カスタムアクションを使用して結果とインサイト結果を EventBridge に送信する - AWS Security Hub

カスタムアクションを使用して結果とインサイト結果を EventBridge に送信する

Security Hub カスタムアクションを使用して結果またはインサイト結果を EventBridge に送信するには、まず Security Hub でカスタムアクションを作成します。次に、EventBridge でルールを定義します。

最大 50 個のカスタムアクションを作成できます。

クロスリージョン集約を有効にし、集約リージョンの結果を管理する場合は、集約リージョンでカスタムアクションを作成します。

EventBridge のルールでは、カスタムアクションの ARN が使用されます。

カスタムアクションを作成する (コンソール)

カスタムアクションを作成するときは、名前、説明、および一意の識別子を指定します。

Security Hub (コンソール) でカスタムアクションを作成するには
  1. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。

  2. ナビゲーションペインで、[Settings] (設定) を選択して、[Custom actions] (カスタムアクション) を選択します。

  3. [Create custom action] (カスタムアクションの作成) を選択します。

  4. アクションの [Name] (名前)、[Description] (説明)、および [Custom action ID] (カスタムアクション ID) を指定します。

    [Name] (名前) は 20 文字未満で指定する必要があります。

    [Custom action ID] (カスタムアクション ID) は AWS アカウントごとに一意にする必要があります。

  5. [Create custom action] (カスタムアクションの作成) を選択します。

  6. [Custom action ARN] (カスタムアクション ARN) を書き留めます。この ARN は、EventBridge でルールを作成してこのアクションに関連付けるときに使用する必要があります。

カスタムアクションを作成する (Security Hub API、AWS CLI)

カスタムアクションを作成するには、API コールまたは AWS Command Line Interface を使用します。

カスタムアクションを作成するには (Security Hub API、AWS CLI)
  • Security Hub API - CreateActionTarget オペレーションを使用します。カスタムアクションを作成するときは、名前、説明、およびカスタムアクション識別子を指定します。

  • AWS CLI - コマンドラインで create-action-target コマンドを実行します。

    create-action-target --name <customActionName> --description <customActionDescription> --id <customActionidentifier>

    aws securityhub create-action-target --name "Send to remediation" --description "Action to send the finding for remediation tracking" --id "Remediation"

EventBridge でルールを定義する

カスタムアクションを処理するには、EventBridge で対応するルールを作成する必要があります。ルールの定義には、カスタムアクションの ARN が含まれます。

Security Hub Findings - Custom Action イベントのイベントパターンの形式は次のとおりです。

{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Custom Action" ], "resources": [ "<custom action ARN>" ] }

Security Hub Insight Results イベントのイベントパターンの形式は次のとおりです。

{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Insight Results" ], "resources": [ "<custom action ARN>" ] }

どちらのパターンでも、<custom action ARN> がカスタムアクションの ARN です。したがって、複数のカスタムアクションに適用されるルールを構成できます。

ここで説明する手順では、EventBridge コンソールを使用します。このコンソールを使用すると、EventBridge による CloudWatch Logs への書き込みを有効にする必要なリソースベースポリシーが EventBridge によって自動的に作成されます。

また、EventBridge API の PutRule API オペレーションを使用することもできます。ただし、EventBridge API を使用する場合は、リソースベースのポリシーを作成する必要があります。必要なポリシーの詳細については、「Amazon EventBridge ユーザーガイド」の「CloudWatch Logs の許可」を参照してください。

EventBridge でルールを定義するには
  1. Amazon EventBridge コンソール (https://console.aws.amazon.com/events/) を開きます。

  2. ナビゲーションペインで [Rules] (ルール) を選択します。

  3. [‬Create rule]‭ (ルールの作成) を選択します。

  4. ルールの名前と説明を入力します。

  5. [Event bus] (イベントバス) では、このルールに関連付けるイベントバスを選択します。このルールをアカウントからのイベントと一致させるには、[default] (デフォルト) を選択します。アカウントの AWS サービスがイベントを発行すると、常にアカウントのデフォルトのイベントバスに移動します。

