기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Security Hub CSPM 조사 결과 자동 수정 및 조치
AWS Security Hub CSPM에는 사양에 따라 조사 결과를 자동으로 수정하고 조치를 취하는 기능이 있습니다.
Security Hub CSPM은 현재 두 유형의 자동화를 지원합니다.
+ **자동화 규칙** – 정의한 기준에 따라 거의 실시간으로 조사 결과를 자동으로 업데이트하고 숨깁니다.
+ **자동 응답 및 해결** – 특정 조사 결과 및 인사이트에 대해 취해야 할 자동 조치를 정의하는 사용자 지정 Amazon EventBridge 규칙을 생성합니다.
자동화 규칙은 AWS Security Finding Format(ASFF)의 결과 필드를 자동으로 업데이트하려는 경우에 유용합니다. 예를 들어, 자동화 규칙을 사용하여 특정 타사 통합의 조사 결과의 심각도 수준 또는 워크플로 상태를 업데이트할 수 있습니다. 자동화 규칙을 사용하면 이 타사 제품의 각 결과의 심각도 수준 또는 워크플로 상태를 수동으로 업데이트할 필요가 없습니다.
EventBridge 규칙은 특정 조사 결과와 관련하여 Security Hub CSPM 외부에서 조치를 취하거나 문제 해결 또는 추가 조사를 위해 서드 파티 도구로 특정 조사 결과를 보내려는 경우에 유용합니다. 규칙을 사용하여 AWS Lambda 함수 호출 또는 특정 결과에 대한 Amazon Simple Notification Service(Amazon SNS) 주제 알림과 같은 지원되는 작업을 트리거할 수 있습니다.
자동화 규칙은 EventBridge 규칙보다 먼저 적용됩니다. 즉, EventBridge로 전송되기 전에 자동화 규칙이 트리거되고 조사 결과가 업데이트됩니다. 그러면 EventBridge 규칙이 업데이트된 조사 결과에 적용됩니다.
보안 제어 기능을 위한 자동화를 설정할 때는 제목이나 설명보다는 제어 ID를 기준으로 필터링하는 것을 권장합니다. Security Hub CSPM은 때때로 제어 제목 및 설명을 업데이트할 수 있지만 제어 ID는 동일하게 유지됩니다.
**Topics**
+ [
# Security Hub CSPM의 자동화 규칙 이해
](automation-rules.md)
+ [
# 자동 응답 및 문제 해결을 위해 EventBridge 사용
](securityhub-cloudwatch-events.md)
# Security Hub CSPM의 자동화 규칙 이해
자동화 규칙을 사용하여 AWS Security Hub CSPM에서 조사 결과를 자동으로 업데이트할 수 있습니다. 조사 결과를 수집하면서 Security Hub CSPM은 조사 결과 숨김, 심각도 변경, 조사 결과에 메모 추가 등 다양한 규칙 작업을 적용할 수 있습니다. 이러한 규칙 작업은 지정된 기준과 일치하는 결과를 수정합니다.
자동화 규칙 사용 사례의 예제는 다음과 같습니다.
+ 조사 결과의 리소스 ID가 비즈니스에 중요한 리소스를 참조하는 경우, 조사 결과의 심각도를 `CRITICAL`(으)로 상향 조정합니다.
+ 조사 결과가 특정 프로덕션 계정의 리소스에 영향을 미치는 경우, 조사 결과의 심각도를 `HIGH`에서 `CRITICAL`(으)로 상향 조정합니다.
+ `INFORMATIONAL` 심각도를 지닌 특정 조사 결과를 `SUPPRESSED` 워크플로 상태에 할당합니다.
Security Hub CSPM 관리자 계정에서만 자동화 규칙을 생성하고 관리할 수 있습니다.
규칙은 새로운 조사 결과 및 업데이트된 조사 결과 모두에 적용됩니다. 사용자 지정 규칙을 처음부터 만들거나 Security Hub CSPM에서 제공하는 규칙 템플릿을 사용할 수 있습니다. 템플릿으로 시작하여 필요에 따라 수정할 수도 있습니다.
## 사용 가능한 규칙 기준 및 규칙 작업
Security Hub CSPM 관리자 계정에서 하나 이상의 규칙 *기준* 및 하나 이상의 규칙 *작업*을 정의하여 자동화 규칙을 생성할 수 있습니다. 조사 결과가 정의된 기준과 일치하면 Security Hub CSPM은 해당 결과에 규칙 작업을 적용합니다. 사용 가능한 기준 및 작업에 대한 자세한 내용은 [사용 가능한 규칙 기준 및 규칙 작업](#automation-rules-criteria-actions) 섹션을 참조하세요.
