Security Hub 集成的类型 EventBridge - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Security Hub 集成的类型 EventBridge

Security Hub 使用以下内容 EventBridge 支持以下类型的与的集成 EventBridge.

在存储库的 EventBridge Security Hub 的控制面板所有事件包含所有这些事件类型。

所有结果(Security Hub Findings - Imported)

Security Hub 会自动将所有新发现和现有调查结果的所有更新发送到 EventBridge如同Security Hub Findings - Imported事件. 各个Security Hub Findings - Imported事件包含一个发现。

所有BatchImportFindingsBatchUpdateFindings请求触发器 aSecurity Hub Findings - Importedevent.

对于管理员帐户,中的活动源 EventBridge 包括来自他们账户和成员账户的调查结果的事件。

在聚合区域中,事件源包括来自聚合区域和关联区域的调查结果的事件。跨区域的调查结果几乎实时地包含在活动源中。有关如何配置查找聚合的信息,请参阅。跨区域聚合.

你可以在 EventBridge 自动将结果路由到 Amazon S3 存储桶、修复工作流程或第三方工具。规则可以包括仅在查找结果具有特定属性值时才应用规则的筛选器。

您可以使用此方法自动将所有结果或具有特定特征的所有结果发送到响应或修复工作流。

请参阅 配置 EventBridge 自动发送调查结果的规则

自定义操作的结果(Security Hub Findings - Custom Action)

Security Hub 还会将与自定义操作关联的结果发送给 EventBridge 如同Security Hub Findings - Custom Action事件.

这对于使用 Security Hub 控制台的分析师非常有用,他们需要将特定结果或一小部分结果发送到响应或修复工作流程。您可以每次为最多 20 个结果选择自定义操作。每个发现都被发送到 EventBridge 作为一个单独的 EventBridge event.

创建自定义操作时,您可以为其分配自定义操作 ID。你可以使用此 ID 来创建 EventBridge 规则,该规则在收到与该自定义操作 ID 关联的查找结果后执行指定操作。

请参阅 使用自定义操作将检查结果和见解结果发送到 EventBridge

例如,您可以在 Security Hub 中创建一个名为的自定义操作send_to_ticketing. 然后在 EventBridge,您创建一个规则,将在以下情况下触发 EventBridge 收到一份包含send_to_ticketing自定义操作 ID。该规则包括将结果发送到票证系统的逻辑。之后,您可以在 Security Hub 中选择结果,并使用 Security Hub 中的自定义操作手动将结果发送到票证系统。

有关如何将 Security Hub 结果发送到的示例 EventBridge 有关进一步处理,请参阅如何集成AmazonSecurity Hub 自定义操作 PagerDuty如何在中启用自定义操作AmazonSecurity Hub在Amazon合作伙伴网络 (APN) 博客。

自定义操作的见解结果(Security Hub Insight Results)

您还可以使用自定义操作将见解结果发送到 EventBridge 如同Security Hub Insight Results事件. 见解结果是与见解匹配的资源。请注意,将见解结果发送到时 EventBridge,您不会将检查结果发送到 EventBridge. 您仅发送与见解结果关联的资源标识符。您每次最多可以发送 100 个资源标识符。

与查找结果的自定义操作类似,您先在 Security Hub 中创建自定义操作,然后在中创建规则。 EventBridge.

请参阅 使用自定义操作将检查结果和见解结果发送到 EventBridge

例如,假设您看到想与同事分享的特定洞察结果。在这种情况下,您可以使用自定义操作通过聊天或票证系统将该见解结果发送给同事。