Formato del patrón de eventos Creación de una regla de eventos

Configuración de reglas para EventBridge

nota

Security Hub se encuentra en versión preliminar y está sujeto a cambios.

Puedes crear una regla en Amazon EventBridge que defina la acción que se debe realizar cuando se reciba un Findings Imported V2evento. Findings Imported V2los eventos se desencadenan mediante actualizaciones realizadas mediante BatchUpdateFindingsV2.

Cada regla contiene un patrón de eventos, que identifica los eventos que activan la regla. El patrón de eventos siempre contiene la fuente del evento (aws.securityhub) y el tipo de evento (Findings Imported V2). El patrón de eventos también puede especificar filtros para identificar los resultados a los que se aplica la regla.

A continuación, la regla de eventos identifica los objetivos de la regla. Los objetivos son las acciones que se deben realizar cuando se EventBridge recibe un evento de Findings Imported V2 y el hallazgo coincide con los filtros.

Las instrucciones que se proporcionan aquí utilizan la EventBridge consola. Cuando utilizas la consola, crea EventBridge automáticamente la política basada en los recursos necesaria que permite EventBridge escribir en Amazon CloudWatch Logs.

También puede utilizar el PutRulefuncionamiento de la EventBridge API. Sin embargo, si usa la EventBridge API, debe crear la política basada en recursos. Para obtener información sobre la política requerida, consulta CloudWatch los permisos de registros en la Guía del EventBridge usuario de Amazon.

Formato del patrón de eventos

El formato del patrón de eventos de los eventos de Findings Imported V2 es el siguiente:


{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Findings Imported V2"
  ],
  "detail": {
    "findings": {
      <attribute filter values>
    }
  }
}

source identifica a Security Hub como el servicio que genera el evento.
detail-type identifica el tipo de evento.
detail es opcional y proporciona los valores de filtro para el patrón de eventos. Si el patrón de eventos no contiene un campo detail, todos los resultados activan la regla.

Puede filtrar los resultados en función de cualquier atributo del resultado. Para cada atributo, proporciona una matriz separada por comas de uno o más valores.


"<attribute name>": [ "<value1>", "<value2>"]

Si proporciona más de un valor para un atributo, estos valores se unen mediante OR. Un resultado coincide con el filtro para un atributo individual si el resultado tiene cualquiera de los valores enumerados. Por ejemplo, si proporciona INFORMATIONAL y LOW como valores para Severity.Label, entonces el resultado coincide si tiene una etiqueta de gravedad de INFORMATIONAL o LOW.

Los atributos se unen mediante AND. Un resultado coincide si este coincide con los criterios de filtrado para todos los atributos proporcionados.

Al proporcionar un valor de atributo, debe reflejar la ubicación de ese atributo dentro de la estructura del AWS Open Cybersecurity Schema Framework (OCSF).

En el siguiente ejemplo, el patrón de eventos proporciona valores de filtro para ProductArn y Severity.Label, por lo que un resultado coincide si lo genera Amazon Inspector y tiene una etiqueta de gravedad de INFORMATIONAL o LOW.


{
    "source": [
        "aws.securityhub"
     ],
    "detail-type": [
        "Findings Imported V2"
    ],
    "detail": {
        "findings": {
            "ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"],
            "Severity": {
                "Label": ["INFORMATIONAL", "LOW"]
            }
        }
    }
}

Creación de una regla de eventos

Puede utilizar un patrón de eventos predefinido o un patrón de eventos personalizado para crear una regla. EventBridge Si selecciona un patrón predefinido, rellena EventBridge automáticamente source ydetail-type. EventBridge también proporciona campos para especificar los valores de filtro para los siguientes atributos de búsqueda:

cloud.account.uid
compliance.status
metadata.product.name
resources.uid
severity
status

Para crear una EventBridge regla (consola)

Abre la EventBridge consola de Amazon en https://console.aws.amazon.com/events/.

Con los siguientes valores, cree una EventBridge regla que supervise la búsqueda de eventos:

En Tipo de regla, seleccione Regla con un patrón de evento.

Elija cómo crear el patrón de eventos.

Cómo crear el patrón de eventos con... Haga lo siguiente...

Cómo crear el patrón de eventos con...	Haga lo siguiente...
Una plantilla	En la sección Patrón de eventos, elija una de las siguientes opciones: En Origen del evento, seleccione Servicios de AWS . En Servicio de AWS , elija Security Hub. Para el tipo de evento, elija Findings Imported V2. (Opcional) Para que la regla sea más específica, agregue valores de filtro. Por ejemplo, para limitar la regla a resultados con estados de registro activos, en Estados de registro específicos, seleccione Activo.
Un patrón de eventos personalizado (Utilice un patrón personalizado si quiere filtrar los hallazgos en función de atributos que no aparecen en la EventBridge consola).	En la sección Patrón de evento, seleccione Patrones personalizados (editor JSON) y luego pegue el siguiente patrón de evento en el área de texto: `{ "source": [ "aws.securityhub" ], "detail-type": [ "Findings Imported V2" ], "detail": { "findings": { "<attribute name>": [ "<value1>", "<value2>"] } } }` Actualice el patrón de eventos para incluir el atributo y los valores del atributo que desee utilizar como filtro. Por ejemplo, para aplicar la regla a los hallazgos que tienen una gravedad de`Critical`, utilice el siguiente ejemplo de patrón: `{ "source":["aws.securityhub"], "detail-type":["Findings Imported V2"], "detail":{ "findings":{ "Severity": ["Critical"] } } }`

Una plantilla

En la sección Patrón de eventos, elija una de las siguientes opciones:

En Origen del evento, seleccione Servicios de AWS .
En Servicio de AWS , elija Security Hub.
Para el tipo de evento, elija Findings Imported V2.
(Opcional) Para que la regla sea más específica, agregue valores de filtro. Por ejemplo, para limitar la regla a resultados con estados de registro activos, en Estados de registro específicos, seleccione Activo.

Un patrón de eventos personalizado

(Utilice un patrón personalizado si quiere filtrar los hallazgos en función de atributos que no aparecen en la EventBridge consola).

En la sección Patrón de evento, seleccione Patrones personalizados (editor JSON) y luego pegue el siguiente patrón de evento en el área de texto:


{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Findings Imported V2"
  ],
  "detail": {
    "findings": {
      "<attribute name>": [ "<value1>", "<value2>"]
    }
  }
}

Actualice el patrón de eventos para incluir el atributo y los valores del atributo que desee utilizar como filtro.

Por ejemplo, para aplicar la regla a los hallazgos que tienen una gravedad deCritical, utilice el siguiente ejemplo de patrón:
```
{
    "source":["aws.securityhub"],
    "detail-type":["Findings Imported V2"],
    "detail":{
        "findings":{
           "Severity": ["Critical"]
          }
    }
}
```

Para los tipos de destino, elija el AWS servicio y, para Seleccione un objetivo, elija un objetivo, como un tema o AWS Lambda una función de Amazon SNS. El destino se activa cuando se recibe un evento que coincide con el patrón de eventos definido en la regla.

Para obtener más información sobre la creación de reglas, consulta Cómo crear EventBridge reglas de Amazon que reaccionen a los eventos en la Guía del EventBridge usuario de Amazon.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

EventBridge formatos de eventos

Integraciones de terceros