为配置规则 EventBridge - AmazonSecurity Hub
事件模式的格式创建事件规则
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为配置规则 EventBridge

您可以在 Amazon 中创建规则 EventBridge ,定义在收到Findings Imported V2事件时要采取的操作。 Findings Imported V2事件由更新触发BatchUpdateFindingsV2

每条规则都包含一个事件模式,用于标识触发规则的事件。事件模式始终包含事件源(aws.securityhub)和事件类型(导入的调查发现 V2)。事件模式还可以指定筛选条件来识别规则适用的调查发现。

然后,该事件规则用于确定规则目标。目标是在 EventBridge 收到 Findings Importe d V2 事件并且结果与过滤器匹配时要采取的操作。

此处提供的说明使用 EventBridge 控制台。当您使用控制台时, EventBridge会自动创建所需的基于资源的策略, EventBridge 以允许写入 Amazon CloudWatch Logs。

您也可以使用 EventBridge API 的PutRule操作。但是,如果您使用 EventBridge API,则必须创建基于资源的策略。有关所需策略的信息,请参阅 Amazon EventBridge 用户指南中的CloudWatch 日志权限

事件模式的格式

导入的调查发现 V2 事件的事件模式格式如下:

{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Findings Imported V2"
  ],
  "detail": {
    "findings": {
      <attribute filter values>
    }
  }
}

  • source 将 Security Hub 标识为生成事件的服务。

  • detail-type 标识事件的类型。

  • detail 是可选的,它提供了事件模式的筛选条件值。如果事件模式不包含 detail 字段,则所有调查发现都会触发规则。

您可以根据任何调查发现属性筛选调查发现。您可以为每个属性提供一个或多个值的逗号分隔的数组。

"<attribute name>": [ "<value1>", "<value2>"]

如果您为一个属性提供多个值,则这些值将通过 OR 连接在一起。如果调查发现包含任何列出的值,则该调查发现与单个属性的筛选条件相匹配。例如,如果您同时提供 INFORMATIONALLOW 作为 Severity.Label 的值,则如果调查发现的严重性标签为 INFORMATIONALLOW,则调查发现将匹配。

属性的连接方式为 AND。如果调查发现与所有提供的属性的筛选条件相匹配,则该调查发现与之匹配。

当您提供属性值时,它必须反映该属性在Amazon开放网络安全架构框架 (OCSF) 结构中的位置。

在以下示例中,事件模式为 ProductArnSeverity.Label 提供了筛选值,因此,如调查发现由 Amazon Inspector 生成,并且其严重性标签为 INFORMATIONALLOW,则调查发现与之匹配。

{
    "source": [
        "aws.securityhub"
     ],
    "detail-type": [
        "Findings Imported V2"
    ],
    "detail": {
        "findings": {
            "ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"],
            "Severity": {
                "Label": ["INFORMATIONAL", "LOW"]
            }
        }
    }
}

创建事件规则

您可以使用预定义的事件模式或自定义的事件模式在中创建规则 EventBridge。如果您选择预定义的图案,则 EventBridge 会自动填充sourcedetail-type。 EventBridge 还提供了用于为以下查找结果属性指定筛选值的字段:

  • cloud.account.uid

  • compliance.status

  • metadata.product.name

  • resources.uid

  • severity

  • status

创建 EventBridge 规则(控制台)

  1. 打开 Amazon EventBridge 控制台,网址为https://console.aws.amazon.com/events/

  2. 使用以下值创建监控查找事件的 EventBridge 规则:

    • 对于规则类型,选择具有事件模式的规则

    • 选择如何构建事件模式。

      使用…构建事件模式 请执行此操作...

      一个模板

      事件模式部分中,选择以下选项:

      • 对于事件源,选择Amazon 服务

      • 对于Amazon 服务,选择 Security Hub

      • 对于事件类型,选择导入的调查发现 V2

      • (可选)要使规则更具体,请添加筛选条件值。例如,要将规则限制为具有活动记录状态的调查发现,请在特定记录状态下选择活动

      自定义事件模式

      (如果要根据 EventBridge 控制台中未显示的属性筛选结果,请使用自定义模式。)

      • 事件模式部分中,选择自定义模式(JSON 编辑器),然后将以下事件模式粘贴到文本区域中:

        {
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Findings Imported V2"
  ],
  "detail": {
    "findings": {
      "<attribute name>": [ "<value1>", "<value2>"]
    }
  }
}

      • 更新事件模式以包含要用作筛选器的属性和属性值。

        例如,要将规则应用于严重性为 Critical 的调查发现,请使用以下模式示例:

        {
    "source":["aws.securityhub"],
    "detail-type":["Findings Imported V2"],
    "detail":{
        "findings":{
           "Severity": ["Critical"]
          }
    }
}

    • 对于目标类型,选择Amazon服务,在选择目标中,选择目标,例如 Amazon SNS 主题或Amazon Lambda函数。在收到与规则中定义的事件模式匹配的事件时将触发目标。

    有关创建规则的详细信息,请参阅《亚马逊 EventBridge 用户指南 EventBridge》中的创建对事件做出反应的 Amazon 规则。

注意

如果您在 Securit EventBridge y Hub CSPM 中为搜索结果定义了规则,则这些规则可能会与为 Security Hub 定义的规则重叠。为避免发送重复的搜索结果,请评估您为 Security Hub CSPM 定义的规则,以确定它们是否与您为 Security Hub 定义的规则重叠。如果适用,请禁用所有被 Security Hub 规则取代的 Security Hub CSPM 规则。