 `ACTIVE`
+ 工作流程狀態為 `NEW` 或 `NOTIFIED`
**7.與潛在資料外洩相關聯的 AWS 資源**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/7`
**分組依據:**:資源 ID
**尋找篩選條件:**
+ 類型開頭為 Effects/Data Exfiltration/
+ 記錄狀態為 `ACTIVE`
+ 工作流程狀態為 `NEW` 或 `NOTIFIED`
**8.與未經授權資源耗用 AWS 相關聯的資源**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/8`
**分組依據:**資源 ID
**尋找篩選條件:**
+ 類型開頭為 `Effects/Resource Consumption`
+ 記錄狀態為 `ACTIVE`
+ 工作流程狀態為 `NEW` 或 `NOTIFIED`
**9. 不符合安全標準/最佳實務的 S3 儲存貯體**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/11`
**分組依據:**資源 ID
**尋找篩選條件:**
+ 資源類型為 `AwsS3Bucket`
+ 類型為 `Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices`
+ 記錄狀態為 `ACTIVE`
+ 工作流程狀態為 `NEW` 或 `NOTIFIED`
**10. 具有敏感資料的 S3 儲存貯體**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/12`
**分組依據:**資源 ID
**尋找篩選條件:**
+ 資源類型為 `AwsS3Bucket`
+ 類型開頭為 `Sensitive Data Identifications/`
+ 記錄狀態為 `ACTIVE`
+ 工作流程狀態為 `NEW` 或 `NOTIFIED`
**11. 登入資料可能已洩漏**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/13`
**分組依據:**資源 ID
**尋找篩選條件:**
+ 類型開頭為 `Sensitive Data Identifications/Passwords/`
+ 記錄狀態為 `ACTIVE`
+ 工作流程狀態為 `NEW` 或 `NOTIFIED`
**12. 缺少重要漏洞安全性修補程式的 EC2 執行個體**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/16`
**分組依據:**資源 ID
**尋找篩選條件:**
+ 類型開頭為 `Software and Configuration Checks/Vulnerabilities/CVE`
+ 資源類型為 `AwsEc2Instance`
+ 記錄狀態為 `ACTIVE`
+ 工作流程狀態為 `NEW` 或 `NOTIFIED`
**13. 具有一般異常行為的 EC2 執行個體**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/17`
**分組依據:**資源 ID
**尋找篩選條件:**
+ 類型開頭為 `Unusual Behaviors`
+ 資源類型為 `AwsEc2Instance`
+ 記錄狀態為 `ACTIVE`
+ 工作流程狀態為 `NEW` 或 `NOTIFIED`
**14. 具有可從網際網路存取連接埠的 EC2 執行個體**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/18`
**分組依據:**資源 ID
**尋找篩選條件:**
+ 類型開頭為 `Software and Configuration Checks/AWS Security Best Practices/Network Reachability`
+ 資源類型為 `AwsEc2Instance`
+ 記錄狀態為 `ACTIVE`
+ 工作流程狀態為 `NEW` 或 `NOTIFIED`
**15. 不符合安全標準或最佳實務的 EC2 執行個體**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/19`
**分組依據:**資源 ID
**尋找篩選條件:**
+ 類型以下列其中一個項目開頭:
+ `Software and Configuration Checks/Industry and Regulatory Standards/`
+ `Software and Configuration Checks/AWS Security Best Practices`
+ 資源類型為 `AwsEc2Instance`
+ 記錄狀態為 `ACTIVE`
+ 工作流程狀態為 `NEW` 或 `NOTIFIED`
**16. 向網際網路開放的 EC2 執行個體**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/21`
**分組依據:**資源 ID
**尋找篩選條件:**
+ 類型開頭為 `Software and Configuration Checks/AWS Security Best Practices/Network Reachability`
+ 資源類型為 `AwsEc2Instance`
+ 記錄狀態為 `ACTIVE`
+ 工作流程狀態為 `NEW` 或 `NOTIFIED`
**17. 與對手偵察相關聯的 EC2 執行個體**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/22`
**分組依據:**資源 ID
**尋找篩選條件:**
+ 類型以 TTPs/Discovery/Recon 開頭
+ 資源類型為 `AwsEc2Instance`
+ 記錄狀態為 `ACTIVE`
