Creación de un nuevo hallazgo personalizado a partir de un hallazgo administrado (solo para la consola)

Creación de hallazgos personalizados

En el CSPM de AWS Security Hub, los productos de información personalizados se pueden utilizar para recopilar un conjunto específico de resultados y realizar un seguimiento de los problemas que son exclusivos del entorno. Para obtener información general sobre hallazgos personalizados, consulte Descripción de resultados personalizados en el CSPM de Security Hub.

Elija el método que prefiera y siga los pasos para crear un producto de información personalizado en el CSPM de Security Hub.

Security Hub CSPM console

Para crear un hallazgo personalizado (consola)

Abra la consola del CSPM de AWS Security Hub en https://console.aws.amazon.com/securityhub/.
En el panel de navegación, elija Hallazgos.
Seleccione Crear hallazgo.
Para seleccionar el atributo de agrupación para el conocimiento:
1. Seleccione el cuadro de búsqueda para ver las opciones de filtro.
2. Elija Group by (Agrupar por).
3. Seleccione el atributo que se va a utilizar para agrupar los resultados asociados a este hallazgo.
4. Seleccione Aplicar.
De manera opcional, elija los filtros adicionales que desee utilizar para este hallazgo. Para cada filtro, defina los criterios de filtro y, a continuación, elija Aplicar.
Seleccione Crear hallazgo.
Escriba un Nombre del hallazgo y elija Crear hallazgo.

Security Hub CSPM API

Para crear un hallazgo personalizado (API)

Para crear un producto de información personalizado, use la operación CreateInsight de la API del CSPM de Security Hub. Si usa la AWS CLI, ejecute el comando create-insight.
Rellene el parámetro Name con un nombre para su hallazgo personalizado.
Rellene el parámetro Filters para especificar qué resultados incluir en el hallazgo.
Rellene el parámetro GroupByAttribute para especificar qué atributo se utiliza para agrupar los resultados que se incluyen en el hallazgo.
Si lo desea, rellene el parámetro SortCriteria para ordenar los resultados por un campo específico.

En el siguiente ejemplo, se crea un hallazgo personalizado que incluye los resultados críticos con el tipo de recurso AwsIamRole. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.


$ aws securityhub create-insight --name "Critical role findings" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' --group-by-attribute "ResourceId"

PowerShell

Para crear un hallazgo personalizado (PowerShell)

Utilice el cmdlet New-SHUBInsight.
Rellene el parámetro Name con un nombre para su hallazgo personalizado.
Rellene el parámetro Filter para especificar qué resultados incluir en el hallazgo.
Rellene el parámetro GroupByAttribute para especificar qué atributo se utiliza para agrupar los resultados que se incluyen en el hallazgo.

Si ha habilitado la agregación entre regiones y utiliza este cmdlet desde la región de agregación, el hallazgo se aplica a los resultados de la agregación y las regiones vinculadas.

Ejemplo


$Filter = @{
    AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "XXX"
    }
    ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = 'FAILED'
    }
}
New-SHUBInsight -Filter $Filter -Name TestInsight -GroupByAttribute ResourceId

Creación de un nuevo hallazgo personalizado a partir de un hallazgo administrado (solo para la consola)

No puede guardar los cambios en un hallazgo administrado ni eliminarlo. Sin embargo, puede utilizar hallazgos administrados como base para una nuevo hallazgo personalizado. Esta opción está disponible únicamente en la consola del CSPM de Security Hub.

Para crear un nuevo hallazgo personalizado a partir de un hallazgo administrado (consola)

Abra la consola del CSPM de AWS Security Hub en https://console.aws.amazon.com/securityhub/.
En el panel de navegación, elija Insights.
Elija el conocimiento administrado desde el que trabajar.
Edite la configuración de los hallazgos si es necesario.
- Para cambiar el atributo utilizado para agrupar los resultados en el hallazgo:
  1. Para eliminar la agrupación existente, elija la X situada junto al ajuste Agrupar por.
  2. Seleccione la barra de búsqueda.
  3. Seleccione el atributo que desea utilizar para el agrupamiento.
  4. Seleccione Aplicar.
- Para eliminar un filtro del hallazgo, elija la X rodeada de un círculo junto al filtro.
- Cómo agregar un filtro al hallazgo:
  1. Seleccione la barra de búsqueda.
  2. Seleccione el atributo y el valor que desea utilizar como filtro.
  3. Seleccione Aplicar.
Cuando se hayan completado las actualizaciones, elija Create insight (Crear conocimiento).
Cuando se le solicite, escriba el Nombre del hallazgo; a continuación, elija Crear hallazgo.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Información personalizada

Edición de hallazgos personalizados