为 Security Hub 发现配置 EventBridge 规则 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 Security Hub 发现配置 EventBridge 规则

您可以在 Amazon 中创建规则 EventBridge ,定义在出现以下情况时要采取的操作 Security Hub Findings - Imported已收到事件。 Security Hub Findings - Imported事件由BatchImportFindingsBatchUpdateFindings操作的更新触发。

每条规则都包含一个事件模式,用于标识触发规则的事件。事件模式始终包含事件源 (aws.securityhub) 和事件类型(Security Hub 结果 - 已导入)。事件模式还可以指定筛选条件来识别规则适用的调查发现。

然后,该事件规则用于确定规则目标。目标是在 EventBridge 收到 Sec urity Hub Findings-Imp orted 事件并且发现与筛选器匹配时要采取的操作。

此处提供的说明使用 EventBridge 控制台。当您使用控制台时, EventBridge会自动创建所需的基于资源的策略 EventBridge 以允许写入 Amazon CloudWatch Logs。

您也可以使用的PutRule操作 EventBridge API。但是,如果您使用 EventBridge API,则必须创建基于资源的策略。有关所需策略的信息,请参阅 Amazon EventBridge 用户指南中的CloudWatch 日志权限

事件模式的格式

Security Hub 结果 - 已导入事件的事件模式格式如下:

{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Imported" ], "detail": { "findings": { <attribute filter values> } } }
  • source 将 Security Hub 标识为生成事件的服务。

  • detail-type 标识事件的类型。

  • detail 是可选的,它提供了事件模式的筛选条件值。如果事件模式不包含 detail 字段,则所有调查发现都会触发规则。

您可以根据任何调查发现属性筛选调查发现。您可以为每个属性提供一个或多个值的逗号分隔的数组。

"<attribute name>": [ "<value1>", "<value2>"]

如果您为一个属性提供多个值,则这些值将通过 OR 连接在一起。如果调查发现包含任何列出的值,则该调查发现与单个属性的筛选条件相匹配。例如,如果您同时提供 INFORMATIONALLOW 作为 Severity.Label 的值,则如果调查发现的严重性标签为 INFORMATIONALLOW,则调查发现将匹配。

属性的连接方式为 AND。如果调查发现与所有提供的属性的筛选条件相匹配,则该调查发现与之匹配。

提供属性值时,它必须反映该属性在 Amazon 安全调查结果格式 (ASFF) 结构中的位置。

提示

筛选控制结果时,我们建议使用SecurityControlIdSecurityControlArnASFF字段作为筛选器,而不是TitleDescription。后面的字段偶尔会发生变化,而控件 ID 和ARN是静态标识符。

在以下示例中,事件模式为 ProductArnSeverity.Label 提供了筛选值,因此,如调查发现由 Amazon Inspector 生成,并且其严重性标签为 INFORMATIONALLOW,则调查发现与之匹配。

{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Imported" ], "detail": { "findings": { "ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"], "Severity": { "Label": ["INFORMATIONAL", "LOW"] } } } }

创建事件规则

您可以使用预定义的事件模式或自定义的事件模式在中创建规则 EventBridge。如果您选择预定义的图案,则 EventBridge 会自动填充sourcedetail-type。 EventBridge 还提供了用于为以下查找结果属性指定筛选值的字段:

  • AwsAccountId

  • Compliance.Status

  • Criticality

  • ProductArn

  • RecordState

  • ResourceId

  • ResourceType

  • Severity.Label

  • Types

  • Workflow.Status

创建 EventBridge 规则(控制台)
  1. 打开 Amazon EventBridge 控制台,网址为https://console.aws.amazon.com/events/

  2. 使用以下值创建监控查找事件的 EventBridge 规则:

    • 对于规则类型,选择具有事件模式的规则

    • 选择如何构建事件模式。

      使用…构建事件模式 请执行此操作...

      一个模板

      事件模式部分中,选择以下选项:

      • 对于事件源,选择Amazon 服务

      • 对于Amazon 服务,选择 Security Hub

      • 对于事件类型,选择 Security Hub 结果 - 已导入

      • (可选)要使规则更具体,请添加筛选条件值。例如,要将规则限制为具有活动记录状态的调查发现,请在特定记录状态下选择活动

      自定义事件模式

      (如果要根据 EventBridge 控制台中未显示的属性筛选结果,请使用自定义模式。)

      • 事件模式部分,选择自定义模式(JSON编辑器),然后将以下事件模式粘贴到文本区域:

        { "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Imported" ], "detail": { "findings": { "<attribute name>": [ "<value1>", "<value2>"] } } }
      • 更新事件模式以包含要用作筛选器的属性和属性值。

        例如,要将规则应用于验证状态为 TRUE_POSITIVE 的调查发现,请使用以下模式示例:

        { "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Imported" ], "detail": { "findings": { "VerificationState": ["TRUE_POSITIVE"] } } }
    • 对于目标类型,选择Amazon 服务,对于选择目标,选择目标,例如Amazon SNS 主题或 Amazon Lambda 函数。在收到与规则中定义的事件模式匹配的事件时将触发目标。

    有关创建规则的详细信息,请参阅 EventBridge《亚马逊 EventBridge 用户指南》中的创建对事件做出反应的亚马逊规则。