Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Tipos de integración de Security Hub con EventBridge
Security Hub utiliza los siguientes tipos de eventos de EventBridge para admitir los siguientes tipos de integración con EventBridge.
En el panel de control de EventBridge para Security Hub, Todos los eventos incluye todos estos tipos de eventos.
Todos los resultados (Security Hub Findings - Imported)
Security Hub envía automáticamente todos los nuevos resultados y todas las actualizaciones de los resultados existentes a EventBridge como eventos Security Hub Findings - Imported. Cada evento Security Hub Findings - Imported contiene un único resultado.
Cada solicitud BatchImportFindings y BatchUpdateFindings activa un evento Security Hub Findings - Imported.
En el caso de cuentas de administrador, el feed de eventos de EventBridge incluye eventos para los resultados tanto de su cuenta como de cuentas miembro.
En una región de agregación, el feed de eventos incluye eventos con los resultados de la región de agregación y las regiones vinculadas. Los hallazgos entre regiones se incluyen en el feed de eventos casi en tiempo real. Para obtener información sobre cómo configurar la agregación de resultados, consulte Agregación entre regiones.
Puede definir reglas en EventBridge para dirigir automáticamente los resultados generados a un bucket de Amazon S3, un flujo de trabajo de corrección o a una herramienta de terceros. Las reglas pueden incluir filtros que solo apliquen la regla si el resultado tiene valores de atributo específicos.
Este método le permite enviar automáticamente todos los resultados ,o todos aquellos con determinadas características, a un flujo de trabajo de corrección o respuesta.
Consulte Configuración de una regla de EventBridge para resultados de envío automático.
Resultados para acciones personalizadas (Security Hub Findings - Custom Action)
Security Hub también envía resultados que están asociados con acciones personalizadas a EventBridge como eventos Security Hub Findings - Custom Action.
Esto resulta útil para los analistas que trabajan con la consola de Security Hub y desean enviar un resultado específico, o un pequeño conjunto de resultados, a un flujo de trabajo de respuesta o corrección. Puede seleccionar una acción personalizada para un máximo de 20 resultados a la vez. Cada resultado se envía a EventBridge como un evento EventBridge independiente.
Al crear una acción personalizada, usted asigna un ID de acción personalizada. Puede utilizar este ID para crear una regla EventBridge que realice una acción específica tras recibir un resultado asociado a ese ID de acción personalizada.
Consulte Uso de acciones personalizadas para enviar resultados y resultados de información a EventBridge.
Por ejemplo, puede crear una acción personalizada en Security Hub llamada send_to_ticketing. A continuación, en EventBridge, crea una regla que se active cuando EventBridge reciba un resultado que incluya el ID de acción personalizada send_to_ticketing. La regla incluye lógica para enviar el resultado a su sistema de tickets. A continuación, puede seleccionar los resultados en Security Hub y utilizar la acción personalizada en Security Hub para enviar manualmente los resultados a su sistema de tickets.
Para consultar ejemplos de cómo enviar resultados de Security Hub a EventBridge para su posterior procesamiento, consulte Cómo integrar acciones personalizadas de AWS Security Hub con PagerDuty
Resultados de Insight para acciones personalizadas (Security Hub Insight Results)
También puede utilizar acciones personalizadas para enviar conjuntos de resultados de información a EventBridge como eventos Security Hub Insight Results. Los resultados de información son los recursos que coinciden con una información. Tenga en cuenta que al enviar resultados de información a EventBridge, no está enviando los resultados a EventBridge. Solo está enviando los identificadores de recursos asociados a los resultados de información. Puede enviar hasta 100 identificadores de recursos a la vez.
De forma similar a las acciones personalizadas para los resultados, primero debe crear la acción personalizada en Security Hub y luego crear una regla en EventBridge.
Consulte Uso de acciones personalizadas para enviar resultados y resultados de información a EventBridge.
Por ejemplo, supongamos que ve un determinado resultado de información de interés que desea compartir con un colega. En ese caso, puede utilizar una acción personalizada para enviar ese resultado de información al colega a través de un chat o de un sistema de tickets.