Security Hub CSPM은 현재 관리자 계정당 최대 100개의 자동화 규칙을 지원합니다.
Security Hub CSPM 관리자 계정은 또한 자동화 규칙을 편집, 보기, 및 삭제할 수 있습니다. 규칙은 관리자 계정과 그에 따른 모든 구성원 계정의 일치하는 조사 결과에 적용됩니다. 멤버 계정 ID를 규칙 기준으로 제공함으로써 Security Hub CSPM 관리자는 또한 자동화 규칙을 사용하여 특정 멤버 계정의 자동화 규칙을 업데이트하거나 조사 결과를 억제할 수 있습니다.
자동화 규칙은 해당 규칙이 생성된 AWS 리전 에만 적용됩니다. 여러 리전에 규칙을 적용하려면 관리자가 각 리전에 규칙을 생성해야 합니다. 이 작업은 Security Hub CSPM 콘솔, Security Hub CSPM API 또는 [AWS CloudFormation](creating-resources-with-cloudformation.md)을 통해 수행할 수 있습니다. [다중 리전 배포 스크립트](https://github.com/awslabs/aws-securityhub-multiaccount-scripts/blob/master/automation_rules)를 사용할 수도 있습니다.
## 사용 가능한 규칙 기준 및 규칙 작업
현재 다음 AWS Security Finding Format(ASFF) 필드가 자동화 규칙의 기준으로 지원됩니다.
| 규칙 기준 | 필터 연산자 | 필드 유형 |
| --- | --- | --- |
| AwsAccountId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| AwsAccountName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| CompanyName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| ComplianceAssociatedStandardsId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| ComplianceSecurityControlId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| ComplianceStatus | Is, Is Not | 선택: [FAILED, NOT\$1AVAILABLE, PASSED, WARNING] |
| Confidence | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | 숫자 |
| CreatedAt | Start, End, DateRange | 날짜(2022-12-01T21:47:39.269Z 형식) |
| Criticality | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | 숫자 |
| Description | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| FirstObservedAt | Start, End, DateRange | 날짜(2022-12-01T21:47:39.269Z 형식) |
| GeneratorId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| Id | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| LastObservedAt | Start, End, DateRange | 날짜(2022-12-01T21:47:39.269Z 형식) |
| NoteText | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| NoteUpdatedAt | Start, End, DateRange | 날짜(2022-12-01T21:47:39.269Z 형식) |
| NoteUpdatedBy | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| ProductArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| ProductName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| RecordState | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| RelatedFindingsId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| RelatedFindingsProductArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| ResourceApplicationArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| ResourceApplicationName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| ResourceDetailsOther | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | 맵 |
| ResourceId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| ResourcePartition | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| ResourceRegion | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| ResourceTags | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | 맵 |
| ResourceType | Is, Is Not | 선택(ASFF에서 지원하는 [리소스](https://docs.aws.amazon.com/securityhub/latest/userguide/asff-resources.html) 참조) |
| SeverityLabel | Is, Is Not | 선택: [CRITICAL, HIGH, MEDIUM, LOW, INFORMATIONAL] |
| SourceUrl | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| Title | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| Type | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| UpdatedAt | Start, End, DateRange | 날짜(2022-12-01T21:47:39.269Z 형식) |
| UserDefinedFields | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | 맵 |
| VerificationState | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| WorkflowStatus | Is, Is Not | 선택: [NEW, NOTIFIED, RESOLVED, SUPPRESSED] |
문자열 필드로 레이블이 지정된 기준의 경우, 동일한 필드에 다른 필터 연산자를 사용하면 평가 로직에 영향을 미칩니다. 자세한 내용은 *AWS Security Hub CSPM API 참조*의 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html)를 참조하세요.
각 기준은 일치하는 결과를 필터링하는 데 사용할 수 있는 최대 값 수를 지원합니다. 각 기준에 대한 제한은 *AWS Security Hub CSPM API 참조*의 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html)를 참조하세요.
현재 자동화 규칙에 대한 작업으로 지원되는 ASFF 필드는 다음과 같습니다.
+ `Confidence`
+ `Criticality`
+ `Note`
+ `RelatedFindings`
+ `Severity`
+ `Types`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`
특정 ASFF 필드에 대한 자세한 내용은 [AWS Security Finding Format(ASFF) 구문](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html)을 참조하세요.
