Criar um insight personalizado - AWS Security Hub
Criar um insight personalizado baseado em um insight gerenciado (apenas console)

Criar um insight personalizado

No CSPM do AWS Security Hub, insights personalizados podem ser usados para coletar um conjunto específico de descobertas e rastrear os problemas exclusivos do seu ambiente. Para obter informações contextuais sobre insights personalizados, consulte Noções básicas sobre os insights personalizados no CSPM do Security Hub.

Escolha seu método preferido e siga as etapas para criar um insight personalizado no CSPM do Security Hub

Security Hub CSPM console
Para criar um insight personalizado (console)

  1. Abra o console do CSPM do AWS Security Hub em https://console.aws.amazon.com/securityhub/.

  2. No painel de navegação, escolha Insights.

  3. Escolha Criar insight.

  4. Para selecionar o atributo de agrupamento do insight:

    1. Escolha a caixa de pesquisa para exibir as opções de filtro.

    2. Escolha Agrupar por.

    3. Selecione o atributo a ser usado para agrupar as descobertas que são associadas a esse insight.

    4. Escolha Aplicar.

  5. Ou escolha filtros adicionais a serem usados para esse insight. Para cada filtro, defina o critério de filtro e escolha Aplicar.

  6. Escolha Criar insight.

  7. Insira um Nome do insight e escolha Criar insight.

Security Hub CSPM API
Para criar um insight personalizado (API)

  1. Para criar um insight personalizado, use a operação CreateInsight da API do CSPM do Security Hub. Se você usar a AWS CLI, execute o comando create-insight.

  2. Preencha o Name parâmetro com um nome para seu insight personalizado.

  3. Preencha o Filters parâmetro para especificar quais descobertas devem ser incluídas no insight.

  4. Preencha o GroupByAttribute parâmetro para especificar quais atributos são ousados para agrupar as descobertas incluídas no insight.

  5. Opcionalmente, preencha o parâmetro SortCriteria para classificar as descobertas por um campo específico.

O exemplo a seguir cria um insight personalizado que inclui descobertas críticas com o tipo de recurso AwsIamRole. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\)” para melhorar a legibilidade.

$ aws securityhub create-insight --name "Critical role findings" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' --group-by-attribute "ResourceId"
PowerShell
Para criar um insight personalizado (PowerShell)

  1. Use o cmdlet New-SHUBInsight.

  2. Preencha o Name parâmetro com um nome para seu insight personalizado.

  3. Preencha o Filter parâmetro para especificar quais descobertas devem ser incluídas no insight.

  4. Preencha o GroupByAttribute parâmetro para especificar quais atributos são ousados para agrupar as descobertas incluídas no insight.

Se você habilitou a agregação entre regiões e usa esse cmdlet desde a região de agregação, o insight se aplica às descobertas correspondentes da agregação e das regiões vinculadas.

Exemplo

$Filter = @{
    AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "XXX"
    }
    ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = 'FAILED'
    }
}
New-SHUBInsight -Filter $Filter -Name TestInsight -GroupByAttribute ResourceId

Criar um insight personalizado baseado em um insight gerenciado (apenas console)

Você não pode salvar alterações nem excluir um insight gerenciado. Também é possível usar um insight gerenciado como base para um insight personalizado. Essa é uma opção apenas no console do CSPM do Security Hub.

Para criar um insight personalizado baseado em um insight gerenciado (console)

  1. Abra o console do CSPM do AWS Security Hub em https://console.aws.amazon.com/securityhub/.

  2. No painel de navegação, escolha Insights.

  3. Escolha o insight gerenciado no qual trabalhar.

  4. Edite a configuração do insight, se necessário.

    • Para alterar o atributo usado para agrupar descobertas no insight:

      1. Para remover o agrupamento existente, escolha o X ao lado da configuração Agrupar por.

      2. Escolha a caixa Pesquisar.

      3. Selecione o atributo a ser usado para agrupamento.

      4. Escolha Aplicar.

    • Para remover um filtro do insight, escolha o X circulado ao lado do filtro.

    • Para adicionar um filtro ao insight:

      1. Escolha a caixa Pesquisar.

      2. Selecione o atributo e o valor a serem usados como filtro.

      3. Escolha Aplicar.

  5. Quando as atualizações estiverem concluídas, escolha Criar insight.

  6. Quando solicitado, insira um Nome de insight e então escolha Criar insight .