本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
与 EventBridge 的 Security Hub 集成的类型
Security Hub 使用以下 EventBridge 事件类型来支持与 EventBridge 的以下类型的集成。
在 Security Hub 的 EventBridge 仪表板上,所有事件包括所有这些事件类型。
所有结果(Security Hub Findings - Imported)
Security Hub 将所有新发现和对现有调查结果的所有更新自动发送到 EventBridgeSecurity Hub Findings - Imported事件. EVERSecurity Hub Findings - Imported事件包含一个发现。
EVERBatchImportFindings和BatchUpdateFindings请求触发器 aSecurity Hub Findings - Importedevent.
对于管理员帐户,EventBridge 中的活动源包括来自其账户和成员账户的调查结果的事件。
在聚合区域中,事件源包括来自聚合区域和关联区域的调查结果的事件。有关如何配置查找聚合的信息,请参阅跨多个区域汇总结果.
您可以在 EventBridge 中定义规则,自动将结果路由到 Amazon S3 存储桶、修复工作流程或第三方工具。规则可以包括仅在查找结果具有特定属性值时才应用规则的筛选器。
您可以使用该方法自动将所有结果或具有特定特征的所有结果发送到响应或修复工作流。
请参阅 为自动发送的查找结果配置 EventBridge 规则。
自定义操作的结果(Security Hub Findings - Custom Action)
Security Hub 还会将与自定义操作关联的结果发送给 EventBridgeSecurity Hub Findings - Custom Action事件.
这对于使用 Security Hub 控制台的分析师非常有用,他们需要将特定结果或一小组结果发送到响应或修复工作流。您可以每次为最多 20 个结果选择自定义操作。每个发现都作为单独的 EventBridge 活动发送到 EventBridge。
创建自定义操作时,可以为其分配自定义操作 ID。您可以使用此 ID 创建 EventBridge 规则,该规则在收到与该自定义操作 ID 关联的查找结果后执行指定操作。
请参阅 使用自定义操作将结果和见解结果发送到 EventBridge。
例如,您可以在 Security Hub 中创建一个名为的自定义操作。send_to_ticketing. 然后,在 EventBridge 中,您创建一个规则,在 EventBridge 收到包含send_to_ticketing自定义操作 ID。该规则包括将结果发送到票证系统的逻辑。然后,您可以在 Security Hub 中选择结果,并使用 Security Hub 中的自定义操作手动将结果发送到票证系统。
有关如何将 Security Hub 结果发送到 EventBridge 以进一步处理的示例,请参阅如何集成Amazon使用 PagerDuty 的 Security Hub 自定义操作
自定义操作的见解结果(Security Hub Insight Results)
您还可以使用自定义操作将一组见解结果发送到 EventBridge,Security Hub Insight Results事件. 见解结果是与见解匹配的资源。请注意,在将见解结果发送到 EventBridge 时,您不会将结果发送到 EventBridge。您仅发送与见解结果关联的资源标识符。您每次最多可以发送 100 个资源标识符。
与检查结果的自定义操作类似,您先在 Security Hub 中创建自定义操作,然后在 EventBridge 中创建规则。
请参阅 使用自定义操作将结果和见解结果发送到 EventBridge。
例如,假设您看到感兴趣的特定洞察结果并想与同事分享。在这种情况下,您可以使用自定义操作通过聊天或票务系统将该见解结果发送给同事。