**작은 정보**
Security Hub CSPM에서 특정 제어에 대한 조사 결과 생성을 중지하도록 하려면 자동화 규칙을 사용하는 대신 컨트롤을 사용하지 않도록 설정하는 것이 좋습니다. 제어를 사용하지 않도록 설정하면 Security Hub CSPM은 해당 제어에 대한 보안 검사 실행을 중지하고 조사 결과 생성을 중지하므로 해당 제어에 대한 요금이 발생하지 않습니다. 정의된 기준과 일치하는 조사 결과에 대한 특정 ASFF 필드 값을 변경하려면 자동화 규칙을 사용하는 것이 좋습니다. 컨트롤 비활성화에 대한 자세한 내용은 [Security Hub CSPM에서 제어 비활성화](disable-controls-overview.md) 섹션을 참조하세요.
## 자동화 규칙이 평가하는 조사 결과
자동화 규칙은 규칙을 생성한 *후* Security Hub CSPM이 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html) 작업을 통해 생성하거나 수집하는 새로운 업데이트된 결과를 평가합니다. Security Hub CSPM은 12\$124시간마다 또는 관련 리소스의 상태가 변경될 때마다 제어 조사 결과를 업데이트합니다. 자세한 내용은 [보안 검사 실행 예약](securityhub-standards-schedule.md) 단원을 참조하십시오.
자동화 규칙은 공급자가 제공한 원본 조사 결과를 평가합니다. 공급자는 Security Hub CSPM API의 `BatchImportFindings` 작업을 사용하여 새로운 조사 결과를 제공하고 기존 조사 결과를 업데이트할 수 있습니다. 원래 조사 결과에 다음 필드가 없는 경우 Security Hub CSPM은 자동화 규칙에 따라 자동으로 필드를 채운 다음 평가에서 채워진 값을 사용합니다.
+ `AwsAccountName`
+ `CompanyName`
+ `ProductName`
+ `Resource.Tags`
+ `Workflow.Status`
하나 이상의 자동화 규칙을 생성한 후 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html) 작업을 사용하여 조사 결과 필드를 업데이트하면 규칙이 트리거되지 않습니다. 자동화 규칙을 생성하고 동일한 결과 필드에 영향을 미치는 `BatchUpdateFindings` 업데이트를 수행하는 경우, 마지막 업데이트는 해당 필드의 값을 설정합니다. 다음의 예제를 참조하세요.
1. `BatchUpdateFindings` 작업을 사용하여 조사 결과 `Workflow.Status` 필드의 값을 `NEW`에서 `NOTIFIED`로 변경합니다.
1. `GetFindings`을(를) 직접 호출하는 경우, 이제 `Workflow.Status` 필드의 값은 `NOTIFIED`입니다.
1. 조사 결과의 `Workflow.Status` 필드를 `NEW`에서 `SUPPRESSED`로 변경하는 자동화 규칙을 생성합니다. (규칙은 `BatchUpdateFindings` 작업을 사용하여 적용된 업데이트를 무시합니다.)
1. 조사 결과 공급자는 `BatchImportFindings` 작업을 사용하여 결과를 업데이트하고 조사 결과 `Workflow.Status` 필드의 값을 `NEW`로 변경합니다.
1. `GetFindings`을(를) 직접 호출하는 경우, 이제 `Workflow.Status` 필드의 값은 `SUPPRESSED`입니다. 자동화 규칙이 적용되었고 규칙이 조사 결과에 대해 마지막으로 수행된 작업이기 때문입니다.
Security Hub CSPM 콘솔에서 규칙을 생성하거나 편집하면 콘솔에 규칙 기준과 일치하는 베타 조사 결과가 표시됩니다. 자동화 규칙은 결과 공급자가 보낸 원래 결과를 평가하는 반면 콘솔 베타는 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html) 작업에 대한 응답에 표시되는 최종 상태의 결과를 반영합니다(즉, 규칙 작업 또는 기타 업데이트가 결과에 적용된 후).
## 규칙 순서 작동 방식
자동화 규칙을 생성할 때 각 규칙에 순서를 할당합니다. 이는 Security Hub CSPM이 자동화 규칙을 적용하는 순서를 결정하며, 여러 규칙이 동일한 결과 또는 결과 필드와 관련된 경우, 중요해집니다.
여러 규칙 작업이 동일한 결과 또는 결과 필드와 관련된 경우, 규칙 순서의 숫자 값이 가장 높은 규칙이 마지막에 적용되어 궁극적인 효과를 발휘합니다.
