Utilizzo di azioni personalizzate per inviare risultati e approfondimenti a EventBridge

Per utilizzare le azioni personalizzate di Security Hub a cui inviare risultati o approfondimenti EventBridge, devi prima creare l'azione personalizzata in Security Hub. Quindi, definisci le regole EventBridge che si applicano alle tue azioni personalizzate.

Puoi creare fino a 50 azioni personalizzate.

Se hai abilitato l'aggregazione tra regioni e gestisci i risultati dalla regione di aggregazione, crea azioni personalizzate nella regione di aggregazione.

La regola in EventBridge utilizza l'ARN dell'azione personalizzata.

Creazione di un'azione personalizzata (console)

Quando si crea un'azione personalizzata, si specificano il nome, la descrizione e un identificatore univoco.

Per creare un'azione personalizzata in Security Hub (console)

1. Apri la console AWS Security Hub all'indirizzo https://console.aws.amazon.com/securityhub/.

2. Nel riquadro di navigazione, scegliere Settings (Impostazioni), quindi Custom actions (Operazioni personalizzate).

3. Scegliere Create custom action (Crea operazione personalizzata).

4. Fornire Name (Nome), Description (Descrizione) e Custom action ID (ID operazione personalizzata) per l'operazione.

   Il campo Name (Nome) non deve contenere più di 20 caratteri.

   L'ID dell'azione personalizzata deve essere unico per ogni AWS account.

5. Scegliere Create custom action (Crea operazione personalizzata).

6. Prendere nota dell'operazione ARN personalizzata. È necessario utilizzare l'ARN quando si crea una regola da associare a questa operazione in EventBridge.

Creazione di un'azione personalizzata (API Security Hub,AWS CLI)

Per creare un'azione personalizzata, puoi utilizzare una chiamata API o ilAWS Command Line Interface.

Per creare un'azione personalizzata (API Security Hub,AWS CLI)

• API Security Hub: utilizza l'CreateActionTargetoperazione. Quando crei un'azione personalizzata, fornisci il nome, la descrizione e l'identificatore dell'azione personalizzato.

• AWS CLI— Nella riga di comando, esegui il create-action-targetcomando.

  create-action-target --name <customActionName> --description <customActionDescription> --id <customActionidentifier>

  Esempio

  aws securityhub create-action-target --name "Send to remediation" --description "Action to send the finding for remediation tracking" --id "Remediation"

Definizione di una regola in EventBridge

Per elaborare l'azione personalizzata, è necessario creare una regola corrispondente in EventBridge. La definizione della regola include l'ARN dell'azione personalizzata.

Il modello di evento per un evento Security Hub Findings - Custom Action ha il seguente formato:

{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Findings - Custom Action"
  ],
  "resources": [ "<custom action ARN>" ]
}

Il modello di evento per un evento Security Hub Insight Results ha il seguente formato:

{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Insight Results"
  ],
  "resources": [ "<custom action ARN>" ]
}

In entrambi i modelli, <custom action ARN> è l'ARN di un'azione personalizzata. È possibile configurare una regola che si applica a più di un'azione personalizzata.

Le istruzioni fornite qui si riferiscono alla EventBridge console. Quando si utilizza la console, crea EventBridge automaticamente la politica basata sulle risorse richiesta che consente la scrittura nei EventBridge registri. CloudWatch

Puoi anche utilizzare il funzionamento dell'PutRuleAPI. EventBridge Tuttavia, se utilizzi l' EventBridge API, devi creare la politica basata sulle risorse. Per i dettagli sulla politica richiesta, consulta CloudWatch Logs permissions nella Amazon EventBridge User Guide.

Per definire una regola in EventBridge

1. Apri la EventBridge console Amazon all'indirizzo https://console.aws.amazon.com/events/.

2. Nel pannello di navigazione, scegli Regole.

3. Scegli Create rule (Crea regola).

4. Immettere un nome e una descrizione per la regola.

5. Per Select event bus (Seleziona bus di eventi), scegli il bus di eventi che desideri associare a questa regola. Se vuoi che questa regola corrisponda agli eventi provenienti dal tuo account, seleziona Predefinito. Quando un servizio di AWS nell'account emette un evento, passa sempre al bus di eventi predefinito dell'account.