+ 工作流程狀態為 `NEW` 或 `NOTIFIED`
**與惡意軟體相關聯的 18. AWS resources**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/23`
**分組依據:**資源 ID
**尋找篩選條件:**
+ 類型以下列其中一個項目開頭:
+ `Effects/Data Exfiltration/Trojan`
+ `TTPs/Initial Access/Trojan`
+ `TTPs/Command and Control/Backdoor`
+ `TTPs/Command and Control/Trojan`
+ `Software and Configuration Checks/Backdoor`
+ `Unusual Behaviors/VM/Backdoor`
+ 記錄狀態為 `ACTIVE`
+ 工作流程狀態為 `NEW` 或 `NOTIFIED`
**19. AWS 與加密貨幣問題相關聯的資源**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/24`
**分組依據:**資源 ID
**尋找篩選條件:**
+ 類型以下列其中一個項目開頭:
+ `Effects/Resource Consumption/Cryptocurrency`
+ `TTPs/Command and Control/CryptoCurrency`
+ 記錄狀態為 `ACTIVE`
+ 工作流程狀態為 `NEW` 或 `NOTIFIED`
**具有未經授權存取嘗試的 20. AWS resources**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/25`
**分組依據:**資源 ID
**尋找篩選條件:**
+ 類型以下列其中一個項目開頭:
+ `TTPs/Command and Control/UnauthorizedAccess`
+ `TTPs/Initial Access/UnauthorizedAccess`
+ `Effects/Data Exfiltration/UnauthorizedAccess`
+ `Unusual Behaviors/User/UnauthorizedAccess`
+ `Effects/Resource Consumption/UnauthorizedAccess`
+ 記錄狀態為 `ACTIVE`
+ 工作流程狀態為 `NEW` 或 `NOTIFIED`
**21. 過去一週最多命中的威脅 intel 指標**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/26`
**尋找篩選條件:**
+ 最近 7 天內建立
**22. 按問題清單計數排列的熱門帳戶**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/27`
**依:ID 分組** AWS 帳戶
**尋找篩選條件:**
+ 記錄狀態為 `ACTIVE`
+ 工作流程狀態為 `NEW` 或 `NOTIFIED`
**23. 按問題清單計數排列的熱門產品**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/28`
**分組依據:**產品名稱
**尋找篩選條件:**
+ 記錄狀態為 `ACTIVE`
+ 工作流程狀態為 `NEW` 或 `NOTIFIED`
**24. 按問題清單計數排列的嚴重性**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/29`
**分組依據:**嚴重性標籤
**尋找篩選條件:**
+ 記錄狀態為 `ACTIVE`
+ 工作流程狀態為 `NEW` 或 `NOTIFIED`
**25. 按問題清單計數排列的熱門 S3 儲存貯體**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/30`
**分組依據:**資源 ID
**尋找篩選條件:**
+ 資源類型為 `AwsS3Bucket`
+ 記錄狀態為 `ACTIVE`
+ 工作流程狀態為 `NEW` 或 `NOTIFIED`
**26. 按問題清單計數排列的熱門 EC2 執行個體**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/31`
**分組依據:**資源 ID
**尋找篩選條件:**
+ 資源類型為 `AwsEc2Instance`
+ 記錄狀態為 `ACTIVE`
+ 工作流程狀態為 `NEW` 或 `NOTIFIED`
**27. 按問題清單計數排列的熱門 AMI**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/32`
**分組依據:**EC2 執行個體映像 ID
**尋找篩選條件:**
+ 資源類型為 `AwsEc2Instance`
+ 記錄狀態為 `ACTIVE`
+ 工作流程狀態為 `NEW` 或 `NOTIFIED`
**28. 按問題清單計數排列的熱門 IAM 使用者**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/33`
**分組依據:**IAM 存取金鑰 ID
**尋找篩選條件:**
+ 資源類型為 `AwsIamAccessKey`
+ 記錄狀態為 `ACTIVE`
+ 工作流程狀態為 `NEW` 或 `NOTIFIED`
**29. 按失敗 CIS 檢查計數排列的熱門資源**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/34`
**分組依據:**資源 ID
**尋找篩選條件:**
+ 產生器 ID 開頭為 `arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule`
+ 最後一天更新
