カスタムアクションを使用して検出結果とインサイト結果を EventBridge に送信する - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

カスタムアクションを使用して検出結果とインサイト結果を EventBridge に送信する

Security Hub カスタムアクションを使用して、結果またはインサイトの結果を EventBridge に送信するには、最初にカスタムアクションを Security Hub で作成する必要があります。次に、EventBridge でルールを定義します。

最大 50 のカスタムアクションを作成できます。

EventBridge のルールでは、カスタムアクションの ARN が使用されます。

カスタムアクションの作成 (コンソール)

カスタムアクションを作成するときは、名前、説明、一意の識別子を指定します。

Security Hub (コンソール) でカスタムアクションを作成するには

  1. を開くAWSSecurity Hub コンソールhttps://console.aws.amazon.com/securityhub/

  2. ナビゲーションペインで、[設定] を選択し、[カスタムアクション] を選択します。

  3. [カスタムアクションの作成] を選択します。

  4. アクションの [名前]、[説明]、および [カスタムアクション ID] を指定します。

    [名前] は 20 文字未満である必要があります。

    -カスタムアクション IDは、それぞれのAWSアカウント.

  5. [カスタムアクションの作成] を選択します。

  6. [カスタムアクション ARN] を書き留めます。EventBridge でこのアクションに関連付けるルールを作成するときは、この ARN を使用する必要があります。

カスタムアクションの作成 (Security Hub API、AWS CLI)

カスタムアクションを作成するには、API 呼び出しまたはAWS Command Line Interface。

カスタムアクションを作成するには (Security Hub API、AWS CLI)

  • Security Hub API— を使用するCreateActionTargetオペレーション. カスタムアクションを作成するときは、名前、説明、カスタムアクション識別子を指定します。

  • AWS CLI— コマンドラインで、create-action-targetコマンドを実行します。

    create-action-target --name <customActionName> --description <customActionDescription> --id <customActionidentifier>

    aws securityhub create-action-target --name "Send to remediation" --description "Action to send the finding for remediation tracking" --id "Remediation"

EventBridge でのルールの定義

カスタムアクションを処理するには、EventBridge で対応するルールを作成する必要があります。ルール定義には、カスタムアクションの ARN が含まれます。

イベントパターンSecurity Hub 結果-カスタムアクションイベントの形式は次のとおりです。

{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Custom Action" ], "resources": [ "<custom action ARN>" ] }

イベントパターンSecurity Hub インサイト結果イベントの形式は次のとおりです。

{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Insight Results" ], "resources": [ "<custom action ARN>" ] }

どちらの形式でも、<custom action ARN>は、カスタムアクションの ARN です。複数のカスタムアクションに適用するルールを構成できます。

ここで説明する手順は、EventBridge コンソール用です。コンソールを使用すると、EventBridge は必要なリソースベースのポリシーを自動的に作成します。これにより、EventBridge が CloudWatch Logs に書き込むことができます。

また、 を使用することもできますPutRuleEventBridge API の API 操作です。ただし、EventBridge API を使用する場合は、リソースベースのポリシーを作成する必要があります。必要なポリシーの詳細については、CloudWatch LogsAmazon EventBridge ユーザーガイド

EventBridge でルールを定義するには

  1. Amazon EventBridge コンソール (https://console.aws.amazon.com/events/) を開きます。

  2. ナビゲーションペインで [ルール] を選択します。

  3. [Create rule] を選択します。

  4. ルールの名前と説明を入力します。

  5. を使用する場合イベントソース] で、イベントパターン

  6. [Event matching pattern (イベント照合パターン)] で、[Pre-defined pattern by service (サービスごとの事前定義パターン)] を選択します。

  7. [Service provider (サービスプロバイダー)] で、[AWS] を選択します。

  8. を使用する場合サービス名] で、セキュリティハブ

  9. を使用する場合イベントタイプを選択し、結果をカスタムアクションに送信するときに適用するルールを作成するには、Security Hub 結果-カスタムアクション

    カスタムアクションにインサイト結果を送信するときに適用するルールを作成するにはSecurity Hub インサイト結果

  10. このルールが適用されるカスタムアクションごとに、以下のステップを実行します。

    1. 選択特定のカスタムアクション

    2. カスタムアクション ARN を追加するには、フィールドに ARN を入力し、[を追加します。

    3. カスタムアクション ARN を削除するには、を削除します。その値のために。

  11. []ターゲットの選択で、このルールが一致した場合に呼び出すターゲットを選択し、設定します。

  12. [作成] を選択します。

このルールを EventBridge で作成した後、アカウントの結果またはインサイトの結果に対してカスタムアクションを実行するとき、EventBridge でイベントが生成されます。

調査結果とインサイト結果のカスタムアクションの選択

Security Hub カスタムアクションと EventBridge ルールを作成した後、結果とインサイトの結果を EventBridge に送信して、さらに管理および処理することができます。

イベントは、そのイベントが表示されているアカウントでのみ、EventBridge に送信されます。管理者アカウントを使用して結果を表示する場合、イベントは管理者アカウントの EventBridge に送信されます。

を使用する場合AWSAPI コールを有効にするために、ターゲットコードの実装では、ロールをメンバーアカウントに切り替える必要があります。これは、切り替えのロールを、アクションが必要な各メンバーにデプロイする必要があることも意味します。

検出結果を EventBridge に送信するには

  1. を開くAWSSecurity Hub コンソールhttps://console.aws.amazon.com/securityhub/

  2. 検出結果のリストを表示します。

  3. EventBridge に送信する結果を選択します。一度に最大 20 件の検出結果を選択できます。

  4. 送信元アクションで、適用する EventBridge ルールに合うカスタムアクションを選択します。

    Security Hub は、別のSecurity Hub 結果-カスタムアクション各発見のためのイベント。

EventBridge にインサイト結果を送信するには

  1. を開くAWSSecurity Hub コンソールhttps://console.aws.amazon.com/securityhub/

  2. ナビゲーションペインで、[Insights] を選択します。

  3. リポジトリの []インサイトページで、EventBridge に送信する結果を含むインサイトを選択します。

  4. EventBridge に送信するインサイト結果を選択します。一度に最大 20 件の結果を選択できます。

  5. 送信元アクションで、適用する EventBridge ルールに合うカスタムアクションを選択します。