翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
カスタムアクションを使用して検出結果とインサイト結果を に送信する EventBridge
Security Hub カスタムアクションを使用して検出結果またはインサイト結果を に送信するには EventBridge、まず Security Hub でカスタムアクションを作成します。次に、カスタムアクション EventBridge に適用されるルールを で定義できます。
最大 50 個のカスタムアクションを作成できます。
クロスリージョン集約を有効にし、集約リージョンの結果を管理する場合は、集約リージョンでカスタムアクションを作成します。
のルールは、カスタムアクションの Amazon リソースネーム (ARN) EventBridge を使用します。
カスタムアクションの作成
カスタムアクションを作成するときは、その名前、説明、一意の識別子を指定します。
任意の方法を選択し、手順に従ってカスタムアクションを作成します。
でのルールの定義 EventBridge
カスタムアクションを処理するには、 で対応するルールを作成する必要があります EventBridge。ルール定義には、カスタムアクションARNの が含まれます。
Security Hub Findings - Custom Action イベントのイベントパターンの形式は次のとおりです。
{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Custom Action" ], "resources": [ "
<custom action ARN>
" ] }
Security Hub Insight Results イベントのイベントパターンの形式は次のとおりです。
{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Insight Results" ], "resources": [ "
<custom action ARN>
" ] }
どちらのパターンでも、
はカスタムアクションARNの です。したがって、複数のカスタムアクションに適用されるルールを構成できます。<custom action ARN>
ここで説明する手順は、 EventBridge コンソール用です。コンソールを使用すると、 は が CloudWatch ログに EventBridge 書き込むために必要なリソースベースのポリシー EventBridge を自動的に作成します。
の PutRule
APIオペレーションを使用することもできます EventBridge API。ただし、 を使用する場合は EventBridge API、リソースベースのポリシーを作成する必要があります。必要なポリシーの詳細については、「Amazon EventBridge ユーザーガイドCloudWatch 」の「ログのアクセス許可」を参照してください。
でルールを定義するには EventBridge (EventBridge コンソール)
で Amazon EventBridge コンソールを開きますhttps://console.aws.amazon.com/events/
。 -
ナビゲーションペインで ルール] を選択します。
-
ルールの作成 を選択します。
-
ルールの名前と説明を入力します。
-
イベントバス] では、このルールに関連付けるイベントバスを選択します。このルールをアカウントからのイベントと一致させるには、[default] (デフォルト) を選択します。アカウントの AWS サービスがイベントを発行すると、常にアカウントのデフォルトのイベントバスに移動します。
-
[Rule type] (ルールタイプ) では、[Rule with an event pattern] (イベントパターンを持つルール) を選択します。
-
[Next] (次へ) を選択します。
-
[Event source] (イベントソース) で、[AWS events] (イベント) を選択します。
-
[イベントパターン] で、[イベントパターンフォーム] を選択します。
-
[イベントパターンフォーム] では、AWS [サービス] を選択します。
-
[AWS のサービス] で、[Security Hub] を選択します。
-
[イベントタイプ] の場合は、次のいずれかの操作を実行します。
-
結果をカスタムアクションに送信するときに適用するルールを作成するには、[Security Hub Findings - Custom Action] (Security Hub 結果 - カスタムアクション) を選択します。
-
インサイト結果をカスタムアクションに送信するときに適用するルールを作成するには、[Security Hub Insight Results] (Security Hub インサイト結果) を選択します。
-
-
特定のカスタムアクション ARNsを選択し、カスタムアクション を追加しますARN。
ルールが複数のカスタムアクションに適用される場合は、追加 を選択してカスタムアクション を追加しますARNs。
-
[Next (次へ)] を選択します。
-
[Select targets] (ターゲットの選択) で、このルールが一致した場合に呼び出すターゲットを選択し設定します。
-
[Next (次へ)] を選択します。
-
(オプション) ルールに 1 つ以上のタグを入力します。詳細については、「Amazon ユーザーガイド」の「Amazon EventBridge タグ」を参照してください。 EventBridge
-
[Next (次へ)] を選択します。
-
ルールの詳細を確認し、ルールの作成 を選択します。
アカウントの結果またはインサイト結果に対してカスタムアクションを実行すると、イベントは で生成されます EventBridge。
結果とインサイト結果のカスタムアクションを選択する
Security Hub のカスタムアクションと EventBridge ルールを作成したら、検出結果とインサイト結果を に送信 EventBridge して、さらなる管理と処理を行うことができます。
イベントは、表示されたアカウントでのみ EventBridge に送信されます。管理者アカウントを使用して結果を表示すると、イベントは管理者アカウントの EventBridge に送信されます。
AWS API 呼び出しを有効にするには、ターゲットコードの実装でロールをメンバーアカウントに切り替える必要があります。つまり、切り替えるロールは、アクションが必要な各メンバーにもデプロイされる必要があります。
検出結果を に送信するには EventBridge (コンソール)
で AWS Security Hub コンソールを開きますhttps://console.aws.amazon.com/securityhub/
。 -
結果のリストを表示します。
-
[Findings] (結果) では、有効になっているすべての製品の統合とコントロールの結果を表示できます。
-
[Security standards] (セキュリティ標準) では、選択したコントロールから生成された結果のリストに移動できます。「コントロールの詳細の表示」を参照してください。
-
[Integrations] (統合) では、有効にした統合によって生成された結果のリストに移動できます。「統合先からの結果の表示」を参照してください。
-
[Insights] (インサイト) では、インサイト結果のリストに移動できます。「インサイト結果と結果の表示とアクションの実行」を参照してください。
-
-
に送信する検出結果を選択します EventBridge。一度に最大 20 件の結果を選択できます。
-
アクション から、適用する EventBridge ルールと一致するカスタムアクションを選択します。
Security Hub によって、結果ごとに個別の Security Hub Findings - Custom Action イベントが送信されます。
インサイト結果を に送信するには EventBridge (コンソール)
で AWS Security Hub コンソールを開きますhttps://console.aws.amazon.com/securityhub/
。 -
ナビゲーションペインで、[Insights] を選択します。
-
インサイトページで、 に送信する結果を含むインサイトを選択します EventBridge。
-
に送信するインサイト結果を選択します EventBridge。一度に最大 20 件の結果を選択できます。
-
アクション から、適用する EventBridge ルールと一致するカスタムアクションを選択します。