为自动发送的查找结果配置 EventBridge 梁规则 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为自动发送的查找结果配置 EventBridge 梁规则

您可以在 EventBridge 中创建规则,以定义在Security Hub Findings - Imported事件。Security Hub Findings - Imported事件由来自BatchImportFindingsBatchUpdateFindings

每个规则都包含一个事件模式,用于标识触发规则的事件。事件模式始终包含事件源(aws.securityhub)和事件类型(Security Hub 调查结果-已导入)。事件模式还可以指定筛选器,以标识规则应用到的结果。

然后,规则标识规则目标。目标是 EventBridge 在 EventBridge 收到Security Hub 调查结果-已导入事件,并且查找结果与过滤器匹配。

此处提供的说明使用 EventBridge 控制台。当您使用控制台时,EventBridge 会自动创建所需的基于资源的策略,以使 EventBridge 能够写入 CloudWatch Logs。

您也可以使用PutRuleEventBridge 接 API 的 API 操作。但是,如果您使用 EventBridge API,则必须创建基于资源的策略。有关所需策略的详细信息,请参阅CloudWatch Logs 权限中的Amazon EventBridge 用户指南

事件模式的格式

事件模式的格式Security Hub 调查结果-已导入事件如下所示:

{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Imported" ], "detail": { "findings": { <attribute filter values> } } }
  • source将 Security Hub 标识为生成事件的服务。

  • detail-type标识事件类型。

  • detail是可选的,并提供事件模式的过滤器值。如果事件模式不包含detail字段,则所有查找结果都会触发该规则。

您可以根据任何查找属性筛选查找结果。对于每个属性,您可以提供一个或多个值的逗号分隔数组。

"<attribute name>": [ "<value1>", "<value2>"]

如果为某个属性提供了多个值,则这些值将通过OR。如果查找结果具有列出的任何值,则查找结果将与单个属性的筛选器匹配。例如,如果您同时提供INFORMATIONALLOW作为Severity.Label,则如果查找结果的严重性标签为INFORMATIONAL或者LOW

这些属性通过AND。如果结果符合所有提供属性的筛选条件,则该结果将匹配该结果。

当您提供属性值时,它必须反映该属性在AmazonSecurity Fit 格式 (ASFF) 结构。

例如,以下事件模式为ProductArnSeverity.Label

{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Imported" ], "detail": { "findings": { "ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"], "Severity": { "Label": ["INFORMATIONAL", "LOW"] } } } }

在此示例中,如果查找结果是由 Amazon Inspector 生成的,且其严重性标签为INFORMATIONAL或者LOW

使用预定义模式创建规则

EventBridge 包含可用于创建规则的预定义模式。当您选择预定义模式时,EventBridge 会自动填充sourcedetail-type。EventBridge 还提供字段来指定以下查找属性的筛选器值:

  • AwsAccountId

  • Compliance.Status

  • Criticality

  • ProductArn

  • RecordState

  • Resource.Id

  • Resource.Type

  • Severity.Label

  • Types

  • Workflow.Status

使用预定义模式创建 EventBridge 规则

  1. 打开位于 https://console.aws.amazon.com/events/ 的 Amazon EventBridge 控制台。

  2. 在导航窗格中的事件中,选择Rule

  3. 选择 Create rule (创建规则)

  4. 为规则输入名称和描述。

  5. 适用于事件源中,选择事件模式

  6. 适用于事件匹配模式中,选择服务预定义的模式

  7. 对于 Service provider (服务提供商),选择 Amazon

  8. 适用于Service name (服务名称)中,选择Security Hub

  9. 适用于Event type中,选择Security Hub 调查结果-已导入

    EventBridge 将使用sourcedetail-type值,并显示筛选器值的字段。

  10. 默认情况下,配置事件模式时没有任何过滤器值。对于每个属性,任何属性名称选项处于选中状态。例如,任何结果类型

    对于某些属性(如产品 ARN 或严重程度),您可以手动输入每个值。对于其他属性(如严重性标签),您可以从有效值列表中选择值。

    添加和删除过滤器值时,EventBridge 会更新事件模式以反映更改。

    对于手动添加的值,请执行以下步骤:

    1. 选择Security属性。例如,特定资源类型

    2. 要添加值,请在字段中输入值,然后选择Add

    3. 要删除值,请选择Remove对于该值。

    对于从列表中添加的值,请执行以下步骤:

    1. 选择Security属性。例如,特定工作流状态

    2. 从列表中选择属性值。

      选定的值将添加到列表下方。

    3. 要删除值,请选择删除图标 (x)作为该值。

  11. UNTER选择目标中,选择并配置匹配该规则时调用的目标。

  12. 选择创建

使用自定义模式创建规则

您还可以使用自定义模式选项创建规则。对于自定义模式,您可以手动输入整个模式。

如果要根据 EventBridge 控制台上没有关联字段的属性筛选查找结果,则可以使用此选项。

要为 Security Hub 创建 EventBridge 规则,请执行以下操作:

  1. 打开位于 https://console.aws.amazon.com/events/ 的 Amazon EventBridge 控制台。

  2. 在导航窗格中的事件中,选择Rule

  3. 选择 Create rule (创建规则)

  4. 为规则输入名称和描述。

  5. 适用于事件源中,选择事件模式

  6. 选择自定义模式

  7. 复制以下示例模式并将其粘贴到事件模式文本区域。请务必替换方括号中的内容。

    { "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Imported" ] }

    这是事件模式所需的最低信息。它标识源和事件类型。使用此模式,所有查找结果都与规则匹配。

    如果要筛选触发此规则的查找结果,则还可以添加detail条目。这些区域有:detail条目包含用于筛选查找结果的属性值。

    { "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Imported" ], "detail": { "findings": { <attribute filter values> } } }

    对于您提供的每个属性,格式如下所示。

    "<attribute name>": [ "<value>" ]

    要匹配多个值,请提供逗号分隔的列表。

    "<attribute name>": [ "<value1>", "<value2>"]

    例如,要仅将规则应用于验证状态为TRUE_POSITIVE中,添加以下过滤器。

    "detail": { "findings": { "VerificationState": [ "TRUE_POSITIVE" ] } }
  8. 选择Save以保存模式。

  9. UNTER选择目标中,选择并配置匹配该规则时调用的目标。

  10. 选择创建