翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Security Hub CSPM の検出結果の EventBridge ルールの設定
**Security Hub Findings - Imported** イベントの受信時に実行するアクションを定義するルールを Amazon EventBridge で作成できます。**Security Hub Findings - Imported** イベントは、[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) オペレーションと [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) オペレーションの両方による更新によってトリガーされます。
各ルールには、ルールをトリガーするイベントを識別するイベントパターンが含まれています。イベントパターンにはイベントソース (`aws.securityhub`) とイベントタイプ (**Security Hub Findings - Imported**) が必ず含まれています。イベントパターンでは、ルールが適用される結果を識別するためのフィルターを指定することもできます。
次に、イベントルールによってルールターゲットが識別されます。ターゲットは、EventBridge が **Security Hub Findings - Imported** イベントを受信し、検索条件がフィルターと一致したときに実行されるアクションです。
ここで説明する手順では、EventBridge コンソールを使用します。このコンソールを使用すると、EventBridge による Amazon CloudWatch Logs への書き込みを有効にする必要なリソースベースポリシーが EventBridge によって自動的に作成されます。
また、EventBridge API の [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html) オペレーションを使用することもできます。ただし、EventBridge API を使用する場合は、リソースベースのポリシーを作成する必要があります。必要なポリシーの詳細については、「*Amazon EventBridge ユーザーガイド*」の「[CloudWatch Logs の許可](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions)」を参照してください。
## イベントパターンの形式
**Security Hub Findings - Imported** イベントのイベントパターンの形式は次のとおりです。
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Imported"
],
"detail": {
"findings": {
}
}
}
```
+ `source` は、イベントを生成するサービスとして Security Hub CSPM を識別します。
+ `detail-type` は、イベントのタイプを示します。
+ `detail` はオプションで、イベントパターンのフィルター値を提供します。イベントパターンに `detail` フィールドが含まれていない場合、すべての結果でルールがトリガーされます。
結果は、どの結果属性に基づいてもフィルタリングできます。属性ごとに、1 つ以上の値のカンマ区切りの配列を指定します。
```
"": [ "", ""]
```
属性に複数の値を指定すると、それらの値は `OR` で結合されます。結果にリストされている値が含まれている場合、結果は個々の属性のフィルターと一致しています。例えば、`Severity.Label` の値として `INFORMATIONAL` と `LOW` の両方を指定した場合、結果に `INFORMATIONAL` または `LOW` の重要度ラベルが含まれていると、結果は一致となります。
属性が `AND` で結合されている場合、結果が、指定されたすべての属性のフィルター条件に一致すると、その結果は一致となります。
属性値を指定するときは、 AWS Security Finding Format (ASFF) 構造内のその属性の場所を反映する必要があります。
**ヒント**
コントロールの検出結果をフィルタリングする場合は、`Title` または `Description` ではなく、`SecurityControlId` または `SecurityControlArn` [ASFF フィールド](securityhub-findings-format.md)をフィルターとして使用することをお勧めします。前者のフィールドは変更される可能性がありますが、コントロール ID と ARN は静的な識別子です。
次の例では、イベントパターンによって `ProductArn` と `Severity.Label` のフィルタ値が提供されています。したがって、Amazon Inspector が生成し、その重要度のラベルが `INFORMATIONAL` または `LOW` である場合は、結果が一致します。
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Imported"
],
"detail": {
"findings": {
"ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"],
"Severity": {
"Label": ["INFORMATIONAL", "LOW"]
}
}
}
}
```
## イベントルールの作成
定義済みのイベントパターンまたはカスタムのイベントパターンを使用して、EventBridge でルールを作成することができます。定義済みのパターンを選択した場合、EventBridge で `source` と `detail-type` が自動的に入力されます。EventBridge には、次の結果の属性のフィルター値を指定するフィールドもあります。
+ `AwsAccountId`
+ `Compliance.Status`
+ `Criticality`
+ `ProductArn`
+ `RecordState`
+ `ResourceId`
+ `ResourceType`
+ `Severity.Label`
+ `Types`
+ `Workflow.Status`
**EventBridge ルールを作成する (コンソール)**
1. Amazon EventBridge コンソールの [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/) を開いてください。
1. 次の値を使用して、検索イベントをモニタリングする EventBridge ルールを作成します。
+ **[ルールタイプ]** で、**[イベントパターンを持つルール]** を選択してください。
+ イベントパターンの作成方法を選択します。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-cwe-all-findings.html)
+ **ターゲットタイプ**で**AWS サービス**を選択し、**ターゲットの選択**で Amazon SNS トピックや AWS Lambda 関数などのターゲットを選択します。ターゲットは、ルールで定義したイベントパターンに一致するイベントが返されたときにトリガーされます。
ルールの作成に関する詳細については、「*Amazon EventBridge ユーザーガイド*」の「[イベントに反応する Amazon EventBridge ルールの作成](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html)」を参照してください。