Security Hub CSPM 콘솔에서 규칙을 생성하면 Security Hub CSPM은 규칙 생성 순서에 따라 규칙 순서를 자동으로 할당합니다. 가장 최근에 만든 규칙이 규칙 순서 숫자 값이 가장 낮으므로 먼저 적용됩니다. Security Hub CSPM은 후속 규칙을 오름차순으로 적용합니다.
Security Hub CSPM API 또는를 통해 규칙을 생성하면 AWS CLI Security Hub CSPM은 `RuleOrder` 먼저에 대해 숫자 값이 가장 낮은 규칙을 적용합니다. 그런 다음 다음 규칙을 오름차순으로 적용합니다. 여러 조사 결과에 동일한 `RuleOrder`가 있는 경우, Security Hub CSPM은 `UpdatedAt` 필드에 이전 값이 있는 규칙을 먼저 적용합니다(즉, 가장 최근에 편집된 규칙이 마지막에 적용됨).
언제든지 규칙 순서를 변경할 수 있습니다.
**규칙 순서의 예제**:
**규칙 A(규칙 순서는 `1`)**:
+ 규칙 A 기준
+ `ProductName` = `Security Hub CSPM`
+ `Resources.Type`은(는) `S3 Bucket`
+ `Compliance.Status` = `FAILED`
+ `RecordState`은(는) `NEW`
+ `Workflow.Status` = `ACTIVE`
+ 규칙 A 작업
+ `Confidence`을(를) `95`(으)로 업데이트
+ `Severity`을(를) `CRITICAL`(으)로 업데이트
**규칙 B(규칙 순서는 `2`)**:
+ 규칙 B 기준
+ `AwsAccountId` = `123456789012`
+ 규칙 B 작업
+ `Severity`을(를) `INFORMATIONAL`(으)로 업데이트
규칙 A 작업은 규칙 A 기준과 일치하는 Security Hub CSPM 조사 결과에 먼저 적용됩니다. 다음으로, 규칙 B 작업은 지정된 계정 ID를 가진 Security Hub CSPM 조사 결과에 적용됩니다. 이 예제에서는 규칙 B가 마지막에 적용되므로 지정된 계정 ID의 조사 결과에서 `Severity`의 최종 값은 `INFORMATIONAL`입니다. 규칙 A 작업에 따라 일치하는 조사 결과에서 `Confidence`의 최종 값은 `95`입니다.
# 자동화 규칙 생성
자동화 규칙을 사용하여 AWS Security Hub CSPM에서 조사 결과를 자동으로 업데이트할 수 있습니다. 사용자 지정 규칙을 처음부터 새로 만들거나 Security Hub CSPM 콘솔에서 미리 채워진 규칙 템플릿을 사용할 수 있습니다. 자동화 규칙의 작동 방식에 대한 배경 정보는 [Security Hub CSPM의 자동화 규칙 이해](automation-rules.md) 섹션을 참조하세요.
한 번에 하나의 자동화 규칙만 생성할 수 있습니다. 자동화 규칙을 여러 개 만들려면 콘솔 절차를 여러 번 따르거나 원하는 파라미터를 사용하여 API 또는 명령을 여러 번 직접 호출하세요.
조사 결과에 규칙을 적용하려는 각 리전 및 계정에서 자동화 규칙을 생성해야 합니다.
Security Hub CSPM 콘솔에서 자동화 규칙을 만들면 Security Hub CSPM은 규칙이 적용되는 베타 조사 결과를 표시합니다. 규칙 기준에 CONTAINS 또는 NOT\$1CONTAINS 필터가 포함된 경우, 베타는 현재 지원되지 않습니다. 맵 및 문자열 필드 유형에 대해 이러한 필터를 선택할 수 있습니다.
**중요**
AWS 에서는 규칙 이름, 설명 또는 기타 필드에 개인 식별 정보, 기밀 정보 또는 민감한 정보를 포함하지 않을 것을 권장합니다.
## 사용자 지정 자동화 규칙 생성
원하는 방법을 선택하고 다음 단계를 완료하여 사용자 지정 자동화 규칙을 생성합니다.
------
#### [ Console ]
**사용자 지정 자동화 규칙을 생성하려면(콘솔)**
1. Security Hub CSPM 관리자의 자격 증명을 사용하여 [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.
1. 탐색 창에서 **자동화**를 선택합니다.
1. **규칙 생성**을 선택합니다. **규칙 유형**에서 **사용자 지정 규칙 생성**을 선택합니다.
1. **규칙** 섹션에서 규칙에 대한 고유한 규칙 이름과 설명을 입력합니다.
