本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用自定义操作将调查发现和洞察结果发送到 EventBridge
要使用 Security Hub 自定义操作将调查发现或洞察结果发送到 EventBridge,您需要先在 Security Hub 中创建自定义操作。然后,在 EventBridge 中定义适用于您的自定义操作的规则。
您最多可以创建 50 个自定义操作。
如果您启用了跨区域聚合并在聚合区域管理结果,则须在聚合区域中创建自定义操作。
EventBridge 中的规则使用自定义操作中的 ARN。
创建自定义操作(控制台)
当您创建自定义操作时,您指定名称、描述和唯一标识符。
要在 Security Hub(控制台)中创建自定义操作
通过以下网址打开Amazon Security Hub控制台:https://console.aws.amazon.com/securityhub/
。 -
在导航窗格中,选择 Settings (设置),然后选择 Custom actions (自定义操作)。
-
选择 Create custom action (创建自定义操作)。
-
为操作提供 Name (名称)、Description (描述) 和 Custom action ID (自定义操作 ID)。
Name (名称) 的长度必须少于 20 个字符。
每个 Amazon 账户的自定义操作 ID 必须是唯一的。
-
选择 Create custom action (创建自定义操作)。
-
记下自定义操作 ARN。在 EventBridge 中创建与此操作关联的规则时,您需要使用 ARN。
创建自定义操作 (Security Hub API, Amazon CLI)
要创建自定义操作,您可以使用 API 调用或 Amazon Command Line Interface。
要创建自定义操作 (Security Hub API, Amazon CLI)
-
Security Hub API – 使用该
CreateActionTarget
操作。创建自定义操作时,您需要提供名称、描述和自定义操作标识符。 -
Amazon CLI – 在命令行中,运行
create-action-target
命令。create-action-target --name
<customActionName>
--description<customActionDescription>
--id<customActionidentifier>
示例
aws securityhub create-action-target --name "Send to remediation" --description "Action to send the finding for remediation tracking" --id "Remediation"
在 EventBridge 中定义规则
要处理自定义操作,您必须在 EventBridge 中创建相应的规则。规则定义包括自定义操作的 ARN。
Security Hub 结果 - 自定义操作事件的事件模式采用以下格式:
{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Custom Action" ], "resources": [ "
<custom action ARN>
" ] }
Security Hub 洞察结果事件的事件模式采用以下格式:
{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Insight Results" ], "resources": [ "
<custom action ARN>
" ] }
在这两种模式中,
都是自定义操作的 ARN。您可以配置适用于多个自定义操作的规则。<custom action ARN>
此处提供的说明适用于 EventBridge 控制台。当您使用控制台时,EventBridge 会自动创建所需的基于资源的策略,使 EventBridge 能够写入 CloudWatch Logs 日志。
您还可以使用 EventBridge API 的 PutRule
API 操作。但是,如果您使用 EventBridge API,则必须创建基于资源的策略。有关所需策略的详细信息,请参阅《Amazon EventBridge 用户指南》中的 CloudWatch Logs 日志权限。
要在 EventBridge 中定义规则
打开位于 https://console.aws.amazon.com/events/
的 Amazon EventBridge 控制台。 -
在导航窗格中,选择规则。
-
选择创建规则。
-
为规则输入名称和描述。
-
对于事件总线,请选择要与此规则关联的事件总线。如果您希望此规则对来自您自己的账户的匹配事件触发,请选择默认。当您账户中的某个 Amazon 服务发出一个事件时,它始终会发送到您账户的默认事件总线。
-
对于规则类型,选择具有事件模式的规则。
-
选择下一步。
-
对于事件源,选择 Amazon 事件。
-
对于事件模式,选择事件模式表。
-
对于事件源,选择Amazon 服务。
-
要获得 Amazon 服务,请选择 Security Hub。
-
对于 Event type (事件类型),执行以下操作之一:
-
要创建在将结果发送到自定义操作时要应用的规则,请选择 Security Hub 结果 - 自定义操作。
-
要创建在向自定义操作发送洞察结果时要应用的规则,请选择 Security Hub 洞察结果。
-
-
选择特定自定义操作 ARN,添加自定义操作 ARN。
如果该规则适用于多个自定义操作,请选择添加以添加更多自定义操作 ARN。
-
选择下一步。
-
在选择目标下,选择并配置匹配此规则时要调用的目标。
-
选择下一步。
-
(可选)为规则输入一个或多个标签。有关更多信息,请参阅《Amazon EventBridge 用户指南》中的 Amazon EventBridge 标签。
-
选择下一步。
-
查看规则详细信息并选择创建规则。
当您对账户中的发现或见解结果执行自定义操作时,EventBridge 中会生成事件。
为调查发现和洞察结果选择自定义操作
创建 Security Hub 自定义操作和 EventBridge 规则后,您可以将调查发现和见解结果发送到 EventBridge 以进行进一步管理和处理。
事件仅在它们被查看的账户中发送到 EventBridge。如果您使用管理员账户查看调查发现,则该事件将以管理员账户发送到 EventBridge。
要使 Amazon API 调用生效,目标代码的实现必须将角色切换到成员账户。这也意味着您切换到的角色必须部署到需要采取行动的每个成员。
将调查发现发送到 EventBridge
通过以下网址打开Amazon Security Hub控制台:https://console.aws.amazon.com/securityhub/
。 -
显示调查发现列表:
-
在调查发现中,您可以查看所有已启用的产品集成和控件的调查发现。
-
从安全标准中,您可以导航到从选定控件生成的调查发现列表。请参阅查看控件的详细信息。
-
从集成中,您可以导航到已启用的集成生成的调查发现列表。请参阅查看来自集成的结果。
-
从见解中,您可以导航到见解结果的调查发现列表。请参阅查看见解结果和调查结果并采取相应措施。
-
-
选择要发送到 EventBridge 的调查发现。您一次最多可选择 20 个结果。
-
从操作中,选择与要应用的 EventBridge 规则一致的自定义操作。
Security Hub 会为每个调查发现单独发送一个 Security Hub 调查发现 - 自定义操作事件。
将洞察结果发送到 EventBridge
通过以下网址打开Amazon Security Hub控制台:https://console.aws.amazon.com/securityhub/
。 -
在导航窗格中,选择 Insights。
-
在见解页面上,选择包含要发送到 EventBridge 的结果的见解。
-
选择要发送到 EventBridge 的洞察结果。您一次最多可以选择 20 个结果。
-
从操作中,选择与要应用的 EventBridge 规则一致的自定义操作。