Mengkonfigurasi aturan untuk EventBridge - AWS Security Hub
Format pola acaraMembuat aturan acara

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengkonfigurasi aturan untuk EventBridge

catatan

Security Hub dalam rilis pratinjau dan dapat berubah sewaktu-waktu.

Anda dapat membuat aturan di Amazon EventBridge yang menentukan tindakan yang harus diambil saat Findings Imported V2acara diterima. Findings Imported V2peristiwa dipicu oleh pembaruan melalui BatchUpdateFindingsV2.

Setiap aturan berisi pola peristiwa, yang mengidentifikasi peristiwa yang memicu aturan. Pola acara selalu berisi sumber peristiwa (aws.securityhub) dan jenis acara (Temuan Diimpor V2). Pola peristiwa juga dapat menentukan filter untuk mengidentifikasi temuan yang berlaku aturan tersebut.

Aturan acara kemudian mengidentifikasi target aturan. Targetnya adalah tindakan yang harus diambil saat EventBridge menerima peristiwa V2 yang Diimpor Temuan dan temuannya cocok dengan filter.

Instruksi yang diberikan di sini menggunakan EventBridge konsol. Saat Anda menggunakan konsol, EventBridge secara otomatis membuat kebijakan berbasis sumber daya yang diperlukan yang memungkinkan untuk EventBridge menulis ke Amazon Logs. CloudWatch

Anda juga dapat menggunakan PutRulepengoperasian EventBridge API. Namun, jika Anda menggunakan EventBridge API, Anda harus membuat kebijakan berbasis sumber daya. Untuk informasi tentang kebijakan yang diperlukan, lihat Izin CloudWatch log di Panduan EventBridge Pengguna Amazon.

Format pola acara

Format pola acara untuk peristiwa Temuan Imported V2 adalah sebagai berikut:

{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Findings Imported V2"
  ],
  "detail": {
    "findings": {
      <attribute filter values>
    }
  }
}

  • sourcemengidentifikasi Security Hub sebagai layanan yang menghasilkan acara.

  • detail-typemengidentifikasi jenis acara.

  • detailbersifat opsional dan memberikan nilai filter untuk pola acara. Jika pola peristiwa tidak mengandung detail bidang, maka semua temuan memicu aturan.

Anda dapat memfilter temuan berdasarkan atribut temuan apa pun. Untuk setiap atribut, Anda menyediakan array dipisahkan koma dari satu atau lebih nilai.

"<attribute name>": [ "<value1>", "<value2>"]

Jika Anda memberikan lebih dari satu nilai untuk atribut, maka nilai-nilai tersebut digabungkan olehOR. Temuan cocok dengan filter untuk atribut individual jika temuan memiliki salah satu nilai yang terdaftar. Misalnya, jika Anda memberikan keduanya INFORMATIONAL dan LOW sebagai nilai untukSeverity.Label, maka temuan tersebut cocok jika memiliki label keparahan salah satu INFORMATIONAL atauLOW.

Atribut bergabung denganAND. Temuan cocok jika cocok dengan kriteria filter untuk semua atribut yang disediakan.

Ketika Anda memberikan nilai atribut, itu harus mencerminkan lokasi atribut tersebut dalam struktur AWS Open Cybersecurity Schema Framework (OCSF).

Dalam contoh berikut, pola peristiwa memberikan nilai filter untuk ProductArn danSeverity.Label, sehingga temuan cocok jika dihasilkan oleh Amazon Inspector dan memiliki label keparahan salah satu atauINFORMATIONAL. LOW

{
    "source": [
        "aws.securityhub"
     ],
    "detail-type": [
        "Findings Imported V2"
    ],
    "detail": {
        "findings": {
            "ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"],
            "Severity": {
                "Label": ["INFORMATIONAL", "LOW"]
            }
        }
    }
}

Membuat aturan acara

Anda dapat menggunakan pola peristiwa yang telah ditentukan atau pola acara khusus untuk membuat aturan. EventBridge Jika Anda memilih pola yang telah ditentukan, EventBridge secara otomatis mengisi dan. source detail-type EventBridge juga menyediakan bidang untuk menentukan nilai filter untuk atribut temuan berikut:

  • cloud.account.uid

  • compliance.status

  • metadata.product.name

  • resources.uid

  • severity

  • status

Untuk membuat EventBridge aturan (konsol)

  1. Buka EventBridge konsol Amazon di https://console.aws.amazon.com/events/.

  2. Dengan menggunakan nilai berikut, buat EventBridge aturan yang memantau penemuan peristiwa:

    • Untuk Tipe aturan, pilih Aturan dengan pola peristiwa.

    • Pilih cara membangun pola acara.

      Untuk membangun pola acara dengan... Lakukan ini...

      Template

      Di bagian Pola acara, pilih opsi berikut:

      • Untuk Sumber peristiwa, pilih Layanan AWS .

      • Untuk AWS layanan, pilih Security Hub.

      • Untuk jenis Acara, pilih Temuan yang Diimpor V2.

      • (Opsional) Untuk membuat aturan lebih spesifik, tambahkan nilai filter. Misalnya, untuk membatasi aturan pada temuan dengan status rekaman aktif, untuk status Rekaman Khusus, pilih Aktif.

      Pola acara khusus

      (Gunakan pola kustom jika Anda ingin memfilter temuan berdasarkan atribut yang tidak muncul di EventBridge konsol.)

      • Di bagian Pola acara, pilih Pola kustom (editor JSON), lalu tempelkan pola acara berikut ke area teks:

        {
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Findings Imported V2"
  ],
  "detail": {
    "findings": {
      "<attribute name>": [ "<value1>", "<value2>"]
    }
  }
}

      • Perbarui pola acara untuk menyertakan atribut dan nilai atribut yang ingin Anda gunakan sebagai filter.

        Misalnya, untuk menerapkan aturan pada temuan yang memiliki tingkat keparahanCritical, gunakan contoh pola berikut:

        {
    "source":["aws.securityhub"],
    "detail-type":["Findings Imported V2"],
    "detail":{
        "findings":{
           "Severity": ["Critical"]
          }
    }
}

    • Untuk jenis Target, pilih AWS layanan, dan untuk Pilih target, pilih target seperti topik atau AWS Lambda fungsi Amazon SNS. Target terpicu saat peristiwa diterima yang sesuai dengan pola peristiwa yang ditentukan dalam aturan.

    Untuk detail tentang membuat aturan, lihat Membuat EventBridge aturan Amazon yang bereaksi terhadap peristiwa di Panduan EventBridge Pengguna Amazon.