针对 Security Hub 的 EventBridge 格式 - AWS Security Hub
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

针对 Security Hub 的 EventBridge 格式

这些区域有: Security Hub Findings - Imported, Security Findings - Custom Action, 和 Security Hub Insight Results 事件类型使用以下事件和事件模式格式。

事件格式是 Security Hub 向 EventBridge 发送事件时使用的格式。事件模式格式是 EventBridge 规则配置的一部分。

Security Hub Findings - Imported

Security Hub Findings - Imported 从 Security Hub 发送到 EventBridge 的 事件使用以下格式。

{ "version":"0", "id":"CWE-event-id", "detail-type":"Security Hub Findings - Imported", "source":"aws.securityhub", "account":"111122223333", "time":"2019-04-11T21:52:17Z", "region":"us-west-2", "resources":[ "arn:aws:securityhub:us-west-2::product/aws/macie/arn:aws:macie:us-west-2:111122223333:integtest/trigger/6294d71b927c41cbab915159a8f326a3/alert/f2893b211841" ], "detail":{ "findings": { <finding JSON> } } }

<finding JSON> 是事件发送的结果的 JSON。

有关结果属性的完整列表,请参阅AWS Security Finding 格式 (ASFF)

由这些事件触发的 EventBridge 规则的事件模式使用以下格式。

{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Imported" ], "detail": { "findings": { <attribute filter values> } } }

<attribute filter values> 是为应用规则而必须存在的属性值。筛选条件是可选的。

请参阅为自动发送的结果配置 EventBridge 规则

Security Hub Findings - Custom Action

Security Hub Findings - Custom Action 从 Security Hub 发送到 EventBridge 的 事件使用以下格式。

{ "version": "0", "id": "1a1111a1-b22b-3c33-444d-5555e5ee5555", "detail-type": "Security Hub Findings - Custom Action", "source": "aws.securityhub", "account": "111122223333", "time": "2019-04-11T18:43:48Z", "region": "us-west-1", "resources": [ "arn:aws:securityhub:us-west-1:111122223333:action/custom/custom-action-name" ], "detail": { "actionName":"custom-action-name", "actionDescription": "description of the action", "findings": { <finding JSON> } } }

<finding JSON> 是事件发送的结果的 JSON。

有关结果属性的完整列表,请参阅AWS Security Finding 格式 (ASFF)

由这些事件触发的 EventBridge 规则的事件模式使用以下格式。

{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Custom Action" ], "resources": [ "<custom action ARN>" ] }

<custom action ARN> 是您在 Security Hub 中创建的自定义操作的 ARN。

请参阅使用自定义操作将结果和见解结果发送到 EventBridge

Security Hub Insight Results

Security Hub Insight Results 从 Security Hub 发送到 EventBridge 的 事件使用以下格式。

{ "version": "0", "id": "1a1111a1-b22b-3c33-444d-5555e5ee5555", "detail-type": "Security Hub Insight Results", "source": "aws.securityhub", "account": "111122223333", "time": "2017-12-22T18:43:48Z", "region": "us-west-1", "resources": [ "arn:aws:securityhub:us-west-1:111122223333::product/aws/macie:us-west-1:222233334444:test/trigger/1ec9cf700ef6be062b19584e0b7d84ec/alert/f2893b211841" ], "detail": { "actionName":"name of the action", "actionDescription":"description of the action", "insightArn":"ARN of the insight", "insightName":"Name of the insight", "resultType":"ResourceAwsIamAccessKeyUserName", "number of results":"number of results, max of 100", "insightResults": [ {"result 1": 5}, {"result 2": 6} ] } }

由这些事件触发的 EventBridge 规则的事件模式使用以下格式。

{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Insight Results" ], "resources": [ "<custom action ARN>" ] }

<custom action ARN> 是在Security Hub中创建的自定义操作的 ARN。

请参阅使用自定义操作将结果和见解结果发送到 EventBridge