为自动发送的查找结果配置 EventBridge 规则 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为自动发送的查找结果配置 EventBridge 规则

您可以在 EventBridge 中创建规则,以定义在Security Hub Findings - Imported事件已收到。Security Hub Findings - Imported事件由来自两者的更新触发BatchImportFindingsBatchUpdateFindings.

每个规则都包含一个事件模式,用于标识触发该规则的事件。事件模式始终包含事件源(aws.securityhub) 和事件类型 (Security Hub 调查结果-导入)。事件模式还可以指定筛选条件以标识规则应用到的结果。

然后,规则标识规则目标。目标是当 EventBridge 收到Security Hub 调查结果-导入事件和查找结果与过滤器匹配。

此处提供的说明使用 EventBridge 控制台。当您使用控制台时,EventBridge 会自动创建所需的基于资源的策略,使 EventBridge 能够写入 CloudWatch Logs。

您也可以使用PutRuleEventBridge API 的 API 操作。但是,如果您使用 EventBridge API,则必须创建基于资源的策略。有关所需策略的详细信息,请参阅CloudWatch Logs 权限中的Amazon EventBridge 用户指南.

事件模式的格式

的事件模式的格式Security Hub 调查结果-导入事件如下:

{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Imported" ], "detail": { "findings": { <attribute filter values> } } }
  • source将 Security Hub 标识为生成事件的服务。

  • detail-type识别事件的类型。

  • detail是可选的,并提供事件模式的过滤器值。如果事件模式不包含detail字段中,则所有发现都触发该规则。

您可以根据任何查找属性过滤调查结果。对于每个属性,您可以提供一个逗号分隔的数组,其中包含一个或多个值。

"<attribute name>": [ "<value1>", "<value2>"]

如果您为某个属性提供了多个值,则这些值将通过连接OR. 如果查找结果具有列出的任何值,则查找结果与单个属性的筛选器匹配。例如,如果你同时提供两者INFORMATIONALLOW作为的值Severity.Label,那么查找结果如果严重性标签为INFORMATIONAL要么LOW.

这些属性是通过连接的AND. 如果结果符合所有提供属性的筛选条件,则结果符合。

当您提供属性值时,它必须反映该属性在AmazonSecurity Fearch 格式 (ASFF) 结构。

例如,以下事件模式为ProductArnSeverity.Label.

{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Imported" ], "detail": { "findings": { "ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"], "Severity": { "Label": ["INFORMATIONAL", "LOW"] } } } }

在此示例中,如果查找结果是由 Amazon Inspector 生成的,并且其严重性标签为INFORMATIONAL要么LOW.

使用预定义的模式创建规则

EventBridge 包含一个可用于创建规则的预定义模式。当你选择预定义的模式时,EventBridge 会自动填写sourcedetail-type. EventBridge 还提供了用于为以下查找属性指定筛选器值的字段:

  • AwsAccountId

  • Compliance.Status

  • Criticality

  • ProductArn

  • RecordState

  • Resource.Id

  • Resource.Type

  • Severity.Label

  • Types

  • Workflow.Status

使用预定义模式创建 EventBridge 规则

  1. 访问 https://console.aws.amazon.com/events/,打开 Amazon EventBridge 控制台。

  2. 在导航窗格中的事件下,选择规则

  3. 选择 Create rule (创建规则)

  4. 为规则输入名称和描述。

  5. 适用于事件源,选择事件模式.

  6. 事件匹配模式下,选择按服务预定义模式

  7. 对于服务提供商,选择 Amazon

  8. 适用于Service name (服务名称),选择Security Hub.

  9. 适用于Event type,选择Security Hub 调查结果-导入.

    EventBridge 将事件模式填充sourcedetail-type值并显示筛选器值的字段。

  10. 默认情况下,事件模式的配置没有任何过滤器值。对于每个属性,任何属性名称选项已选中。例如,任何结果类型.

    对于某些属性,例如产品 ARN 或严重程度,您可以手动输入每个值。对于其他属性(例如严重性标签),您可以从有效值列表中选择值。

    添加和删除过滤器值时,EventBridge 会更新事件模式以反映更改。

    对于手动添加的值,请执行以下步骤:

    1. 选择ECIQU属性. 例如,特定资源类型.

    2. 要添加值,请在字段中输入值,然后选择Add.

    3. 要删除值,请选择Remove对于那个价值。

    对于从列表中添加的值,请执行以下步骤:

    1. 选择ECIQU属性. 例如,特定的工作流状态.

    2. 从列表中选择属性值。

      选定的值将添加到列表下方。

    3. 要删除值,请选择删除图标 (x) 对于那个值。

  11. UNDER选择目标中,选择并配置匹配该规则时调用的目标。

  12. 选择创建

使用自定义模式创建规则

您还可以使用自定义模式选项创建规则。对于自定义模式,您可以手动输入整个模式。

如果要根据在 EventBridge 控制台上没有关联字段的属性筛选查结果,则可以使用此选项。

要为 Security Hub 查找结果创建 EventBridge 规则

  1. 访问 https://console.aws.amazon.com/events/,打开 Amazon EventBridge 控制台。

  2. 在导航窗格中的事件下,选择规则

  3. 选择 Create rule (创建规则)

  4. 为规则输入名称和描述。

  5. 适用于事件源,选择事件模式.

  6. 选择自定义模式.

  7. 复制以下示例模式并将其粘贴到事件模式文本区域。请务必替换方括号中的内容。

    { "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Imported" ] }

    这是事件模式所需的最低限度信息。它标识来源和事件类型。有了这种模式,所有发现都符合规则。

    如果你想过滤触发此规则的查找结果,那么你还可以添加detail条目。这些区域有:detail条目包含用于筛选结果的属性值。

    { "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Imported" ], "detail": { "findings": { <attribute filter values> } } }

    对于您提供的每个属性,格式如下。

    "<attribute name>": [ "<value>" ]

    要匹配多个值,请提供逗号分隔的列表。

    "<attribute name>": [ "<value1>", "<value2>"]

    例如,只对具有验证状态为的查找结果应用规则TRUE_POSITIVE中,添加以下过滤器。

    "detail": { "findings": { "VerificationState": [ "TRUE_POSITIVE" ] } }
  8. 选择Save(保存)以保存模式。

  9. UNDER选择目标中,选择并配置匹配该规则时调用的目标。

  10. 选择创建