使用自定义操作将调查发现和洞察结果发送到 EventBridge - Amazon Security Hub
创建自定义操作(控制台)创建自定义操作 (Security Hub API, Amazon CLI)在 EventBridge 中定义规则为调查发现和洞察结果选择自定义操作
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用自定义操作将调查发现和洞察结果发送到 EventBridge

要使用 Security Hub 自定义操作将调查发现或洞察结果发送到 EventBridge,您需要先在 Security Hub 中创建自定义操作。然后,在 EventBridge 中定义适用于您的自定义操作的规则。

您最多可以创建 50 个自定义操作。

如果您启用了跨区域聚合并在聚合区域管理结果,则须在聚合区域中创建自定义操作。

EventBridge 中的规则使用自定义操作中的 ARN。

创建自定义操作(控制台)

当您创建自定义操作时,您指定名称、描述和唯一标识符。

要在 Security Hub(控制台)中创建自定义操作

  1. 通过以下网址打开Amazon Security Hub控制台:https://console.aws.amazon.com/securityhub/

  2. 在导航窗格中,选择 Settings (设置),然后选择 Custom actions (自定义操作)

  3. 选择 Create custom action (创建自定义操作)

  4. 为操作提供 Name (名称)Description (描述)Custom action ID (自定义操作 ID)

    Name (名称) 的长度必须少于 20 个字符。

    每个 Amazon 账户的自定义操作 ID 必须是唯一的。

  5. 选择 Create custom action (创建自定义操作)

  6. 记下自定义操作 ARN。在 EventBridge 中创建与此操作关联的规则时,您需要使用 ARN。

创建自定义操作 (Security Hub API, Amazon CLI)

要创建自定义操作,您可以使用 API 调用或 Amazon Command Line Interface。

要创建自定义操作 (Security Hub API, Amazon CLI)

  • Security Hub API – 使用该 CreateActionTarget 操作。创建自定义操作时,您需要提供名称、描述和自定义操作标识符。

  • Amazon CLI – 在命令行中,运行 create-action-target 命令。

    create-action-target --name <customActionName> --description <customActionDescription> --id <customActionidentifier>

    示例

    aws securityhub create-action-target --name "Send to remediation" --description "Action to send the finding for remediation tracking" --id "Remediation"

在 EventBridge 中定义规则

要处理自定义操作,您必须在 EventBridge 中创建相应的规则。规则定义包括自定义操作的 ARN。

Security Hub 结果 - 自定义操作事件的事件模式采用以下格式:

{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Findings - Custom Action"
  ],
  "resources": [ "<custom action ARN>" ]
}

Security Hub 洞察结果事件的事件模式采用以下格式:

{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Insight Results"
  ],
  "resources": [ "<custom action ARN>" ]
}

在这两种模式中,<custom action ARN> 都是自定义操作的 ARN。您可以配置适用于多个自定义操作的规则。

此处提供的说明适用于 EventBridge 控制台。当您使用控制台时,EventBridge 会自动创建所需的基于资源的策略,使 EventBridge 能够写入 CloudWatch Logs 日志。

您还可以使用 EventBridge API 的 PutRule API 操作。但是,如果您使用 EventBridge API,则必须创建基于资源的策略。有关所需策略的详细信息,请参阅《Amazon EventBridge 用户指南》中的 CloudWatch Logs 日志权限

要在 EventBridge 中定义规则

  1. 打开位于 https://console.aws.amazon.com/events/ 的 Amazon EventBridge 控制台。

  2. 在导航窗格中,选择规则

  3. 选择创建规则

  4. 为规则输入名称和描述。

  5. 对于事件总线,请选择要与此规则关联的事件总线。如果您希望此规则对来自您自己的账户的匹配事件触发,请选择默认。当您账户中的某个 Amazon 服务发出一个事件时,它始终会发送到您账户的默认事件总线。

  6. 对于规则类型,选择具有事件模式的规则

  7. 选择下一步

  8. 对于事件源,选择 Amazon 事件

  9. 对于事件模式,选择事件模式表

  10. 对于事件源,选择Amazon 服务

  11. 要获得 Amazon 服务,请选择 Security Hub

  12. 对于 Event type (事件类型),执行以下操作之一:

    • 要创建在将结果发送到自定义操作时要应用的规则,请选择 Security Hub 结果 - 自定义操作

    • 要创建在向自定义操作发送洞察结果时要应用的规则,请选择 Security Hub 洞察结果

  13. 选择特定自定义操作 ARN,添加自定义操作 ARN。

    如果该规则适用于多个自定义操作,请选择添加以添加更多自定义操作 ARN。

  14. 选择下一步

  15. 选择目标下,选择并配置匹配此规则时要调用的目标。

  16. 选择下一步

  17. (可选)为规则输入一个或多个标签。有关更多信息,请参阅《Amazon EventBridge 用户指南》中的 Amazon EventBridge 标签

  18. 选择下一步

  19. 查看规则详细信息并选择创建规则

    当您对账户中的发现或见解结果执行自定义操作时,EventBridge 中会生成事件。

为调查发现和洞察结果选择自定义操作

创建 Security Hub 自定义操作和 EventBridge 规则后,您可以将调查发现和见解结果发送到 EventBridge 以进行进一步管理和处理。

事件仅在它们被查看的账户中发送到 EventBridge。如果您使用管理员账户查看调查发现,则该事件将以管理员账户发送到 EventBridge。

要使 Amazon API 调用生效,目标代码的实现必须将角色切换到成员账户。这也意味着您切换到的角色必须部署到需要采取行动的每个成员。

将调查发现发送到 EventBridge

  1. 通过以下网址打开Amazon Security Hub控制台:https://console.aws.amazon.com/securityhub/

  2. 显示调查发现列表:

  3. 选择要发送到 EventBridge 的调查发现。您一次最多可选择 20 个结果。

  4. 操作中,选择与要应用的 EventBridge 规则一致的自定义操作。

    Security Hub 会为每个调查发现单独发送一个 Security Hub 调查发现 - 自定义操作事件。

将洞察结果发送到 EventBridge

  1. 通过以下网址打开Amazon Security Hub控制台:https://console.aws.amazon.com/securityhub/

  2. 在导航窗格中,选择 Insights

  3. 见解页面上,选择包含要发送到 EventBridge 的结果的见解。

  4. 选择要发送到 EventBridge 的洞察结果。您一次最多可以选择 20 个结果。

  5. 操作中,选择与要应用的 EventBridge 规则一致的自定义操作。