与 EventBridge 的 Security Hub 集成的类型 - AWS Security Hub
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

与 EventBridge 的 Security Hub 集成的类型

Security Hub 使用以下 EventBridge 事件类型来支持以下类型的与 EventBridge 的集成。

在 Security Hub 的 EventBridge 控制面板上,All Events (所有事件) 包括所有这些事件类型。

所有结果 (Security Hub Findings - Imported)

Security Hub自动将所有结果作为 EventBridge 发送到Security Hub Findings - Imported事件。Security Hub Findings - Imported 事件由来自 BatchImportFindingsBatchUpdateFindings 的更新触发。

您可以在 EventBridge 中定义规则,自动将结果路由到 Amazon S3 存储桶、修复工作流程或第三方工具。这些规则可以包含筛选条件,以便仅在结果具有特定属性值时才应用规则。

您可以使用此方法自动将所有结果或具有特定特征的所有结果发送到响应或修复工作流程。

请参阅为自动发送的结果配置 EventBridge 规则

自定义操作的结果 (Security Hub Findings - Custom Action)

Security Hub还会将与自定义操作关联的结果作为 EventBridge 发送到Security Hub Findings - Custom Action 事件。

这对于使用 Security Hub 控制台的分析师非常有用(他们需要将特定结果或一小组结果发送到响应或修复工作流程)。您可以每次为最多 20 个结果选择自定义操作。结果集将作为单个 EventBridge 事件发送到 EventBridge。

创建自定义操作时,可以为自定义操作指定自定义操作 ID。您可以使用此 ID 创建 EventBridge 规则,以便在收到与该自定义操作 ID 关联的结果后执行指定操作。

请参阅使用自定义操作将结果和见解结果发送到 EventBridge

例如,您可以在 Security Hub 中创建一个名为 send_to_ticketing 的自定义操作。 然后,在 EventBridge 中,您创建一个规则,当 EventBridge 收到包含 send_to_ticketing 自定义操作 ID 的结果时将触发该规则。该规则包括将结果发送到票证系统的逻辑。然后,您可以在 Security Hub 中选择结果,并在 Security Hub 中使用自定义操作将结果手动发送到票证系统。

有关如何将 Security Hub 结果发送到 EventBridge 以供进一步处理的示例,请参阅 合作伙伴网络 (APN) 博客上的AWS Security Hub如何将 PagerDuty 自定义操作与 集成 和AWS Security Hub如何在 中启用自定义操作AWS。

自定义操作的见解结果(Security Hub Insight Results)

您还可以使用自定义操作将一组见解结果作为 EventBridge 发送到Security Hub Insight Results 事件。见解结果是与见解匹配的资源。请注意,在将见解结果发送到 EventBridge 时,您不会将检查结果发送到 EventBridge。您只发送与见解结果关联的资源标识符。您每次最多可以发送 100 个资源标识符。

与结果的自定义操作类似,您首先在 Security Hub 中创建自定义操作,然后在 EventBridge 中创建规则。

请参阅使用自定义操作将结果和见解结果发送到 EventBridge

例如,假设您看到感兴趣的特定洞察结果,您希望与同事分享。在这种情况下,您可以使用自定义操作通过聊天或票证系统将该见解结果发送给同事。