使用自定义操作将结果和见解结果发送到 EventBridge - AWS Security Hub
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用自定义操作将结果和见解结果发送到 EventBridge

要使用 Security Hub 自定义操作将结果或见解结果发送到 EventBridge,请先在 Security Hub 中创建自定义操作。然后,在 EventBridge 中定义规则。

EventBridge 中的规则使用自定义操作中的 ARN。

创建自定义操作(控制台)

在创建自定义操作时,您可以指定名称、描述和唯一标识符。

在 Security Hub 中创建自定义操作(控制台)

  1. 通过以下网址打开 AWS Security Hub 控制台:https://console.amazonaws.cn/securityhub/

  2. 在导航窗格中,选择 Settings (设置),然后选择 Custom actions (自定义操作)

  3. 选择 Create custom action (创建自定义操作)

  4. 为操作提供 Name (名称)Description (描述)Custom action ID (自定义操作 ID)

    Name (名称) 的长度必须少于 20 个字符。

    每个 AWS 账户的 Custom action ID (自定义操作 ID) 必须唯一。

  5. 选择 Create custom action (创建自定义操作)

  6. 记下自定义操作 ARN。在 EventBridge 中创建与该操作关联的规则时,您需要使用 ARN。

创建自定义操作(Security Hub API、AWS CLI)

要创建自定义操作,您可以使用 API 调用或 AWS Command Line Interface。

创建自定义操作(Security Hub API、AWS CLI)

  • APISecurity Hub 使用 –CreateActionTarget 操作。创建自定义操作时,您需要提供名称、描述和自定义操作标识符。

  • AWS CLI – 在命令行中,运行 create-action-target 命令。

    create-action-target --name <customActionName> --description <customActionDescription> --id <customActionidentifier>

    示例

    aws securityhub create-action-target --name "Send to remediation" --description "Action to send the finding for remediation tracking" --id "Remediation"

在 EventBridge 中定义规则

要处理自定义操作,您必须在 EventBridge 中创建相应的规则。规则定义包括自定义操作的 ARN。

此处提供的说明适用于 EventBridge 控制台。在使用控制台时,EventBridge 自动创建所需的基于资源的策略,以允许 EventBridge 写入 CloudWatch Logs。

您还可以使用 API 的 PutRule API 操作。EventBridge但是,如果您使用 EventBridge API,则必须创建基于资源的策略。有关所需策略的详细信息,请参阅 CloudWatch Logs 中的 权限Amazon EventBridge 用户指南。

在 EventBridge 中定义规则

  1. 通过以下网址打开 Amazon EventBridge 控制台:https://console.amazonaws.cn/events/

  2. 在导航窗格中,选择 Rules (规则)

  3. 选择 Create rule (创建规则)

  4. 为规则输入名称和描述。

  5. 对于 Event source (事件源),选择 Event Pattern (事件模式)

  6. 选择 Custom pattern (自定义模式)

  7. 复制以下示例模式之一,然后将其粘贴到 Event pattern (事件模式) 文本区域中。请务必替换方括号中的内容。

    对于与结果自定义操作关联的事件 (Security Hub Findings - Custom Action 事件类型),使用以下格式。在您的事件模式中,将占位符 ARN 替换为您创建的自定义操作的 Custom Action ARN (自定义操作 ARN)

    { "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Custom Action" ], "resources": [ "arn:aws:securityhub:us-west-2:123456789012:action/custom/test-action1" ] }

    对于与见解自定义操作关联的事件 (Security Hub Insight Results 事件类型),使用以下格式。在您的事件模式中,将占位符 ARN 替换为您创建的自定义操作的 Custom Action ARN (自定义操作 ARN)

    { "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Insight Results" ], "resources": [ "arn:aws:securityhub:us-west-2:123456789012:action/custom/test-action1" ] }
  8. 选择 Save (保存) 以保存模式。

  9. Select targets (选择目标) 下,选择并配置匹配该规则时要调用的目标。

  10. 选择创建

在 EventBridge 中创建此规则后,当您对账户中的结果或见解结果执行自定义操作时,将在 EventBridge 中生成事件。

为结果和见解结果选择自定义操作

在创建 Security Hub 自定义操作和 EventBridge 规则后,您可以将结果和见解结果发送到 EventBridge 以进一步进行管理和处理。

事件仅在它们被查看的账户中发送到 EventBridge。如果您使用主账户查看结果,则事件将发送到主账户中的 EventBridge。

要使 AWS API 调用生效,目标代码的实现必须将角色切换到成员账户。这也意味着,必须将您必须切换到的角色部署到需要操作的每个成员。

将结果发送到 EventBridge

  1. 通过以下网址打开 AWS Security Hub 控制台:https://console.amazonaws.cn/securityhub/

  2. 显示结果列表:

  3. 选择要发送到 EventBridge 的结果。您一次最多可选择 20 个结果。

  4. Actions (操作) 中,选择与要应用的 EventBridge 规则相对应的自定义操作。

将洞察结果发送到 EventBridge

  1. 通过以下网址打开 AWS Security Hub 控制台:https://console.amazonaws.cn/securityhub/

  2. 在导航窗格中,选择 Insights

  3. Insights (见解) 页面上,选择包含要发送到 EventBridge 的结果的见解。

  4. 选择要发送到 EventBridge 的见解结果。您一次最多可以选择 20 个结果。

  5. Actions (操作) 中,选择与要应用的 EventBridge 规则相对应的自定义操作。