使用自定义操作将检查结果和见解结果发送到 EventBridge - Amazon Security Hub
创建自定义操作(控制台)创建自定义操作(Security Hub API,Amazon CLI)在中定义规则 EventBridge为调查结果和洞察结果选择自定义操作
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用自定义操作将检查结果和见解结果发送到 EventBridge

使用 Security Hub 自定义操作将调查结果或见解结果发送到 EventBridge,您先在 Security Hub 中创建自定义操作。然后在中定义规则 EventBridge.

您最多可以创建 50 个自定义操作。

如果您启用了跨区域聚合并并管理聚合区域的调查结果,则在聚合区域中创建自定义操作。

中的规则 EventBridge 使用自定义操作中的 ARN。

创建自定义操作(控制台)

创建自定义操作时,可以指定名称、说明和唯一标识符。

在 Security Hub(控制台)中创建自定义操作

  1. 打开Amazon在 Security Hub 控制台https://console.aws.amazon.com/securityhub/.

  2. 在导航窗格中,选择 Settings (设置),然后选择 Custom actions (自定义操作)

  3. 选择 Create custom action (创建自定义操作)

  4. 为操作提供 Name (名称)Description (描述)Custom action ID (自定义操作 ID)

    Name (名称) 的长度必须少于 20 个字符。

    这些区域有:自定义操作 ID各个人必须是唯一的Amazonaccount.

  5. 选择 Create custom action (创建自定义操作)

  6. 记下自定义操作 ARN。在 EventBridge 中创建与该操作关联的规则时,您需要使用 ARN。

创建自定义操作(Security Hub API,Amazon CLI)

要创建自定义操作,您可以使用 API 调用或Amazon Command Line Interface.

要创建自定义操作 (Security Hub API)Amazon CLI)

  • Security Hub API— 使用CreateActionTargetoperation. 创建自定义操作时,请提供名称、说明和自定义操作标识符。

  • Amazon CLI— 在命令行处,运行create-action-target命令。

    create-action-target --name <customActionName> --description <customActionDescription> --id <customActionidentifier>

    示例

    aws securityhub create-action-target --name "Send to remediation" --description "Action to send the finding for remediation tracking" --id "Remediation"

在中定义规则 EventBridge

要处理自定义操作,您必须在中创建对应的规则。 EventBridge. 规则定义包含自定义操作的 ARN。

的事件模式Security Hub 发现-自定义操作事件采用以下格式:

{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Findings - Custom Action"
  ],
  "resources": [ "<custom action ARN>" ]
}

的事件模式Security Hub 洞察结果事件采用以下格式:

{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Insight Results"
  ],
  "resources": [ "<custom action ARN>" ]
}

在这两种模式中,<custom action ARN>是自定义操作的 ARN。您可以配置适用于多个自定义操作的规则。

此处提供的说明是针对 EventBridge 控制台。当您使用控制台时, EventBridge自动创建所需的基于资源的策略,以启用 EventBridge 写入 CloudWatch 日志。

您也可以使用PutRule的 API 操作 EventBridge API。但是,如果您使用 EventBridge 然后,您必须创建基于资源的策略。有关所需策略的详细信息,请参阅。CloudWatch 记录权限中的亚马逊 EventBridge 用户指南.

在 中定义规则 EventBridge

  1. 打开 Amazon EventBridge 控制台https://console.aws.amazon.com/events/.

  2. 在导航窗格中,选择 Rules (规则)

  3. 选择 Create rule (创建规则)

  4. 为规则输入名称和描述。

  5. 对于 Event bus(事件总线),请选择要与此规则关联的事件总线。如果您希望此规则与来自您的账户的事件匹配,请选择默认. 当您账户中的某个 Amazon 服务发出一个事件时,它始终会发送到您账户的默认事件总线。

  6. 对于 Rule type(规则类型),选择 Rule with an event pattern(具有事件模式的规则)。

  7. 选择 Next(下一步)。

  8. 适用于事件源,选择Amazon事件.

  9. 适用于事件模式,选择事件模式表.

  10. 适用于事件源,选择Amazon服务.

  11. 适用于Amazon服务,选择Security Hub.

  12. 对于 Event type (事件类型),执行以下操作之一:

    • 要创建在向自定义操作发送查找结果时应用的规则,请选择Security Hub 发现-自定义操作.

    • 要创建规则并在将见解结果发送到自定义操作时应用到,请选择Security Hub 洞察结果.

  13. 选择特定的自定义操作 ARN,添加自定义操作 ARN。

    如果该规则适用于多个自定义操作,请选择Add以添加更多自定义操作 ARN。

  14. 选择 Next(下一步)。

  15. 根据选择目标中,选择并配置要在匹配该规则时调用的目标。

  16. 选择 Next(下一步)。

  17. (可选)为规则输入一个或多个标签。有关更多信息,请参阅 。亚马逊 EventBridge标签中的亚马逊 EventBridge 用户指南.

  18. 选择 Next(下一步)。

  19. 查看规则详细信息并选择 Create rule(创建规则)。

    在您对账户中的结果或见解结果执行自定义操作时,会在中生成事件。 EventBridge.

为调查结果和洞察结果选择自定义操作

在创建 Security Hub 之后自定义操作和 EventBridge 规则,您可以将调查结果和洞察结果发送到 EventBridge 用于进一步的管理和处理。

活动被发送到 EventBridge 只有在其中查看它们的账户中。如果您使用管理员帐户查看结果,则会将事件发送到 EventBridge 在管理员账户中。

适用于Amazon要使 API 调用生效,目标代码的实现必须将角色切换到成员账户。这也意味着,必须将您切换到的角色部署到需要操作的每个成员。

将结果发送到 EventBridge

  1. 打开Amazon在 Security Hub 控制台https://console.aws.amazon.com/securityhub/.

  2. 显示结果列表:

  3. 选择要发送到的结果 EventBridge. 您一次最多可选择 20 个结果。

  4. 操作选择与 EventBridge 要应用的规则。

    Security Hub 发送一个单独的Security Hub 发现-自定义操作每个发现的事件。

将洞察结果发送到 EventBridge

  1. 打开Amazon在 Security Hub 控制台https://console.aws.amazon.com/securityhub/.

  2. 在导航窗格中,选择 Insights

  3. 在存储库的见解在页面上,选择包含要发送到的结果的见解 EventBridge.

  4. 选择要发送到的见解结果 EventBridge. 您一次最多可选择 20 个结果。

  5. 操作选择与 EventBridge 要应用的规则。