Uso de acciones personalizadas para enviar hallazgos y resultados de conocimientos a EventBridge - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de acciones personalizadas para enviar hallazgos y resultados de conocimientos a EventBridge

Para utilizar acciones personalizadas de Security Hub para enviar resultados o resultados de información a EventBridge, primero se crea la acción personalizada en Security Hub. A continuación, defina la regla en EventBridge.

Puede crear hasta 50 acciones personalizadas.

Si ha habilitado la agregación entre regiones y administra los resultados de la región de agregación, cree acciones personalizadas en la región de agregación.

La regla en EventBridge utiliza el ARN de la acción personalizada.

Creación de una acción personalizada (consola)

Cuando crea una acción personalizada, debe especificar el nombre, la descripción y un identificador único.

Para crear una acción personalizada en Security Hub (consola)

  1. Abra el iconoAWSLa consola de Security Hub enhttps://console.aws.amazon.com/securityhub/.

  2. En el panel de navegación, elija Settings (Configuración) y luego elija Custom actions (Acciones personalizadas).

  3. Seleccione Create custom action (Crear acción personalizada).

  4. Proporcione un Name (Nombre), Description (Descripción) e Custom action ID (ID de acción personalizada) para la acción.

    El Name (Nombre) debe tener menos de 20 caracteres.

    LaID de acción personalizadadebe ser único para cadaAWSaccount.

  5. Seleccione Create custom action (Crear acción personalizada).

  6. Anote el Custom action ARN (ARN de acción personalizada). Debe usar el ARN cuando cree una regla para asociarla con esta acción en EventBridge.

Creación de una acción personalizada (API de Security Hub,AWS CLI)

Para crear una acción personalizada, puede utilizar una llamada a la API o laAWS Command Line Interface.

Para crear una acción personalizada (API de Security Hub,AWS CLI)

  • API de Security Hub— Utilice el dispositivoCreateActionTarget. Cuando crea una acción personalizada, debe proporcionar el nombre, la descripción y el identificador de acciones personalizada.

  • AWS CLI— En la línea de comandos, ejecute lacreate-action-targetcomando.

    create-action-target --name <customActionName> --description <customActionDescription> --id <customActionidentifier>

    Ejemplo

    aws securityhub create-action-target --name "Send to remediation" --description "Action to send the finding for remediation tracking" --id "Remediation"

Definición de una regla en EventBridge

Para procesar la acción personalizada, debe crear una regla correspondiente en EventBridge. La definición de regla incluye el ARN de la acción personalizada.

El patrón de eventos de unConclusiones del Security Hub: acción personalizadaevent tiene el siguiente formato:

{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Custom Action" ], "resources": [ "<custom action ARN>" ] }

El patrón de eventos de unResultados de Security Hub Insightevent tiene el siguiente formato:

{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Insight Results" ], "resources": [ "<custom action ARN>" ] }

En ambos patrones,<custom action ARN>es el ARN de una acción personalizada. Puede configurar una regla que se aplique a más de una acción personalizada.

Las instrucciones proporcionadas aquí corresponden a la EventBridge consola de . Cuando utilice la consola de, EventBridgecrea automáticamente la política basada en recursos requerida que permite EventBridge escribir en CloudWatch Registros.

También puede utilizar laPutRuleOperación de la API de EventBridge API. No obstante, si utiliza la herramienta EventBridge API; a continuación, debe crear la política basada en recursos. Para obtener información detallada sobre la política requerida, consulteCloudWatch Permisos de registrosen laAmazon EventBridge Guía del usuario de.

Para definir una regla en EventBridge

  1. Abrir Amazon EventBridge consola enhttps://console.aws.amazon.com/events/.

  2. En el panel de navegación, seleccione Rules.

  3. Elija Create rule.

  4. Escriba un nombre y una descripción de la regla.

  5. En Event bus (Bus de eventos), elija el bus de eventos que desee asociar a esta regla. Si desea que esta regla coincida con eventos procedentes de su cuenta de, seleccionepredeterminado. Cuando un servicio de AWS en su cuenta emite un evento, siempre va al bus de eventos predeterminado de su cuenta.

  6. En Rule type (Tipo de regla), elija Rule with an event pattern (Regla con un patrón de evento).

  7. Elija Next (Siguiente).

  8. ParaOrigen del evento, eligeAWSEventos de.

  9. ParaPatrón de eventos, eligeFormulario de patrones de eventos.

  10. ParaOrigen del evento, eligeAWSServicios de.

  11. ParaAWSServicio de, eligeCentro de seguridad de.

  12. En Event type (Tipo de evento), realice una de las siguientes operaciones:

    • Para crear una regla para aplicarla al enviar resultados a una acción personalizada, elijaConclusiones del Security Hub: acción personalizada.

    • Para crear una regla para aplicarla al enviar resultados de conocimientos a una acción personalizada, elijaResultados de Security Hub Insight.

  13. ElegirARN de acciones personalizadas específicas, agregue un ARN de acción personalizada.

    Si la regla se aplica a varias acciones personalizadas, elijaAñadirpara añadir más ARN de acciones personalizadas.

  14. Elija Next (Siguiente).

  15. UnderSeleccionar objetivos, elija y configure el destino que se invoca cuando se produce una coincidencia con esta regla.

  16. Elija Next (Siguiente).

  17. (Opcional) Introduzca una o varias etiquetas para la regla. Para obtener más información, consulteAmazon EventBridgeetiquetasen laAmazon EventBridge Guía del usuario de.

  18. Elija Next (Siguiente).

  19. Revise los detalles de la regla y elija Create rule (Crear regla).

    Cuando realiza una acción personalizada en los hallazgos o resultados de conocimientos en su cuenta, los eventos se generan en EventBridge.

Selección de una acción personalizada para resultados de conclusiones y conocimientos

Después de crear las acciones personalizadas de Security Hub y EventBridge reglas, puede enviar resultados de hallazgos y conocimientos a EventBridge para una mayor gestión y procesamiento.

Los eventos se envían a EventBridge solo en la cuenta en la que se ven. Si ve una hallazgo utilizando una cuenta de administrador, el evento se envía a EventBridge en la cuenta de administrador.

ParaAWSLlamadas a la API para que sean eficaces, las implementaciones del código de destino deben cambiar los roles en cuentas miembro. Esto significa que el rol al que se cambia debe implementarse en cada uno de los miembros en los que sea necesaria la acción.

Para enviar hallazgos a EventBridge

  1. Abra el iconoAWSLa consola de Security Hub enhttps://console.aws.amazon.com/securityhub/.

  2. Mostrar una lista de resultados:

  3. Seleccione los resultados que desea enviar a EventBridge. Puede seleccionar hasta 20 hallazgos a la vez.

  4. DesdeActions, elija la acción personalizada que se corresponda con la EventBridge regla que se va a aplicar.

    Security Hub envía un equipo independienteConclusiones del Security Hub: acción personalizadaevento para cada hallazgo.

Para enviar resultados de conocimientos a EventBridge

  1. Abra el iconoAWSLa consola de Security Hub enhttps://console.aws.amazon.com/securityhub/.

  2. En el panel de navegación, elija Insights.

  3. En la páginaInformación detallada, elija la información que incluye los resultados que se van a enviar a EventBridge.

  4. Seleccione los resultados de conocimientos que se van a enviar a EventBridge. Puede seleccionar hasta 20 resultados a la vez.

  5. DesdeActions, elija la acción personalizada que se corresponda con la EventBridge regla que se va a aplicar.