在中定义规则 EventBridge - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在中定义规则 EventBridge

要在 Amazon 中触发自定义操作 EventBridge,您必须在中创建相应的规则 EventBridge。规则定义包括自定义操作的 Amazon 资源名称 (ARN)。

Security Hub 结果 - 自定义操作事件的事件模式采用以下格式:

{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Custom Action" ], "resources": [ "<custom action ARN>" ] }

Security Hub 见解结果事件的事件模式采用以下格式:

{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Insight Results" ], "resources": [ "<custom action ARN>" ] }

在这两种模式中ARN,<custom action ARN>都是自定义动作。您可以配置适用于多个自定义操作的规则。

此处提供的说明适用于 EventBridge 控制台。使用控制台时, EventBridge 会自动创建所需的基于资源的策略, EventBridge 以允许写入 CloudWatch 日志。

您也可以使用的PutRuleAPI操作 EventBridge API。但是,如果您使用 EventBridge API,则必须创建基于资源的策略。有关所需策略的详细信息,请参阅 Amazon EventBridge 用户指南中的CloudWatch 日志权限

在 EventBridge (EventBridge 控制台)中定义规则
  1. 打开 Amazon EventBridge 控制台,网址为https://console.aws.amazon.com/events/

  2. 在导航窗格中,选择规则

  3. 选择创建规则

  4. 为规则输入名称和描述。

  5. 对于事件总线,请选择要与此规则关联的事件总线。如果您希望此规则对来自您自己的账户的匹配事件触发,请选择默认。当您账户中的某个 Amazon 服务发出一个事件时,它始终会发送到您账户的默认事件总线。

  6. 对于规则类型,选择具有事件模式的规则

  7. 选择下一步

  8. 对于事件源,选择 Amazon 事件

  9. 对于事件模式,选择事件模式表

  10. 对于事件源,选择Amazon 服务

  11. 要获得Amazon 服务,请选择 Security Hub

  12. 对于 Event type (事件类型),执行以下操作之一:

    • 要创建在将结果发送到自定义操作时要应用的规则,请选择 Security Hub 结果 - 自定义操作

    • 要创建在向自定义操作发送见解结果时要应用的规则,请选择 Security Hub 见解结果

  13. 选择特定自定义操作 ARNs,添加自定义操作ARN。

    如果该规则适用于多个自定义操作,请选择 “添加” 以添加更多自定义操作ARNs。

  14. 选择下一步

  15. 选择目标下,选择并配置匹配此规则时要调用的目标。

  16. 选择下一步

  17. (可选)为规则输入一个或多个标签。有关更多信息,请参阅《亚马逊 EventBridge 用户指南》中的亚马逊 EventBridge 标签

  18. 选择下一步

  19. 查看规则详细信息并选择创建规则

    当您对账户中的发现或洞察结果执行自定义操作时,将在中生成事件 EventBridge。