+ 合規狀態為 `FAILED`
+ 記錄狀態為 `ACTIVE`
+ 工作流程狀態為 `NEW` 或 `NOTIFIED`
**30. 按問題清單計數排列的熱門整合**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/35`
**分組依據:**產品 ARN
**尋找篩選條件:**
+ 記錄狀態為 `ACTIVE`
+ 工作流程狀態為 `NEW` 或 `NOTIFIED`
**31. 安全檢查失敗次數最多的資源**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/36`
**分組依據:**資源 ID
**尋找篩選條件:**
+ 最後一天更新
+ 合規狀態為 `FAILED`
+ 記錄狀態為 `ACTIVE`
+ 工作流程狀態為 `NEW` 或 `NOTIFIED`
**32. 具有可疑活動的 IAM 使用者**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/37`
**分組依據:**IAM 使用者
**尋找篩選條件:**
+ 資源類型為 `AwsIamUser`
+ 記錄狀態為 `ACTIVE`
+ 工作流程狀態為 `NEW` 或 `NOTIFIED`
**33. 問題 AWS Health 清單最多的資源**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/38`
**分組依據:**資源 ID
**尋找篩選條件:**
+ `ProductName` 等於 `Health`
**34. 問題 AWS Config 清單最多的資源**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/39`
**分組依據:**資源 ID
**尋找篩選條件:**
+ `ProductName` 等於 `Config`
**35. 問題清單最多的應用程式**
**ARN**:`arn:aws:securityhub:::insight/securityhub/default/40`
**分組依據:** ResourceApplicationArn
**尋找篩選條件:**
+ `RecordState` 等於 `ACTIVE`
+ `Workflow.Status` 等於 `NEW`或 `NOTIFIED`
# 了解 Security Hub CSPM 中的自訂洞見
除了 AWS Security Hub CSPM 受管洞察之外,您還可以在 Security Hub CSPM 中建立自訂洞察,以追蹤您環境特有的問題。自訂洞見可協助您追蹤精選的問題子集。
以下是一些自訂洞見的範例,可能有助於設定:
+ 如果您擁有管理員帳戶,您可以設定自訂洞見來追蹤影響成員帳戶的關鍵和高嚴重性問題清單。
+ 如果您依賴特定的[整合 AWS 服務](securityhub-internal-providers.md),您可以設定自訂洞見,以追蹤該服務的關鍵和高嚴重性問題清單。
+ 如果您依賴[第三方整合](securityhub-partner-providers.md),您可以設定自訂洞見,以追蹤該整合產品的關鍵和高嚴重性問題清單。
您可以建立全新的自訂洞見,或從現有的自訂或受管洞見開始。
您可以使用下列選項設定每個洞見:
+ **分組屬性** – 分組屬性會決定洞見結果清單中顯示的項目。例如,如果分組屬性是**產品名稱**,洞見結果會顯示與每個調查結果提供者相關聯的調查結果數量。
+ **選用篩選條件** – 篩選條件縮小了洞見的相符調查結果範圍。
只有當問題清單符合所有提供的篩選條件時,問題清單才會包含在洞見結果中。例如,如果篩選條件為「產品名稱為 GuardDuty」且「資源類型為`AwsS3Bucket`「,則相符的問題清單必須符合這兩個條件。
不過,Security Hub CSPM 會將布林值 OR 邏輯套用至使用相同屬性但不同值的篩選條件。例如,如果篩選條件是「產品名稱為 GuardDuty」和「產品名稱為 Amazon Inspector」,則如果問題清單是由 Amazon GuardDuty 或 Amazon Inspector 產生,則會相符。
如果您使用資源識別符或資源類型做為分組屬性,洞見結果會包含相符調查結果中的所有資源。清單不限於符合資源類型篩選條件的資源。例如,洞見會識別與 S3 儲存貯體相關聯的調查結果,並根據資源識別符將這些調查結果分組。相符的調查結果同時包含 S3 儲存貯體資源和 IAM 存取金鑰資源。洞見結果包含兩個資源。
如果您啟用[跨區域彙總](finding-aggregation.md),然後建立自訂洞見,洞見會套用至彙總區域和連結區域中相符的調查結果。例外情況是,如果您的洞見包含區域篩選條件。
# 建立自訂洞見
在 AWS Security Hub CSPM 中,自訂洞見可用來收集一組特定的問題清單,並追蹤您環境特有的問題。如需自訂洞見的背景資訊,請參閱 [了解 Security Hub CSPM 中的自訂洞見](securityhub-custom-insights.md)。
選擇您偏好的方法,並依照步驟在 Security Hub CSPM 中建立自訂洞見
------
#### [ Security Hub CSPM console ]
**建立自訂洞見 (主控台)**
1. 在 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。
1. 在導覽窗格中,選擇 ** Insights**。
1. 選擇 **Create insight (建立洞見)**。
1. 選取洞見的分組屬性:
1. 選擇搜尋方塊以顯示篩選條件選項。
1. 選擇 **Group by (分組依據)**。
1. 選取要用於將與此洞見相關聯的調查結果分組的屬性。
1. 選擇**套用**。
1. 或者,選擇要用於此洞見的任何其他篩選條件。對於每個篩選條件,定義篩選條件,然後選擇**套用**。
1. 選擇 **Create insight (建立洞見)**。