  6. [Rule type] (ルールタイプ) では、[Rule with an event pattern] (イベントパターンを持つルール) を選択します。

  7. [Next] を選択します。

  8. [Event source] (イベントソース) で、[AWS events] (AWS イベント) を選択します。

  9. [Event pattern] (イベントパターン) で、[Event pattern form] (イベントパターンフォーム) を選択します。

  10. [Event source] (イベントソース) では、AWS[services] (サービス) を選択します。

  11. [AWS service] (AWS のサービス) で、[Security Hub] を選択します。

  12. [イベントタイプ] の場合は、次のいずれかの操作を実行します。

    • 結果をカスタムアクションに送信するときに適用するルールを作成するには、[Security Hub Findings - Custom Action] (Security Hub 結果 - カスタムアクション) を選択します。

    • インサイト結果をカスタムアクションに送信するときに適用するルールを作成するには、[Security Hub Insight Results] (Security Hub インサイト結果) を選択します。

  13. [Specific custom action ARNs] (特定のカスタムアクション ARN) を選択し、カスタムアクション ARN を追加します。

    このルールを複数のカスタムアクションに適用する場合は、[Add] (追加) を選択し、カスタムアクション ARN をさらに追加します。

  14. [Next] を選択します。

  15. [Select targets] (ターゲットの選択) で、このルールが一致した場合に呼び出すターゲットを選択し設定します。

  16. [Next] を選択します。

  17. (オプション) ルールに 1 つ以上のタグを入力します。詳細については、Amazon EventBridge ユーザーガイドの Amazon EventBridge のタグを参照してください。

  18. [Next] を選択します。

  19. ルールの詳細を確認し、[Create rule] (ルールの作成) を選択します。

    アカウントで、結果またはインサイト結果に対してカスタムアクションを実行すると、EventBridge でイベントが生成されます。

結果とインサイト結果のカスタムアクションを選択する

Security Hub カスタムアクションと EventBridge ルールを作成すると、結果とインサイト結果を EventBridge に送信して、さらに管理および処理することができます。

イベントは、そのイベントが表示されているアカウントでのみ、EventBridge に送信されます。管理者アカウントを使用して結果を表示すると、イベントは管理者アカウントで EventBridge に送信されます。

AWS API コールを有効にするには、ターゲットコードの実装時に、ロールをメンバーアカウントに切り替える必要があります。つまり、切り替えるロールは、アクションが必要な各メンバーにもデプロイされる必要があります。

結果を EventBridge に送信するには
  1. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。

  2. 結果のリストを表示します。

    • [Findings] (結果) では、有効になっているすべての製品の統合とコントロールの結果を表示できます。

    • [Security standards] (セキュリティ標準) では、選択したコントロールから生成された結果のリストに移動できます。「コントロールの詳細の表示」を参照してください。

    • [Integrations] (統合) では、有効にした統合によって生成された結果のリストに移動できます。「統合先からの結果の表示」を参照してください。

    • [Insights] (インサイト) では、インサイト結果のリストに移動できます。「インサイト結果と結果の表示とアクションの実行」を参照してください。

  3. 結果を選択して、EventBridge に送信します。一度に最大 20 件の結果を選択できます。

  4. [Actions] (アクション) ドロップダウンから、適用する EventBridge ルールと一致するカスタムアクションを選択します。

    Security Hub によって、結果ごとに個別の Security Hub Findings - Custom Action イベントが送信されます。

インサイト結果を EventBridge に送信するには
  1. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。

  2. ナビゲーションペインで、[Insights] (インサイト) を選択します。

  3. [Insights] (インサイト) ページで、EventBridge に送信する結果が含まれているインサイトを選択します。

  4. EventBridge に送信するインサイト結果を選択します。一度に最大 20 件の結果を選択できます。

  5. [Actions] (アクション) ドロップダウンから、適用する EventBridge ルールと一致するカスタムアクションを選択します。