1. **기준**에서 **키**, **연산자** 및 **값** 드롭다운 메뉴를 사용하여 규칙 기준을 지정합니다. 규칙 기준을 하나 이상 지정해야 합니다.
선택한 기준에 대해 지원되는 경우, 콘솔에 기준과 일치하는 베타 조사 결과가 표시됩니다.
1. **자동 작업**의 경우, 드롭다운 메뉴를 사용하여 조사 결과가 규칙 기준과 일치할 때 업데이트할 조사 결과 필드를 지정합니다. 규칙 작업을 최소 하나 이상 지정해야 합니다.
1. **규칙 상태**에서는 규칙을 생성한 후 해당 규칙을 **활성화**할지 또는 **비활성화**할지 선택합니다.
1. (선택 사항)**추가 설정** 섹션을 확장합니다. 이 규칙을 규칙 기준과 일치하는 조사 결과에 마지막으로 적용하려면 **이러한 기준과 일치하는 조사 결과에 대한 후속 규칙 무시**를 선택합니다.
1. (선택 사항)규칙을 쉽게 식별할 수 있도록 **태그**의 경우, 태그를 키-값 쌍으로 추가합니다.
1. **규칙 생성**을 선택합니다.
------
#### [ API ]
**사용자 지정 자동화 규칙을 생성하려면(API)**
1. Security Hub CSPM 관리자 계정에서 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html)을 실행합니다. 이 API는 특정 Amazon 리소스 이름(ARN)을 사용하여 규칙을 생성합니다.
1. 규칙의 이름 및 설명을 입력합니다.
1. 이 규칙이 규칙 기준과 일치하는 조사 결과에 적용되는 마지막 규칙이 되도록 하려면 `IsTerminal` 파라미터를 `true`(으)로 설정하세요.
1. `RuleOrder` 파라미터에 대해 규칙의 순서를 입력합니다. Security Hub CSPM은 이 파라미터에 더 낮은 번호의 규칙을 먼저 적용합니다.
1. `RuleStatus` 파라미터에서 Security Hub CSPM이 조사 결과 생성 후 규칙을 활성화하고 적용을 시작할지 여부를 지정합니다. 값을 지정하지 않을 경우, 기본값은 `ENABLED`입니다. `DISABLED` 값은 규칙이 생성된 후 일시 중지되는 것을 의미합니다.
1. `Criteria` 파라미터에 Security Hub CSPM이 조사 결과를 필터링하는 데 사용할 기준을 입력합니다. 규칙 작업은 기준과 일치하는 조사 결과에 적용됩니다. 지원되는 기준 목록은 [사용 가능한 규칙 기준 및 규칙 작업](automation-rules.md#automation-rules-criteria-actions) 섹션을 참조하세요.
1. `Actions` 파라미터에는 조사 결과와 정의된 기준 간에 일치하는 항목이 있을 때 Security Hub CSPM이 수행할 작업을 입력합니다. 지원되는 작업 목록은 [사용 가능한 규칙 기준 및 규칙 작업](automation-rules.md#automation-rules-criteria-actions)을 참조하세요.
다음 예제 AWS CLI 명령은 자동화 규칙을 생성하여 워크플로 상태를 업데이트하고 일치하는 조사 결과를 기록합니다. 이 예제는 Linux, macOS 또는 Unix용으로 형식이 지정되며, 가독성을 높이기 위해 백슬래시(\$1) 줄 연속 문자를 사용합니다.
```
$ aws securityhub create-automation-rule \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "HIGH"
},
"Note": {
"Text": "Known issue that is a risk. Updated by automation rules",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--criteria '{
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--description "A sample rule" \
--no-is-terminal \
--rule-name "sample rule" \
--rule-order 1 \
--rule-status "ENABLED" \
--region us-east-1
```
------
## 템플릿에서 규칙 생성(콘솔만 해당)
규칙 템플릿은 자동화 규칙에 대한 일반적인 사용 사례를 반영합니다. 현재는 Security Hub CSPM 콘솔에서만 규칙 템플릿을 지원합니다. 다음 단계를 완료하여 콘솔의 템플릿에서 자동화 규칙을 생성합니다.
**템플릿에서 자동화 규칙을 생성하려면(콘솔)**
1. Security Hub CSPM 관리자의 자격 증명을 사용하여 [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.
1. 탐색 창에서 **자동화**를 선택합니다.
1. **규칙 생성**을 선택합니다. **규칙 유형**에서 **템플릿에서 규칙 생성**을 선택합니다.
