EventBridge との Security Hub 統合のタイプ - AWS Security Hub

EventBridge との Security Hub 統合のタイプ

Security Hub では、次の EventBridge イベントタイプを使用して、EventBridge との次のタイプの統合をサポートします。

Security Hub の EventBridge ダッシュボードの [All Events] (すべてのイベント) には、これらのイベントタイプがすべて含まれています。

すべての結果 (Security Hub Findings - Imported)

Security Hub は、すべての新しい結果と既存の結果のすべての更新を EventBridge イベントとして Security Hub Findings - Imported に自動的に送信します。各 Security Hub Findings - Imported イベントには 1 つの結果が含まれています。

どの BatchImportFindings および BatchUpdateFindings リクエストでも Security Hub Findings - Imported イベントがトリガーされます。

管理者アカウントの場合、EventBridge のイベントフィードには、管理者アカウントとメンバーアカウントの両方からの結果に関するイベントが含まれます。

集約リージョンでは、イベントフィードには、集約リージョンとリンクされたリージョンからの結果のイベントが含まれます。クロスリージョン結果は、ほぼリアルタイムでイベントフィードに追加されます。結果の集約を設定する方法については、「クロスリージョン集約」を参照してください。

結果を自動的に Amazon S3 バケット、修復ワークフロー、またはサードパーティーツールにルーティングするルールを EventBridge で定義できます。ルールでは、結果に特定の属性値が含まれている場合にのみルールを適用するフィルターを指定できます。

このメソッドを使用して、すべての結果、または固有の特徴を持つすべての結果を応答または修復ワークフローに自動的に送信します。

自動的に送信される結果の EventBridge ルールの設定」を参照してください。

カスタムアクションの結果 (Security Hub Findings - Custom Action)

Security Hub では、カスタムアクションに関連付けられた結果も Security Hub Findings - Custom Actionイベントとして EventBridge に送信します。

これは、コンソールを操作し、特定の結果、または少数の一連の結果を応答または修復ワークフローに送信するアナリストの役に立ちます。一度に最大 20 件の結果のカスタムアクションを選択できます。各結果は、個別の EventBridge イベントとして EventBridge に送信されます。

カスタムアクションを作成したら、カスタムアクションにカスタムアクション ID を割り当てます。この ID を使用すると、そのカスタムアクション ID に関連付けられた結果を受け取った後、指定されたアクションを実行する EventBridge ルールを作成できます。

カスタムアクションを使用して結果とインサイト結果を EventBridge に送信する」を参照してください。

例えば、Security Hub で send_to_ticketing というカスタムアクションを作成するとします。次に EventBridge で、send_to_ticketing カスタムアクション ID を含む結果を EventBridge が受信したときにトリガーされるルールを作成します。ルールには、結果をチケット発行システムに送信するロジックが含まれています。次に、Security Hub 内で結果を選択して Security Hub のカスタムアクションを使用して、手動で結果をチケット発行システムに送信できます。

EventBridge に Security Hub の結果を送信して処理を続行する方法の例については、AWS パートナーネットワーク (APN) ブログの「AWS Security Hub のカスタムアクションと PagerDuty との統合方法」と「AWS Security Hub でカスタムアクションを有効にする方法」を参照してください。

カスタムアクションのインサイト結果 (Security Hub Insight Results)

カスタムアクションを使用すると、インサイト結果のセットも Security Hub Insight Results イベントとして EventBridge に送信できます。インサイト結果は、インサイトに一致するリソースです。インサイト結果を EventBridge に送信するとき、結果を EventBridge に送信しているわけではないことに注意してください。インサイト結果に関連付けられたリソース識別子を送信しているだけです。最大 100 個のリソース識別子を一度に送信できます。

結果に対するカスタムアクションと同様に、Security Hub でカスタムアクションを作成してから、EventBridge でルールを作成します。

カスタムアクションを使用して結果とインサイト結果を EventBridge に送信する」を参照してください。

例えば、同僚と共有する必要がある特定のインサイト結果があるとします。この場合、カスタムアクションを使用して、チャットまたはチケット発行システム経由で、そのインサイト結果を同僚に送信できます。