Konfiguration einer EventBridge Regel für automatisch gesendete Ergebnisse - AWS Security Hub
Format des EreignismustersEine Ereignisregel erstellen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration einer EventBridge Regel für automatisch gesendete Ergebnisse

Sie können eine Regel erstellen EventBridge , die eine Aktion definiert, die ausgeführt werden soll, wenn ein Security Hub Findings - ImportedEreignis empfangen wird. Security Hub Findings - ImportedEreignisse werden durch Aktualisierungen sowohl von als BatchImportFindingsauch ausgelöst BatchUpdateFindings.

Jede Regel enthält ein Ereignismuster, das die Ereignisse identifiziert, die die Regel auslösen. Das Ereignismuster enthält immer die Ereignisquelle (aws.securityhub) und den Ereignistyp (Security Hub Hub-Ergebnisse — Importiert). Das Ereignismuster kann auch Filter angeben, um die Ergebnisse zu identifizieren, für die die Regel gilt.

Die Regel identifiziert dann die Regelziele. Die Ziele sind die Aktionen, die ergriffen werden müssen, EventBridge wenn ein Ereignis aus Security Hub Findings — Imported eingeht und das Ergebnis den Filtern entspricht.

Die hier bereitgestellten Anweisungen verwenden die EventBridge Konsole. Wenn Sie die Konsole verwenden, EventBridge wird automatisch die erforderliche ressourcenbasierte Richtlinie erstellt, die das Schreiben EventBridge in Protokolle ermöglicht. CloudWatch

Sie können auch den PutRuleAPI-Betrieb der EventBridge API verwenden. Wenn Sie jedoch die EventBridge API verwenden, müssen Sie die ressourcenbasierte Richtlinie erstellen. Einzelheiten zu den erforderlichen Richtlinien finden Sie unter CloudWatch Logs-Berechtigungen im EventBridge Amazon-Benutzerhandbuch.

Format des Ereignismusters

Das Format des Ereignismusters für Security Hub Findings — Importierte Ereignisse lautet wie folgt:

{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Findings - Imported"
  ],
  "detail": {
    "findings": {
      <attribute filter values>
    }
  }
}

  • sourceidentifiziert Security Hub als den Dienst, der das Ereignis generiert.

  • detail-typeidentifiziert den Ereignistyp.

  • detailist optional und stellt die Filterwerte für das Ereignismuster bereit. Wenn das Ereignismuster kein detail Feld enthält, lösen alle Ergebnisse die Regel aus.

Sie können die Ergebnisse auf der Grundlage eines beliebigen Ergebnisattributs filtern. Für jedes Attribut geben Sie ein durch Kommas getrenntes Array mit einem oder mehreren Werten an.

"<attribute name>": [ "<value1>", "<value2>"]

Wenn Sie mehr als einen Wert für ein Attribut angeben, werden diese Werte durch verknüpft. OR Ein Ergebnis entspricht dem Filter für ein einzelnes Attribut, wenn das Ergebnis einen der aufgelisteten Werte enthält. Wenn Sie beispielsweise INFORMATIONAL sowohl als auch LOW als Werte für angebenSeverity.Label, stimmt das Ergebnis überein, wenn es den Schweregrad entweder INFORMATIONAL oder hatLOW.

Die Attribute werden durch verknüpftAND. Ein Ergebnis stimmt überein, wenn es den Filterkriterien für alle angegebenen Attribute entspricht.

Wenn Sie einen Attributwert angeben, muss dieser die Position dieses Attributs innerhalb der ASFF-Struktur (AWSSecurity Finding Format) widerspiegeln.

Tipp

Wir empfehlen, beim Filtern von Kontrollergebnissen die Felder SecurityControlId oder SecurityControlArn ASFF als Filter zu verwenden und nicht oder. Title Description Letztere Felder können sich gelegentlich ändern, wohingegen die Kontroll-ID und der ARN statische Identifikatoren sind.