1. 드롭다운 메뉴에서 규칙 템플릿을 선택합니다.
1. (선택 사항)사용 사례에 필요한 경우, **규칙**, **기준** 및 **자동 작업** 섹션을 수정하세요. 규칙 기준과 규칙 작업을 하나 이상 지정해야 합니다.
선택한 기준에 대해 지원되는 경우, 콘솔에 기준과 일치하는 베타 조사 결과가 표시됩니다.
1. **규칙 상태**에서는 규칙을 생성한 후 해당 규칙을 **활성화**할지 또는 **비활성화**할지 선택합니다.
1. (선택 사항)**추가 설정** 섹션을 확장합니다. 이 규칙을 규칙 기준과 일치하는 조사 결과에 마지막으로 적용하려면 **이러한 기준과 일치하는 조사 결과에 대한 후속 규칙 무시**를 선택합니다.
1. (선택 사항)규칙을 쉽게 식별할 수 있도록 **태그**의 경우, 태그를 키-값 쌍으로 추가합니다.
1. **규칙 생성**을 선택합니다.
# 자동화 규칙 보기
자동화 규칙을 사용하여 AWS Security Hub CSPM에서 조사 결과를 자동으로 업데이트할 수 있습니다. 자동화 규칙의 작동 방식에 대한 배경 정보는 [Security Hub CSPM의 자동화 규칙 이해](automation-rules.md) 섹션을 참조하세요.
원하는 방법을 선택하고 단계에 따라 자동화 규칙과 각 규칙의 세부 정보를 확인하세요.
자동화 규칙으로 인해 조사 결과가 어떻게 변경되었는지에 대한 기록을 보려면 [Security Hub CSPM에서 조사 결과 세부 정보 및 기록 검토](securityhub-findings-viewing.md) 섹션을 참조하세요.
------
#### [ Console ]
**자동화 규칙을 보려면(콘솔)**
1. Security Hub CSPM 관리자의 자격 증명을 사용하여 [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.
1. 탐색 창에서 **자동화**를 선택합니다.
1. 규칙 이름을 선택합니다. 아니면 규칙을 선택할 수도 있습니다.
1. **작업** 및 **보기**를 선택합니다.
------
#### [ API ]
**자동화 규칙을 보려면(API)**
1. 계정의 자동화 규칙을 보려면 Security Hub CSPM 관리자 계정에서 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html)를 실행합니다. 이 API는 규칙에 대한 규칙 ARN 및 기타 메타데이터를 반환합니다. 이 API에는 입력 파라미터가 필요하지 않지만, 선택적으로 결과 수를 제한하기 위해 `MaxResults`을(를) 제공하고 `NextToken`을(를) 페이지 매김 파라미터로 제공할 수 있습니다. `NextToken`의 초기값은 `NULL`이어야 합니다.
1. 규칙의 기준 및 작업을 비롯한 추가 규칙 세부 정보를 보려면 Security Hub CSPM 관리자 계정에서 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html)를 실행합니다. 세부 정보를 원하는 자동화 규칙의 ARN을 제공합니다.
다음 예제에서는 지정된 자동화 규칙에 대한 세부 정보를 검색합니다. 이 예제는 Linux, macOS 또는 Unix용으로 형식이 지정되며, 가독성을 높이기 위해 백슬래시(\$1) 줄 연속 문자를 사용합니다.
```
$ aws securityhub batch-get-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222"]' \
--region us-east-1
```
------
# 자동화 규칙 편집
자동화 규칙을 사용하여 AWS Security Hub CSPM에서 조사 결과를 자동으로 업데이트할 수 있습니다. 자동화 규칙의 작동 방식에 대한 배경 정보는 [Security Hub CSPM의 자동화 규칙 이해](automation-rules.md) 섹션을 참조하세요.
자동화 규칙을 생성한 후 위임된 Security Hub CSPM 관리자는 규칙을 편집할 수 있습니다. 자동화 규칙을 편집하면 규칙 편집 후 Security Hub CSPM가 생성하거나 수집한 새로운 및 업데이트된 조사 결과에 변경 사항이 적용됩니다.
원하는 방법을 선택하고 단계에 따라 자동화 규칙의 내용을 편집하세요. 요청 한 번으로 하나 이상의 규칙을 편집할 수 있습니다. 규칙 순서 편집에 대한 지침은 [자동화 규칙 순서 편집](edit-rule-order.md) 섹션을 참조하세요.