1. 輸入 **Insight 名稱**,然後選擇**建立 Insight**。
------
#### [ Security Hub CSPM API ]
**建立自訂洞見 (API)**
1. 若要建立自訂洞見,請使用 Security Hub CSPM API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateInsight.html)的操作。如果您使用 AWS CLI,請執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-insight.html)命令。
1. 使用自訂洞見的名稱填入 `Name` 參數。
1. 填入 `Filters` 參數以指定要包含在洞見中的調查結果。
1. 填入 `GroupByAttribute` 參數以指定用於將洞見中包含的問題清單分組的屬性。
1. 或者,填入 `SortCriteria` 參數,依特定欄位排序問題清單。
下列範例會建立自訂洞見,其中包含具有 `AwsIamRole` 資源類型的關鍵調查結果。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\$1) 行接續字元來改善可讀性。
```
$ aws securityhub create-insight --name "Critical role findings" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' --group-by-attribute "ResourceId"
```
------
#### [ PowerShell ]
**建立自訂洞見 (PowerShell)**
1. 使用 `New-SHUBInsight` cmdlet。
1. 使用自訂洞見的名稱填入 `Name` 參數。
1. 填入 `Filter` 參數以指定要包含在洞見中的調查結果。
1. 填入 `GroupByAttribute` 參數以指定用於將洞見中包含的問題清單分組的屬性。
如果您已啟用[跨區域彙總](finding-aggregation.md),並從彙總區域使用此 cmdlet,則洞見會套用至來自彙總和連結區域的相符問題清單。
**範例**
```
$Filter = @{
AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{
Comparison = "EQUALS"
Value = "XXX"
}
ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{
Comparison = "EQUALS"
Value = 'FAILED'
}
}
New-SHUBInsight -Filter $Filter -Name TestInsight -GroupByAttribute ResourceId
```
------
## 從受管洞見建立自訂洞見 (僅限主控台)
您無法儲存變更或刪除受管洞見。不過,您可以使用受管洞見作為自訂洞見的基礎。此選項僅適用於 Security Hub CSPM 主控台。
**從受管洞見建立自訂洞見 (主控台)**
1. 開啟位於 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 的 AWS Security Hub CSPM 主控台。
1. 在導覽窗格中,選擇 ** Insights**。
1. 選擇要使用的受管洞見。
1. 視需要編輯洞見組態。
+ 變更在洞見中用於將問題清單分組的屬性:
1. 若要移除現有的群組,請透過設定選擇**群組**旁的 **X**。
1. 選取搜尋方塊。
1. 選取要用於分組的屬性。
1. 選擇**套用**。
+ 若要從洞見中移除篩選條件,請選擇篩選條件旁的圓圈 **X**。
+ 新增篩選條件到洞見:
1. 選取搜尋方塊。
1. 選取要用做篩選條件的屬性和值。
1. 選擇**套用**。
1. 更新完成時,請選擇 **Create insight (建立洞見)**。
1. 出現提示時,輸入 **Insight 名稱**,然後選擇**建立洞見**。
# 編輯自訂洞見
您可以編輯現有的自訂洞見,以變更分組值和篩選條件。進行變更後,您可以將更新儲存到原始洞見,或另存更新的版本為新的洞見。
在 AWS Security Hub CSPM 中,自訂洞見可用來收集一組特定的問題清單,並追蹤您環境特有的問題。如需自訂洞見的背景資訊,請參閱 [了解 Security Hub CSPM 中的自訂洞見](securityhub-custom-insights.md)。
若要編輯自訂洞見,請選擇您偏好的方法,然後遵循指示。
------
#### [ Security Hub CSPM console ]
**編輯自訂洞見 (主控台)**
1. 開啟位於 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 的 AWS Security Hub CSPM 主控台。
1. 在導覽窗格中,選擇 ** Insights**。
1. 選擇要修改的自訂洞見
1. 視需要編輯洞見組態。
+ 變更在洞見中用於將問題清單分組的屬性:
1. 若要移除現有的群組,請透過設定選擇**群組**旁的 **X**。
1. 選取搜尋方塊。
1. 選取要用於分組的屬性。
1. 選擇**套用**。
+ 若要從洞見中移除篩選條件,請選擇篩選條件旁的圓圈 **X**。
+ 新增篩選條件到洞見:
1. 選取搜尋方塊。
1. 選取要用做篩選條件的屬性和值。
1. 選擇**套用**。
1. 完成更新時,請選擇 **Save insight (儲存洞見)**。
1. 出現提示時,請執行以下其中一項作業:
+ 若要更新現有的洞見以反映您的變更,請選擇**更新 ****,然後選擇**儲存洞見**。
+ 如果要以更新建立新的洞見,請選擇 **Save new insight (儲存新的洞見)**。輸入 **Insight name (洞見名稱)**,然後選擇 **Save insight (儲存洞見)**。
