使用自定义操作将结果和见解结果发送到 EventBridge - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用自定义操作将结果和见解结果发送到 EventBridge

要使用 Security Hub 自定义操作将检查结果或见解结果发送到 EventBridge,请先在 Security Hub 中创建自定义操作。然后在 EventBridge 中定义规则。

您最多可以创建 50 个自定义操作。

如果您启用了查找聚合并并管理聚合区域的查找结果,则在聚合区域中创建自定义操作。

EventBridge 中的规则使用自定义操作中的 ARN。

创建自定义操作(控制台)

创建自定义操作时,可以指定名称、描述和唯一标识符。

要在 Security Hub(控制台)中创建自定义操作

  1. 打开AmazonSecurity Hub 控制台https://console.aws.amazon.com/securityhub/.

  2. 在导航窗格中,选择 Settings (设置),然后选择 Custom actions (自定义操作)

  3. 选择 Create custom action (创建自定义操作)

  4. 为操作提供 Name (名称)Description (描述)Custom action ID (自定义操作 ID)

    Name (名称) 的长度必须少于 20 个字符。

    这些区域有:自定义操作 ID对于每个人,必须唯一Amazonaccount.

  5. 选择 Create custom action (创建自定义操作)

  6. 记下自定义操作 ARN。在 EventBridge 中创建与该操作关联的规则时,您需要使用 ARN。

创建自定义操作(Security Hub API,Amazon CLI)

要创建自定义操作,您可以使用 API 调用或Amazon Command Line Interface.

要创建自定义操作(Security Hub API),Amazon CLI)

  • Security Hub API— 使用CreateActionTargetoperation. 创建自定义操作时,您可以提供名称、描述和自定义操作标识符。

  • Amazon CLI— 在命令行处,运行create-action-target命令。

    create-action-target --name <customActionName> --description <customActionDescription> --id <customActionidentifier>

    示例

    aws securityhub create-action-target --name "Send to remediation" --description "Action to send the finding for remediation tracking" --id "Remediation"

在 EventBridge 中定义规则

要处理自定义操作,您必须在 EventBridge 中创建相应的规则。规则定义包含自定义操作的 ARN。

的事件模式Security Hub 发现-自定义操作事件采用以下格式:

{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Custom Action" ], "resources": [ "<custom action ARN>" ] }

的事件模式Security Hub 结果事件采用以下格式:

{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Insight Results" ], "resources": [ "<custom action ARN>" ] }

在这两种格式中,<custom action ARN>是自定义操作的 ARN。您可以配置适用于多个自定义操作的规则。

此处提供的说明适用于 EventBridge 控制台。当您使用控制台时,EventBridge 会自动创建所需的基于资源的策略,使 EventBridge 能够写入 CloudWatch Logs。

您也可以使用PutRuleEventBridge API 的 API 操作。但是,如果您使用 EventBridge API,则必须创建基于资源的策略。有关所需策略的详细信息,请参阅CloudWatch Logs 权限中的Amazon EventBridge 用户指南.

在 EventBridge 中定义规则

  1. 打开位于 https://console.aws.amazon.com/events/ 的 Amazon EventBridge 控制台。

  2. 在导航窗格中,选择 Rules (规则)

  3. 选择 Create rule (创建规则)

  4. 为规则输入名称和描述。

  5. 适用于事件源,选择事件模式.

  6. 事件匹配模式下,选择按服务预定义模式

  7. 对于服务提供商,选择 Amazon

  8. 适用于Service name (服务名称),选择Security Hub.

  9. 适用于Event type,要创建规则以便在向自定义操作发送查找结果时应用,请选择Security Hub 发现-自定义操作.

    要创建在将见解结果发送到自定义操作时应用的规则,请选择Security Hub 结果.

  10. 对于该规则应用到的每个自定义操作,请执行以下步骤:

    1. 选择自定义操作.

    2. 要添加自定义操作 ARN,请在字段中输入 ARN,然后选择Add.

    3. 要删除自定义操作 ARN,请选择Remove对于那个价值。

  11. UNDER选择目标中,选择并配置匹配该规则时调用的目标。

  12. 选择创建

在 EventBridge 中创建该规则后,当您对账户中的结果或见解结果执行自定义操作时,会在 EventBridge 中生成事件。

为调查结果和洞察结果选择自定义操作

在您创建 Security Hub 自定义操作和 EventBridge 规则后,可以将检查结果和见解结果发送给 EventBridge 进行进一步管理和处理。

事件仅在其中查看事件的账户中发送到 EventBridge。如果您使用管理员帐户查看结果,则会在管理员帐户中将事件发送到 EventBridge。

适用于AmazonAPI 调用要有效,目标代码的实现必须将角色切换到成员账户。这也意味着,您切换到的角色必须部署到需要操作的每个成员。

将结果发送到 EventBridge

  1. 打开AmazonSecurity Hub 控制台https://console.aws.amazon.com/securityhub/.

  2. 显示结果列表:

  3. 选择将结果发送到 EventBridge。您一次最多可选择 20 个结果。

  4. 操作中,选择符合要应用的 EventBridge 规则的自定义操作。

    Security Hub 发送单独的Security Hub 发现-自定义操作每个发现的事件。

将洞察结果发送到 EventBridge

  1. 打开AmazonSecurity Hub 控制台https://console.aws.amazon.com/securityhub/.

  2. 在导航窗格中,选择 Insights

  3. 在存储库的见解页面上,选择包含要发送到 EventBridge 的结果的见解。

  4. 选择要发送到 EventBridge 的见解结果。您一次最多可选择 20 个结果。

  5. 操作中,选择符合要应用的 EventBridge 规则的自定义操作。