------
#### [ Console ]
**자동화 규칙을 편집하려면(콘솔)**
1. Security Hub CSPM 관리자의 자격 증명을 사용하여 [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.
1. 탐색 창에서 **자동화**를 선택합니다.
1. 편집할 규칙을 선택합니다. **작업**을 선택한 후 **편집**을 선택합니다.
1. 원하는 대로 규칙을 변경하고 **변경 내용 저장**을 선택합니다.
------
#### [ API ]
**자동화 규칙 편집(API)**
1. Security Hub CSPM 관리자 계정에서 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html)을 실행합니다.
1. `RuleArn` 파라미터에는 편집하려는 규칙의 ARN을 입력합니다.
1. 편집하려는 파라미터의 새로운 값을 입력합니다. `RuleArn`을(를) 제외한 모든 파라미터를 편집할 수 있습니다.
다음 예제에서는 지정된 자동화 규칙을 업데이트합니다. 이 예제는 Linux, macOS 또는 Unix용으로 형식이 지정되며, 가독성을 높이기 위해 백슬래시(\$1) 줄 연속 문자를 사용합니다.
```
$ aws securityhub batch-update-automation-rules \
--update-automation-rules-request-items '[
{
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Note": {
"Text": "Known issue that is a risk",
"UpdatedBy": "sechub-automation"
},
"Workflow": {
"Status": "NEW"
}
}
}],
"Criteria": {
"SeverityLabel": [{
"Value": "LOW",
"Comparison": "EQUALS"
}]
},
"RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"RuleOrder": 14,
"RuleStatus": "DISABLED",
}
]' \
--region us-east-1
```
------
# 자동화 규칙 순서 편집
자동화 규칙을 사용하여 AWS Security Hub CSPM에서 조사 결과를 자동으로 업데이트할 수 있습니다. 자동화 규칙의 작동 방식에 대한 배경 정보는 [Security Hub CSPM의 자동화 규칙 이해](automation-rules.md) 섹션을 참조하세요.
자동화 규칙을 생성한 후 위임된 Security Hub CSPM 관리자는 규칙을 편집할 수 있습니다.
경우에 따라 규칙 기준과 작업은 그대로 유지하되 Security Hub CSPM에서 자동화 규칙을 적용하는 순서를 변경하길 원할 경우, 자동화 규칙만을 편집할 수 있습니다. 원하는 방법을 선택하고 단계에 따라 규칙 순서를 편집합니다.
자동화 규칙의 기준 또는 작업 편집에 대한 지침은 [자동화 규칙 편집](edit-automation-rules.md) 섹션을 참조하세요.
------
#### [ Console ]
**자동화 규칙 순서를 편집하려면(콘솔)**
1. Security Hub CSPM 관리자의 자격 증명을 사용하여 [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.
1. 탐색 창에서 **자동화**를 선택합니다.
1. 순서를 변경할 규칙을 선택합니다. **우선 순위 편집**을 선택합니다.
1. **위로 이동**을 선택하여 규칙의 우선 순위를 한 단위 높입니다. **아래로 이동**을 선택하여 규칙 우선 순위를 한 단위 낮춥니다. **맨 위로 이동**을 선택하여 규칙에 순서를 **1**로 지정합니다(이렇게 하면 해당 규칙이 다른 기존 규칙보다 우선함)
**참고**
Security Hub CSPM 콘솔에서 규칙을 생성하면 Security Hub CSPM은 규칙 생성 순서에 따라 규칙 순서를 자동으로 할당합니다. 가장 최근에 만든 규칙이 규칙 순서 숫자 값이 가장 낮으므로 먼저 적용됩니다.
------
#### [ API ]
**자동화 규칙 순서를 편집하려면(API)**
1. Security Hub CSPM 관리자 계정에서 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html) 작업을 사용합니다.
1. `RuleArn` 파라미터에는 순서를 편집하려는 규칙의 ARN을 입력합니다.
1. `RuleOrder` 필드 값을 수정합니다.
**참고**
여러 규칙에 동일한 `RuleOrder`가 있는 경우, Security Hub CSPM은 `UpdatedAt` 필드에 이전 값이 있는 규칙을 먼저 적용합니다(즉, 가장 최근에 편집된 규칙이 마지막에 적용됨).
------
# 자동화 규칙 삭제 또는 비활성화
자동화 규칙을 사용하여 AWS Security Hub CSPM에서 조사 결과를 자동으로 업데이트할 수 있습니다. 자동화 규칙의 작동 방식에 대한 배경 정보는 [Security Hub CSPM의 자동화 규칙 이해](automation-rules.md) 섹션을 참조하세요.
