为自动发送的结果配置 EventBridge 规则 - AWS Security Hub
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为自动发送的结果配置 EventBridge 规则

您可以在 EventBridge 中创建一个规则,以定义在 执行 时执行的操作Security Hub Findings - Imported收到 事件。Security Hub Findings - Imported 事件由来自 BatchImportFindingsBatchUpdateFindings 的更新触发。

此处提供的说明适用于 EventBridge 控制台。在使用控制台时,EventBridge 自动创建所需的基于资源的策略,以允许 EventBridge 写入到 CloudWatch Logs。

您还可以使用 API 的 PutRuleEventBridge API 操作。但是,如果您使用 EventBridge API,则必须创建基于资源的策略。有关所需策略的详细信息,请参阅 CloudWatch Logs 中的 权限Amazon EventBridge 用户指南。

为 EventBridge 结果创建 Security Hub 规则

  1. 通过以下网址打开 Amazon EventBridge 控制台:https://console.amazonaws.cn/events/

  2. 在导航窗格中,选择 Rules (规则)

  3. 选择 Create rule (创建规则)

  4. 为规则输入名称和描述。

  5. 对于 Event source (事件源),选择 Event Pattern (事件模式)

  6. 选择 Custom pattern (自定义模式)

  7. 复制以下示例模式并将其粘贴到 Event pattern (事件模式) 文本区域中。请务必替换方括号中的内容。

    { "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Imported" ] }

    这是事件模式所需的最少信息。它标识源和事件类型。利用此模式,所有结果均与规则匹配。

    如果要筛选触发此规则的结果,则还要添加一个 detail 条目。条目包含用于筛选结果的属性值。detail

    { "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Imported" ], "detail": { "findings": { <attribute filter values> } } }

    对于您提供的每个属性,格式如下所示。

    "<attribute name>": [ "<value>" ]

    要匹配多个值,请提供逗号分隔的列表。

    "<attribute name>": [ "<value1>", "<value2>

    例如,要仅将规则应用于来自 Amazon Inspector 的结果,请添加以下筛选条件。

    "detail": { "findings": { "ProductArn": [ "arn:aws:securityhub:us-east-1::product/aws/inspector" ] } }
  8. 选择 Save (保存) 以保存模式。

  9. Select targets (选择目标) 下,选择并配置匹配该规则时要调用的目标。

  10. 选择创建