本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
配置 EventBridge 规则以自动发送调查发现
您可以在 EventBridge 中创建规则,该规则定义在收到 Security Hub Findings - Imported 事件时要采取的操作。Security Hub Findings - Imported 事件由 BatchImportFindings
和 BatchUpdateFindings
的更新触发。
每条规则都包含一个事件模式,用于标识触发规则的事件。事件模式始终包含事件源 (aws.securityhub
) 和事件类型(Security Hub 结果 - 已导入)。事件模式还可以指定筛选条件来识别规则适用的调查发现。
然后,该规则确定了规则目标。目标是 EventBridge 收到 Security Hub 结果 - 已导入 事件并且调查发现与筛选条件匹配时要采取的操作。
此处提供的说明使用 EventBridge 控制台。当您使用控制台时,EventBridge 会自动创建所需的基于资源的策略,使 EventBridge 能够写入 CloudWatch Logs 日志。
您还可以使用 EventBridge API 的 PutRule
API 操作。但是,如果您使用 EventBridge API,则必须创建基于资源的策略。有关所需策略的详细信息,请参阅《Amazon EventBridge 用户指南》中的 CloudWatch Logs 日志权限。
事件模式的格式
Security Hub 结果 - 已导入事件的事件模式格式如下:
{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Imported" ], "detail": { "findings": {
<attribute filter values>
} } }
-
source
将 Security Hub 标识为生成事件的服务。 -
detail-type
标识事件的类型。 -
detail
是可选的,它提供了事件模式的筛选条件值。如果事件模式不包含detail
字段,则所有调查发现都会触发规则。
您可以根据任何调查发现属性筛选调查发现。您可以为每个属性提供一个或多个值的逗号分隔的数组。
"
<attribute name>
": [ "<value1>
", "<value2>
"]
如果您为一个属性提供多个值,则这些值将通过 OR
连接在一起。如果调查发现包含任何列出的值,则该调查发现与单个属性的筛选条件相匹配。例如,如果您同时提供 INFORMATIONAL
和 LOW
作为 Severity.Label
的值,则如果调查发现的严重性标签为 INFORMATIONAL
或 LOW
,则调查发现将匹配。
属性的连接方式为 AND
。如果调查发现与所有提供的属性的筛选条件相匹配,则该调查发现与之匹配。
当您提供属性值时,它必须反映该属性在 Amazon 安全调查发现格式 (ASFF) 结构中的位置。
提示
筛选控件调查发现时,我们建议使用 SecurityControlId
或 SecurityControlArn
ASFF 字段作为筛选条件,而不是 Title
或 Description
。后面的字段偶尔会发生变化,而控件 ID 和 ARN 是静态标识符。
在以下示例中,事件模式为 ProductArn
和 Severity.Label
提供了筛选值,因此,如调查发现由 Amazon Inspector 生成,并且其严重性标签为 INFORMATIONAL
或 LOW
,则调查发现与之匹配。
{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Imported" ], "detail": { "findings": { "ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"], "Severity": { "Label": ["INFORMATIONAL", "LOW"] } } } }
创建事件规则
您可以使用预定义的事件模式或自定义的事件模式在 EventBridge 中创建规则。如果您选择预定义的模式,EventBridge 会自动填充 source
和 detail-type
。EventBridge 还提供了用于为以下调查发现属性指定筛选值的字段:
-
AwsAccountId
-
Compliance.Status
-
Criticality
-
ProductArn
-
RecordState
-
ResourceId
-
ResourceType
-
Severity.Label
-
Types
-
Workflow.Status
创建 EventBridge 规则
访问 https://console.aws.amazon.com/events/
,打开 Amazon EventBridge 控制台。 -
使用以下值创建监控调查发现事件的 EventBridge 规则:
-
对于规则类型,选择具有事件模式的规则。
-
选择如何构建事件模式。
使用…构建事件模式 请执行此操作... 一个模板
在事件模式部分中,选择以下选项:
-
对于事件源,选择Amazon 服务。
-
对于Amazon 服务,选择 Security Hub。
-
对于事件类型,选择 Security Hub 结果 - 已导入。
-
(可选)要使规则更具体,请添加筛选条件值。例如,要将规则限制为具有活动记录状态的调查发现,请在特定记录状态下选择活动。
自定义事件模式
(如果您想根据未出现在 EventBridge 控制台中的属性筛选结果,请使用自定义模式。)
-
在事件模式部分中,选择自定义模式(JSON 编辑器),然后将以下事件模式粘贴到文本区域中:
{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Imported" ], "detail": { "findings": { "
<attribute name>
": [ "<value1>
", "<value2>
"] } } }
-
更新事件模式以包含要用作筛选器的属性和属性值。
例如,要将规则应用于验证状态为
TRUE_POSITIVE
的调查发现,请使用以下模式示例:{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Imported" ], "detail": { "findings": { "VerificationState": ["TRUE_POSITIVE"] } } }
-
-
对于目标类型,选择 Amazon 服务,对于选择目标,选择一个目标,例如 Amazon SNS 主题或 Amazon Lambda 函数。在收到与规则中定义的事件模式匹配的事件时将触发目标。
有关创建规则的详细信息,请参阅 Amazon EventBridge 用户指南中的创建对事件做出反应的 Amazon EventBridge 规则。
-