Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Types d'intégration de Security Hub avec EventBridge
Security Hub utilise les types d' EventBridge événements suivants pour prendre en charge les types d'intégration suivants avec EventBridge.
Sur le EventBridge tableau de bord de Security Hub, All Events inclut tous ces types d'événements.
Tous les résultats (Security Hub Findings - Imported)
Security Hub envoie automatiquement toutes les nouvelles découvertes et toutes les mises à jour des découvertes existantes EventBridge sous forme d'Security Hub Findings - Importedévénements. Chaque Security Hub Findings - Importedévénement contient une seule constatation.
Chaque BatchUpdateFindingsdemande BatchImportFindingset déclenche un Security Hub Findings - Importedévénement.
Pour les comptes administrateurs, le flux d'événements EventBridge inclut des événements contenant des informations provenant à la fois de leur compte et de leurs comptes de membres.
Dans une région d'agrégation, le flux d'événements inclut les événements relatifs aux résultats de la région d'agrégation et des régions associées. Les résultats interrégionaux sont inclus dans le fil des événements en temps quasi réel. Pour plus d'informations sur la configuration de l'agrégation des résultats de recherche, consultezAgrégation entre régions.
Vous pouvez définir des règles EventBridge qui acheminent automatiquement les résultats vers un flux de travail de correction, un outil tiers ou une autre EventBridge cible prise en charge. Les règles peuvent inclure des filtres qui n'appliquent la règle que si le résultat comporte des valeurs d'attribut spécifiques.
Vous utilisez cette méthode pour envoyer automatiquement tous les résultats, ou tous les résultats présentant des caractéristiques spécifiques, à un flux de travail de réponse ou de correction.
veuillez consulter Configuration d'une EventBridge règle pour l'envoi automatique des résultats.
Résultats pour les actions personnalisées (Security Hub Findings - Custom Action)
Security Hub envoie également les résultats associés à des actions personnalisées EventBridge sous forme d'Security Hub Findings - Custom Actionévénements.
Cela est utile pour les analystes travaillant avec la console Security Hub qui souhaitent envoyer un résultat spécifique, ou un petit ensemble de résultats, à un flux de travail de réponse ou de correction. Vous pouvez sélectionner une action personnalisée pour un maximum de 20 résultats à la fois. Chaque résultat est envoyé EventBridge à un EventBridge événement distinct.
Lorsque vous créez une action personnalisée, vous lui attribuez un ID d'action personnalisé. Vous pouvez utiliser cet ID pour créer une EventBridge règle qui exécute une action spécifiée après avoir reçu un résultat associé à cet ID d'action personnalisé.
veuillez consulter Utilisation d'actions personnalisées pour envoyer des résultats et des informations sur les résultats à EventBridge.
Par exemple, vous pouvez créer une action personnalisée dans Security Hub appeléesend_to_ticketing. Ensuite EventBridge, vous créez une règle qui est déclenchée lorsque vous EventBridge recevez un résultat incluant l'ID d'action send_to_ticketing personnalisé. La règle inclut la logique qui permet d'envoyer le résultat à votre système de tickets. Vous pouvez ensuite sélectionner les résultats dans Security Hub et utiliser l'action personnalisée de Security Hub pour envoyer manuellement les résultats à votre système de billetterie.
Pour des exemples sur la manière d'envoyer les résultats de Security Hub à des EventBridge fins de traitement ultérieur, consultez le blog How to Integrate AWS Security Hub Custom Actions with PagerDuty
Résultats d'analyse pour les actions personnalisées (Security Hub Insight Results)
Vous pouvez également utiliser des actions personnalisées pour envoyer des ensembles de résultats d'analyse EventBridge sous forme d'Security Hub Insight Resultsévénements. Les résultats d'analyse sont les ressources qui correspondent à une information. Notez que lorsque vous envoyez des résultats d'analyse à EventBridge, vous ne les envoyez pas à EventBridge. Vous envoyez uniquement les identifiants de ressources associés aux résultats d'analyse. Vous pouvez envoyer jusqu'à 100 identifiants de ressource à la fois.
Comme pour les actions personnalisées pour les résultats, vous devez d'abord créer l'action personnalisée dans Security Hub, puis créer une règle dans EventBridge.
veuillez consulter Utilisation d'actions personnalisées pour envoyer des résultats et des informations sur les résultats à EventBridge.
Supposons, par exemple, que vous observiez un résultat d'analyse particulier qui vous intéresse et que vous souhaitez partager avec un collègue. Dans ce cas, vous pouvez utiliser une action personnalisée pour envoyer ce résultat informatif au collègue par le biais d'un chat ou d'un système de billetterie.