Im folgenden Beispiel stellt das Ereignismuster Filterwerte für ProductArn und bereitSeverity.Label, sodass ein Ergebnis zutrifft, wenn es von Amazon Inspector generiert wurde und den Schweregrad entweder INFORMATIONAL oder hatLOW.

{
    "source": [
        "aws.securityhub"
     ],
    "detail-type": [
        "Security Hub Findings - Imported"
    ],
    "detail": {
        "findings": {
            "ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"],
            "Severity": {
                "Label": ["INFORMATIONAL", "LOW"]
            }
        }
    }
}

Eine Ereignisregel erstellen

Sie können ein vordefiniertes oder ein benutzerdefiniertes Ereignismuster verwenden, um eine Regel in zu erstellen EventBridge. Wenn Sie ein vordefiniertes Muster auswählen, EventBridge wird automatisch source und ausgefülltdetail-type. EventBridge stellt außerdem Felder zur Angabe von Filterwerten für die folgenden Suchattribute bereit:

  • AwsAccountId

  • Compliance.Status

  • Criticality

  • ProductArn

  • RecordState

  • ResourceId

  • ResourceType

  • Severity.Label

  • Types

  • Workflow.Status

Um eine EventBridge Regel zu erstellen

  1. Öffnen Sie die EventBridge Amazon-Konsole unter https://console.aws.amazon.com/events/.

  2. Erstellen Sie mit den folgenden Werten eine EventBridge Regel, die das Auffinden von Ereignissen überwacht:

    • Bei Rule type (Regeltyp) wählen Sie Rule with an event pattern (Regel mit einem Ereignismuster) aus.

    • Wählen Sie aus, wie das Ereignismuster erstellt werden soll.

      Um das Ereignismuster zu erstellen mit... Vorgehensweise

      Eine Vorlage

      Wählen Sie im Abschnitt Ereignismuster die folgenden Optionen aus:

      • Als Event source (Ereignisquelle) wählen Sie AWS-Services aus.

      • Wählen Sie als AWSService Security Hub.

      • Wählen Sie als Ereignistyp die Option Security Hub Findings — Importiert aus.

      • (Optional) Fügen Sie Filterwerte hinzu, um die Regel spezifischer zu gestalten. Um die Regel beispielsweise auf Ergebnisse mit aktivem Datensatzstatus zu beschränken, wählen Sie für Spezifische Datensatzstatus die Option Aktiv aus.

      Ein benutzerdefiniertes Ereignismuster

      (Verwenden Sie ein benutzerdefiniertes Muster, wenn Sie Ergebnisse anhand von Attributen filtern möchten, die nicht in der EventBridge Konsole angezeigt werden.)

      • Wählen Sie im Abschnitt Ereignismuster die Option Benutzerdefinierte Muster (JSON-Editor) aus, und fügen Sie dann das folgende Ereignismuster in den Textbereich ein:

        {
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Findings - Imported"
  ],
  "detail": {
    "findings": {
      "<attribute name>": [ "<value1>", "<value2>"]
    }
  }
}

      • Aktualisieren Sie das Ereignismuster so, dass es die Attribut- und Attributwerte enthält, die Sie als Filter verwenden möchten.

        Verwenden Sie beispielsweise das folgende Musterbeispiel, um die Regel auf Ergebnisse anzuwendenTRUE_POSITIVE, die den Bestätigungsstatus haben:

        {
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Findings - Imported"
  ],
  "detail": {
    "findings": {
      "VerificationState": ["TRUE_POSITIVE"]
    }
  }
}

    • Für Target types (Zieltypen), wählen Sie AWS-Service, und für Select a target (Ziel auswählen), wählen Sie ein Ziel wie ein Amazon-SNS-Thema oder eine AWS Lambda-Funktion. Das Ziel wird ausgelöst, wenn ein Ereignis empfangen wird, das dem in der Regel definierten Ereignismuster entspricht.

    Einzelheiten zum Erstellen von Regeln finden Sie im EventBridge Amazon-Benutzerhandbuch unter Erstellen von EventBridge Amazon-Regeln, die auf Ereignisse reagieren.