配置 EventBridge 规则以自动发送调查发现 - Amazon Security Hub
事件模式的格式创建事件规则
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置 EventBridge 规则以自动发送调查发现

您可以在 EventBridge 中创建规则,该规则定义在收到 Security Hub Findings - Imported 事件时要采取的操作。Security Hub Findings - Imported 事件由 BatchImportFindingsBatchUpdateFindings 的更新触发。

每条规则都包含一个事件模式,用于标识触发规则的事件。事件模式始终包含事件源 (aws.securityhub) 和事件类型(Security Hub 结果 - 已导入)。事件模式还可以指定筛选条件来识别规则适用的调查发现。

然后,该规则确定了规则目标。目标是 EventBridge 收到 Security Hub 结果 - 已导入 事件并且调查发现与筛选条件匹配时要采取的操作。

此处提供的说明使用 EventBridge 控制台。当您使用控制台时,EventBridge 会自动创建所需的基于资源的策略,使 EventBridge 能够写入 CloudWatch Logs 日志。

您还可以使用 EventBridge API 的 PutRule API 操作。但是,如果您使用 EventBridge API,则必须创建基于资源的策略。有关所需策略的详细信息,请参阅《Amazon EventBridge 用户指南》中的 CloudWatch Logs 日志权限

事件模式的格式

Security Hub 结果 - 已导入事件的事件模式格式如下:

{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Findings - Imported"
  ],
  "detail": {
    "findings": {
      <attribute filter values>
    }
  }
}

  • source 将 Security Hub 标识为生成事件的服务。

  • detail-type 标识事件的类型。

  • detail 是可选的,它提供了事件模式的筛选条件值。如果事件模式不包含 detail 字段,则所有调查发现都会触发规则。

您可以根据任何调查发现属性筛选调查发现。您可以为每个属性提供一个或多个值的逗号分隔的数组。

"<attribute name>": [ "<value1>", "<value2>"]

如果您为一个属性提供多个值,则这些值将通过 OR 连接在一起。如果调查发现包含任何列出的值,则该调查发现与单个属性的筛选条件相匹配。例如,如果您同时提供 INFORMATIONALLOW 作为 Severity.Label 的值,则如果调查发现的严重性标签为 INFORMATIONALLOW,则调查发现将匹配。

属性的连接方式为 AND。如果调查发现与所有提供的属性的筛选条件相匹配,则该调查发现与之匹配。

当您提供属性值时,它必须反映该属性在 Amazon 安全调查发现格式 (ASFF) 结构中的位置。

提示

筛选控件调查发现时,我们建议使用 SecurityControlIdSecurityControlArn ASFF 字段作为筛选条件,而不是 TitleDescription。后面的字段偶尔会发生变化,而控件 ID 和 ARN 是静态标识符。

在以下示例中,事件模式为 ProductArnSeverity.Label 提供了筛选值,因此,如调查发现由 Amazon Inspector 生成,并且其严重性标签为 INFORMATIONALLOW,则调查发现与之匹配。

{
    "source": [
        "aws.securityhub"
     ],
    "detail-type": [
        "Security Hub Findings - Imported"
    ],
    "detail": {
        "findings": {
            "ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"],
            "Severity": {
                "Label": ["INFORMATIONAL", "LOW"]
            }
        }
    }
}

创建事件规则

您可以使用预定义的事件模式或自定义的事件模式在 EventBridge 中创建规则。如果您选择预定义的模式,EventBridge 会自动填充 sourcedetail-type。EventBridge 还提供了用于为以下调查发现属性指定筛选值的字段:

  • AwsAccountId

  • Compliance.Status

  • Criticality

  • ProductArn

  • RecordState

  • ResourceId

  • ResourceType

  • Severity.Label

  • Types

  • Workflow.Status

创建 EventBridge 规则

  1. 访问 https://console.aws.amazon.com/events/,打开 Amazon EventBridge 控制台。

  2. 使用以下值创建监控调查发现事件的 EventBridge 规则:

    • 对于规则类型,选择具有事件模式的规则

    • 选择如何构建事件模式。

      使用…构建事件模式 请执行此操作...

      一个模板

      事件模式部分中,选择以下选项:

      • 对于事件源,选择Amazon 服务

      • 对于Amazon 服务,选择 Security Hub

      • 对于事件类型,选择 Security Hub 结果 - 已导入

      • (可选)要使规则更具体,请添加筛选条件值。例如,要将规则限制为具有活动记录状态的调查发现,请在特定记录状态下选择活动

      自定义事件模式

      (如果您想根据未出现在 EventBridge 控制台中的属性筛选结果,请使用自定义模式。)

      • 事件模式部分中,选择自定义模式(JSON 编辑器),然后将以下事件模式粘贴到文本区域中:

        {
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Findings - Imported"
  ],
  "detail": {
    "findings": {
      "<attribute name>": [ "<value1>", "<value2>"]
    }
  }
}

      • 更新事件模式以包含要用作筛选器的属性和属性值。

        例如,要将规则应用于验证状态为 TRUE_POSITIVE 的调查发现,请使用以下模式示例:

        {
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Findings - Imported"
  ],
  "detail": {
    "findings": {
      "VerificationState": ["TRUE_POSITIVE"]
    }
  }
}

    • 对于目标类型,选择 Amazon 服务,对于选择目标,选择一个目标,例如 Amazon SNS 主题或 Amazon Lambda 函数。在收到与规则中定义的事件模式匹配的事件时将触发目标。

    有关创建规则的详细信息,请参阅 Amazon EventBridge 用户指南中的创建对事件做出反应的 Amazon EventBridge 规则