Configuration des règles pour EventBridge - AWS Security Hub
Format du modèle d'événementCréation d'une règle d'événement

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration des règles pour EventBridge

Note

Security Hub est en version préliminaire et peut faire l'objet de modifications.

Vous pouvez créer une règle dans Amazon EventBridge qui définit une action à effectuer lors de la réception d'un Findings Imported V2événement. Findings Imported V2les événements sont déclenchés par des mises à jour via BatchUpdateFindingsV2.

Chaque règle contient un modèle d'événements qui identifie les événements qui déclenchent la règle. Le modèle d'événement contient toujours la source de l'événement (aws.securityhub) et le type d'événement (Findings Imported V2). Le modèle d'événement peut également spécifier des filtres pour identifier les résultats auxquels s'applique la règle.

La règle d'événement identifie ensuite les cibles de la règle. Les cibles sont les actions à entreprendre lorsque EventBridge reçoit un événement Findings Imported V2 et que le résultat correspond aux filtres.

Les instructions fournies ici utilisent la EventBridge console. Lorsque vous utilisez la console, elle crée EventBridge automatiquement la politique basée sur les ressources requise qui permet d' EventBridge écrire sur Amazon CloudWatch Logs.

Vous pouvez également utiliser le PutRulefonctionnement de l' EventBridge API. Toutefois, si vous utilisez l' EventBridge API, vous devez créer la politique basée sur les ressources. Pour plus d'informations sur la politique requise, consultez la section Autorisations relatives CloudWatch aux journaux dans le guide de EventBridge l'utilisateur Amazon.

Format du modèle d'événement

Le format du modèle d'événement pour les événements Findings Imported V2 est le suivant :

{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Findings Imported V2"
  ],
  "detail": {
    "findings": {
      <attribute filter values>
    }
  }
}

  • sourceidentifie Security Hub comme le service qui génère l'événement.

  • detail-typeidentifie le type d'événement.

  • detailest facultatif et fournit les valeurs de filtre pour le modèle d'événement. Si le modèle d'événement ne contient aucun detail champ, tous les résultats déclenchent la règle.

Vous pouvez filtrer les résultats en fonction de n'importe quel attribut de recherche. Pour chaque attribut, vous fournissez un tableau séparé par des virgules contenant une ou plusieurs valeurs.

"<attribute name>": [ "<value1>", "<value2>"]

Si vous fournissez plusieurs valeurs pour un attribut, ces valeurs sont jointes parOR. Une recherche correspond au filtre d'un attribut individuel si la recherche contient l'une des valeurs répertoriées. Par exemple, si vous fournissez les deux INFORMATIONAL et LOW en tant que valeurs pourSeverity.Label, le résultat correspond s'il possède une étiquette de gravité égale à INFORMATIONAL ouLOW.

Les attributs sont joints parAND. Un résultat correspond s'il correspond aux critères de filtre pour tous les attributs fournis.

Lorsque vous fournissez une valeur d'attribut, elle doit refléter l'emplacement de cet attribut dans la structure OCSF ( AWS Open Cybersecurity Schema Framework).

Dans l'exemple suivant, le modèle d'événement fournit des valeurs de filtre pour ProductArn etSeverity.Label, par conséquent, un résultat correspond s'il est généré par Amazon Inspector et s'il possède une étiquette de gravité égale à INFORMATIONAL ouLOW.

{
    "source": [
        "aws.securityhub"
     ],
    "detail-type": [
        "Findings Imported V2"
    ],
    "detail": {
        "findings": {
            "ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"],
            "Severity": {
                "Label": ["INFORMATIONAL", "LOW"]
            }
        }
    }
}

Création d'une règle d'événement

Vous pouvez utiliser un modèle d'événement prédéfini ou un modèle d'événement personnalisé pour créer une règle dans EventBridge. Si vous sélectionnez un modèle prédéfini, les champs source et EventBridge sont automatiquement renseignésdetail-type. EventBridge fournit également des champs permettant de spécifier les valeurs de filtre pour les attributs de recherche suivants :

  • cloud.account.uid

  • compliance.status

  • metadata.product.name

  • resources.uid

  • severity

  • status

Pour créer une EventBridge règle (console)

  1. Ouvrez la EventBridge console Amazon à l'adresse https://console.aws.amazon.com/events/.

  2. À l'aide des valeurs suivantes, créez une EventBridge règle qui surveille les événements de recherche :

    • Pour Type de règle, choisissez Règle avec un modèle d’événement.

    • Choisissez le mode de création du modèle d'événement.

      Pour créer le modèle d'événement avec... Faites ceci...

      Un modèle

      Dans la section Modèle d'événement, choisissez les options suivantes :

      • Pour Source d'événement, choisissez Services AWS .

      • Pour le AWS service, choisissez Security Hub.

      • Pour le type d'événement, choisissez Findings Imported V2.

      • (Facultatif) Pour rendre la règle plus précise, ajoutez des valeurs de filtre. Par exemple, pour limiter la règle aux résultats dont l'état d'enregistrement est actif, pour le ou les états d'enregistrement spécifiques, sélectionnez Actif.

      Un modèle d'événement personnalisé

      (Utilisez un modèle personnalisé si vous souhaitez filtrer les résultats en fonction d'attributs qui n'apparaissent pas dans la EventBridge console.)

      • Dans la section Modèle d'événement, choisissez Modèles personnalisés (éditeur JSON), puis collez le modèle d'événement suivant dans la zone de texte :

        {
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Findings Imported V2"
  ],
  "detail": {
    "findings": {
      "<attribute name>": [ "<value1>", "<value2>"]
    }
  }
}

      • Mettez à jour le modèle d'événement pour inclure l'attribut et les valeurs d'attribut que vous souhaitez utiliser comme filtre.

        Par exemple, pour appliquer la règle aux résultats dont la gravité est égale àCritical, utilisez l'exemple de modèle suivant :

        {
    "source":["aws.securityhub"],
    "detail-type":["Findings Imported V2"],
    "detail":{
        "findings":{
           "Severity": ["Critical"]
          }
    }
}

    • Pour les types de cible, choisissez un AWS service, et pour Sélectionner une cible, choisissez une cible telle qu'un sujet ou AWS Lambda une fonction Amazon SNS. La cible est déclenchée lorsqu'un événement correspond au modèle d'événement défini dans la règle est reçu.

    Pour en savoir plus sur la création de règles, consultez la section Création de EventBridge règles Amazon qui réagissent aux événements dans le guide de EventBridge l'utilisateur Amazon.