------
#### [ Security Hub CSPM API ]
**編輯自訂洞見 (API)**
1. 使用 Security Hub CSPM API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateInsight.html)的操作。如果您使用 AWS CLI 執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-insight.html)命令。
1. 若要識別您要更新的自訂洞見,請提供洞見的 Amazon Resource Name (ARN)。若要取得自訂洞見的 ARN,請使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html)操作或 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html)命令。
1. 視需要更新 `Filters`、 `Name`和 `GroupByAttribute` 參數。
下列範例會更新指定的洞見。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\$1) 行接續字元來改善可讀性。
```
$ aws securityhub update-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' --name "High severity role findings"
```
------
#### [ PowerShell ]
**編輯自訂洞見 (PowerShell)**
1. 使用 `Update-SHUBInsight` cmdlet。
1. 若要識別自訂洞見,請提供洞見的 Amazon Resource Name (ARN)。若要取得自訂洞見的 ARN,請使用 `Get-SHUBInsight` cmdlet。
1. 視需要更新 `Name`、 `Filter`和 `GroupByAttribute` 參數。
**範例**
```
$Filter = @{
ResourceType = [Amazon.SecurityHub.Model.StringFilter]@{
Comparison = "EQUALS"
Value = "AwsIamRole"
}
SeverityLabel = [Amazon.SecurityHub.Model.StringFilter]@{
Comparison = "EQUALS"
Value = "HIGH"
}
}
Update-SHUBInsight -InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" -Filter $Filter -Name "High severity role findings"
```
------
# 刪除自訂洞見
在 AWS Security Hub CSPM 中,自訂洞見可用來收集一組特定的問題清單,並追蹤您環境特有的問題。如需自訂洞見的背景資訊,請參閱 [了解 Security Hub CSPM 中的自訂洞見](securityhub-custom-insights.md)。
若要刪除自訂洞見,請選擇您偏好的方法,然後遵循指示。您無法刪除受管洞見。
------
#### [ Security Hub CSPM console ]
**刪除自訂洞見 (主控台)**
1. 開啟位於 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 的 AWS Security Hub CSPM 主控台。
1. 在導覽窗格中,選擇 ** Insights**。
1. 找到要刪除的自訂洞見。
1. 針對該洞見,請選擇更多選項圖示 (卡片右上角的三個點)。
1. 選擇 **刪除**。
------
#### [ Security Hub CSPM API ]
**刪除自訂洞見 (API)**
1. 使用 Security Hub CSPM API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DeleteInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DeleteInsight.html)的操作。如果您使用 AWS CLI 執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-insight.html)命令。
1. 若要識別要刪除的自訂洞見,請提供洞見的 ARN。若要取得自訂洞見的 ARN,請使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html)操作或 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html)命令。
下列範例會刪除指定的洞見。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\$1) 行接續字元來改善可讀性。
```
$ aws securityhub delete-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```
------
#### [ PowerShell ]
**刪除自訂洞見 (PowerShell)**
1. 使用 `Remove-SHUBInsight` cmdlet。
1. 若要識別自訂洞見,請提供洞見的 ARN。若要取得自訂洞見的 ARN,請使用 `Get-SHUBInsight` cmdlet。
**範例**
```
-InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```
------