使用自定义操作将结果和见解结果发送到 EventBridge - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用自定义操作将结果和见解结果发送到 EventBridge

要使用 Security Hub 自定义操作将检查结果或见解结果发送到 EventBridge,请先在 Security Hub 中创建自定义操作。然后在 EventBridge 中定义规则。

您最多可以创建 50 个自定义操作。

EventBridge 中的规则使用自定义操作中的 ARN。

创建自定义操作(控制台)

创建自定义操作时,可以指定名称、描述和唯一标识符。

在 Security Hub(控制台)中创建自定义操作

  1. 打开AmazonSecurity Hub 控制台https://console.aws.amazon.com/securityhub/

  2. 在导航窗格中,选择 Settings (设置),然后选择 Custom actions (自定义操作)

  3. 选择 Create custom action (创建自定义操作)

  4. 为操作提供 Name (名称)Description (描述)Custom action ID (自定义操作 ID)

    Name (名称) 的长度必须少于 20 个字符。

    这些区域有:自定义操作 ID对于每个Amazonaccount.

  5. 选择 Create custom action (创建自定义操作)

  6. 记下自定义操作 ARN。在 EventBridge 中创建与该操作关联的规则时,您需要用到该 ARN。

创建自定义操作(Security Hub API、Amazon CLI)

要创建自定义操作,您可以使用 API 调用或Amazon Command Line Interface。

要创建自定义操作(Security Hub API,Amazon CLI)

  • Security Hub API— 使用CreateActionTargetoperation. 创建自定义操作时,可以提供名称、描述和自定义操作标识符。

  • Amazon CLI— 在命令行处,运行create-action-target命令。

    create-action-target --name <customActionName> --description <customActionDescription> --id <customActionidentifier>

    示例

    aws securityhub create-action-target --name "Send to remediation" --description "Action to send the finding for remediation tracking" --id "Remediation"

在 EventBridge 中定义规则

要处理自定义操作,您必须在 EventBridge 中创建相应的规则。规则定义包括自定义操作的 ARN。

的事件模式Security Hub 调查结果-自定义操作事件具有以下格式:

{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Custom Action" ], "resources": [ "<custom action ARN>" ] }

的事件模式Security Hub 见解结果事件具有以下格式:

{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Insight Results" ], "resources": [ "<custom action ARN>" ] }

在这两种格式中,<custom action ARN>是自定义操作的 ARN。您可以配置应用于多个自定义操作的规则。

此处提供的说明适用于 EventBridge 控制台。当您使用控制台时,EventBridge 会自动创建所需的基于资源的策略,以使 EventBridge 能够写入 CloudWatch Logs。

您也可以使用PutRuleEventBridge 接 API 的 API 操作。但是,如果您使用 EventBridge API,则必须创建基于资源的策略。有关所需策略的详细信息,请参阅CloudWatch Logs 权限中的Amazon EventBridge 用户指南

在 EventBridge 中定义规则

  1. 打开位于 https://console.aws.amazon.com/events/ 的 Amazon EventBridge 控制台。

  2. 在导航窗格中,选择 Rules (规则)

  3. 选择 Create rule (创建规则)

  4. 为规则输入名称和描述。

  5. 适用于事件源中,选择事件模式

  6. 适用于事件匹配模式,选择服务预定义的模式

  7. 对于 Service provider (服务提供商),选择 Amazon

  8. 适用于Service name (服务名称)中,选择Security Hub

  9. 适用于Event type中,要创建要在将查找结果发送到自定义操作时应用的规则,请选择Security Hub 调查结果-自定义操作

    要在将见解结果发送到自定义操作时创建要应用的规则,请选择Security Hub 见解结果

  10. 对于该规则应用到的每个自定义操作,请执行以下步骤:

    1. 选择特定自定义操作

    2. 要添加自定义操作 ARN,请在字段中输入 ARN,然后选择Add

    3. 要删除自定义操作 ARN,请选择Remove对于该值。

  11. UNTER选择目标中,选择并配置匹配该规则时调用的目标。

  12. 选择创建

在 EventBridge 中创建该规则后,在您对账户中的结果或见解结果执行自定义操作时,会在 EventBridge 中生成事件。

为查找结果和洞察结果选择自定义操作

在您创建 Security Hub 自定义操作和 EventBridge 规则后,可以将检查结果和见解结果发送给 EventBridge,以便进一步管理和处理。

事件仅在它们被查看的帐户中发送到 EventBridge。如果您使用管理员帐户查看结果,则会在管理员帐户中将事件发送到 EventBridge。

适用于AmazonAPI 调用要有效,目标代码的实现必须将角色切换到成员账户。这也意味着,必须将您切换到的角色部署到需要操作的每个成员。

将结果发送到 EventBridge

  1. 打开AmazonSecurity Hub 控制台https://console.aws.amazon.com/securityhub/

  2. 显示结果的列表:

  3. 选择要发送到 EventBridge 的结果。您一次最多可选择 20 个结果。

  4. 操作中,选择符合要应用的 EventBridge 规则的自定义操作。

将洞察结果发送到 EventBridge

  1. 打开AmazonSecurity Hub 控制台https://console.aws.amazon.com/securityhub/

  2. 在导航窗格中,选择 Insights

  3. 在存储库的见解页面上,选择包含要发送到 EventBridge 的结果的见解。

  4. 选择要发送到 EventBridge 的见解结果。您一次最多可选择 20 个结果。

  5. 操作中,选择符合要应用的 EventBridge 规则的自定义操作。