6. Per Rule type (Tipo di regola), scegli Rule with an event pattern (Regola con un modello di eventi).

7. Seleziona Avanti.

8. Per Event source (Origine eventi), seleziona AWS events (Eventi ).

9. Per Modello di eventi, scegli Modulo di modello di eventi.

10. Per Origine evento, scegli Servizi AWS.

11. Per l'AWSassistenza, scegli Security Hub.

12. Per Event type (Tipo di evento), procedere in uno dei seguenti modi:

    • Per creare una regola da applicare quando invii i risultati a un'azione personalizzata, scegli Security Hub Findings - Azione personalizzata.

    • Per creare una regola da applicare quando invii i risultati di analisi a un'azione personalizzata, scegli Security Hub Insight Results.

13. Scegli ARN per azioni personalizzate specifiche, aggiungi un ARN per azioni personalizzate.

    Se la regola si applica a più azioni personalizzate, scegli Aggiungi per aggiungere altri ARN per azioni personalizzate.

14. Seleziona Avanti.

15. In Seleziona obiettivi, scegli e configura l'obiettivo da richiamare quando viene rispettata questa regola.

16. Seleziona Avanti.

17. (Facoltativo) Inserire uno o più tag per la regola. Per ulteriori informazioni, consulta i EventBridge tag Amazon nella Amazon EventBridge User Guide.

18. Seleziona Avanti.

19. Rivedi i dettagli della regola e scegli Create rule (Crea regola).

    Quando esegui un'azione personalizzata sui risultati di scoperte o approfondimenti nel tuo account, gli eventi vengono generati in EventBridge.

Selezione di un'azione personalizzata per i risultati delle scoperte e degli approfondimenti

Dopo aver creato le azioni e le EventBridge regole personalizzate del Security Hub, puoi inviare risultati e approfondimenti EventBridge per un'ulteriore gestione ed elaborazione.

Gli eventi vengono inviati EventBridge solo all'account in cui vengono visualizzati. Se si visualizza un risultato utilizzando un account amministratore, l'evento viene inviato EventBridge all'account amministratore.

AWSAffinché le chiamate API siano efficaci, le implementazioni del codice di destinazione devono trasferire i ruoli negli account dei membri. Ciò significa anche che il ruolo a cui si passa deve essere assegnato a ciascun membro in cui è necessaria un'azione.

Per inviare i risultati a EventBridge

1. Apri la console AWS Security Hub all'indirizzo https://console.aws.amazon.com/securityhub/.

2. Visualizzare un elenco di risultati:

   • Da Findings, puoi visualizzare i risultati di tutte le integrazioni e i controlli di prodotto abilitati.

   • Da Standard di sicurezza, puoi accedere a un elenco di risultati generati da un controllo selezionato. Consulta Visualizzazione dei dettagli di un controllo.

   • Da Integrazioni, puoi accedere a un elenco di risultati generati da un'integrazione abilitata. Consulta Visualizzazione dei risultati di un'integrazione.

   • Da Insights, puoi accedere a un elenco di risultati per ottenere un risultato approfondito. Consulta Visualizzazione e azioni su risultati e risultati di informazione dettagliata.

3. Seleziona i risultati a cui inviarli EventBridge. È possibile selezionare fino a 20 risultati alla volta.

4. In Azioni, scegli l'azione personalizzata in linea con la EventBridge regola da applicare.

   Security Hub invia un evento Security Hub Findings - Custom Action separato per ogni risultato.

Per inviare i risultati degli approfondimenti a EventBridge

1. Apri la console AWS Security Hub all'indirizzo https://console.aws.amazon.com/securityhub/.

2. Nel riquadro di navigazione, seleziona Informazioni dettagliate.

3. Nella pagina Insights, scegli l'analisi che include i risultati a cui inviare EventBridge.

4. Seleziona i risultati degli approfondimenti a cui inviarli EventBridge. Puoi selezionare fino a 20 risultati alla volta.

5. In Azioni, scegli l'azione personalizzata in linea con la EventBridge regola da applicare.