本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Security Hub 与 EventBridge 集成的类型
Security Hub 使用以下 EventBridge 事件类型来支持以下与 EventBridge 的集成类型。
在 Security Hub 的 EventBridge 控制面板上,所有事件包括所有这些事件类型。
所有结果(Security Hub Findings - Imported)
Security Hub 会自动将所有新发现以及现有发现的所有更新作为 Security Hub Findings - Imported 事件发送到 EventBridge。每个 Security Hub Findings - Imported 事件都包含一个调查发现。
每个 BatchImportFindings 和 BatchUpdateFindings 请求都会触发一个 Security Hub Findings - Imported 事件。
对于管理员账号,EventBridge 中的事件源包括其账号和成员账号中调查发现的事件。
在聚合区域中,事件源包括来自聚合区域和关联区域的调查发现的事件。跨区域调查发现几乎实时地包含在事件源中。有关如何配置调查发现聚合的信息,请参阅 跨区域聚合。
您可以在 EventBridge 中定义规则,自动将结果路由到 Amazon S3 存储桶、补救工作流程或第三方工具。这些规则可以包括筛选条件,使仅在调查发现具有特定属性值时才应用规则。
您可以使用此方法自动将所有结果或具有特定特征的所有结果发送到响应或补救工作流程。
请参阅配置 EventBridge 规则以自动发送调查发现。
自定义操作的结果(Security Hub Findings - Custom Action)
Security Hub 还会将与自定义操作关联的调查发现作为 Security Hub Findings - Custom Action 事件发送到 EventBridge。
这对于使用 Security Hub 控制台的分析师非常有用(他们需要将特定调查发现或一小组调查发现发送到响应或修复工作流程)。您可以每次为最多 20 个结果选择自定义操作。每项调查发现都作为单独的 EventBridge 事件发送到 EventBridge。
创建自定义操作时,您可以为其分配一个自定义操作 ID。您可以使用此 ID 创建一条 EventBridge 规则,该规则在收到与该自定义操作 ID 关联的调查发现后执行指定操作。
请参阅使用自定义操作将调查发现和洞察结果发送到 EventBridge。
例如,您可以在 Security Hub 中创建一个名为 send_to_ticketing 的自定义操作。然后,您在 EventBridge 中创建一个规则,将在 EventBridge 收到包含 send_to_ticketing 自定义操作 ID 的调查发现时触发该规则。该规则包括将结果发送到票证系统的逻辑。然后,您可以在 Security Hub 中选择结果,并在 Security Hub 中使用自定义操作将结果手动发送到票证系统。
有关如何将 Security Hub 调查发现发送给 EventBridge 进行进一步处理的示例,请参阅Amazon合作伙伴网络 (APN) 博客上的如何将 Amazon Security Hub 自定义操作与 PagerDuty 集成
自定义操作的见解结果(Security Hub Insight Results)
您还可以使用自定义操作将见解结果集作为 Security Hub Insight Results 事件发送到 EventBridge。洞察结果是与洞察相匹配的资源。请注意,当您将见解结果发送到 EventBridge 时,您并未将结果发送到 EventBridge。您仅发送与见解结果关联的资源标识符。您每次最多可以发送 100 个资源标识符。
与调查发现的自定义操作类似,您首先在 Security Hub 中创建自定义操作,然后在 EventBridge 中创建规则。
请参阅使用自定义操作将调查发现和洞察结果发送到 EventBridge。
例如,假设你看到了一个你感兴趣的特定洞察结果,想与同事分享。在这种情况下,您可以使用自定义操作通过聊天或票务系统将洞察结果发送给同事。