자동화 규칙을 삭제하면 Security Hub CSPM은 계정에서 해당 규칙을 삭제하고 조사 결과에 더 이상 규칙을 적용하지 않습니다. 규칙을 삭제하는 대신 규칙을 *비활성화*할 수 있습니다. 이렇게 하면 나중에 사용할 수 있도록 규칙이 유지되지만, Security Hub CSPM은 사용자가 활성화하기 전까지는 일치하는 조사 결과에 규칙을 적용하지 않습니다.
원하는 방법을 선택하고 단계에 따라 자동화 규칙을 삭제합니다. 단일 요청으로 하나 이상의 규칙을 삭제할 수 있습니다.
------
#### [ Console ]
**자동화 규칙을 삭제하거나 비활성화하려면(콘솔)**
1. Security Hub CSPM 관리자의 자격 증명을 사용하여 [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.
1. 탐색 창에서 **자동화**를 선택합니다.
1. 삭제할 규칙을 선택합니다. **작업** 및 **삭제**를 선택합니다(규칙을 유지하지만 일시적으로 비활성화하려면 **비활성화** 선택).
1. 선택을 확인하고 **삭제**를 선택합니다.
------
#### [ API ]
**자동화 규칙을 삭제하거나 비활성화하려면(API)**
1. Security Hub CSPM 관리자 계정에서 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html) 작업을 사용합니다.
1. `AutomationRulesArns` 파라미터에 삭제하려는 규칙의 ARN을 입력합니다(규칙을 유지하지만 일시적으로 비활성화하려면 `RuleStatus` 파라미터에 대한 `DISABLED`을(를) 입력).
다음 예제에서는 지정된 자동화 규칙을 삭제합니다. 이 예제는 Linux, macOS 또는 Unix용으로 형식이 지정되며, 가독성을 높이기 위해 백슬래시(\$1) 줄 연속 문자를 사용합니다.
```
$ aws securityhub batch-delete-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]' \
--region us-east-1
```
------
# 자동화 규칙 예제
이 섹션에서는 일반적인 Security Hub CSPM 사용 사례에 대한 자동화 규칙의 예제를 제공합니다. 이러한 예제는 Security Hub CSPM 콘솔에서 사용할 수 있는 규칙 템플릿에 해당합니다.
## S3 버킷과 같은 특정 리소스가 위험에 처한 경우, 심각도를 Critical로 상향 조정합니다.
이 예제에서는 결과의 `ResourceId`이(가) 특정 Amazon Simple Storage Service(S3) 버킷일 때 규칙 기준을 일치시킵니다. 규칙 작업은 일치하는 조사 결과의 심각도를 `CRITICAL`(으)로 변경하는 것입니다. 이 템플릿을 수정하여 다른 리소스에 적용할 수 있습니다.
**API 요청 예제**:
```
{
"IsTerminal": true,
"RuleName": "Elevate severity of findings that relate to important resources",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk",
"Criteria": {
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**CLI 명령 예제**:
```
$
aws securityhub create-automation-rule \
--is-terminal \
--rule-name "Elevate severity of findings that relate to important resources" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
## 프로덕션 계정의 리소스와 관련된 조사 결과의 심각도를 상향 조정합니다.
이 예제에서는 특정 프로덕션 계정에서 `HIGH` 심각도 조사 결과가 생성될 때 규칙 기준을 일치시킵니다. 규칙 작업은 일치하는 조사 결과의 심각도를 `CRITICAL`(으)로 변경하는 것입니다.
**API 요청 예제**:
```
{
"IsTerminal": false,
"RuleName": "Elevate severity for production accounts",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts",
"Criteria": {
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**CLI 명령 예제**:
```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Elevate severity of findings that relate to resources in production accounts" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
## 정보 조사 결과 표시 안 함
이 예제에서는 Amazon GuardDuty에서 Security Hub CSPM으로 전송한 `INFORMATIONAL` 심각도 조사 결과와 규칙 기준을 일치시킵니다. 규칙 작업은 일치하는 조사 결과의 워크플로 상태를 `SUPPRESSED`(으)로 변경하는 것입니다.
**API 요청 예제**:
```
{
"IsTerminal": false,
"RuleName": "Suppress informational findings",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Suppress GuardDuty findings with INFORMATIONAL severity",
"Criteria": {
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**CLI 명령 예제**:
```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Suppress informational findings" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Suppress GuardDuty findings with INFORMATIONAL severity" \
--criteria '{
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
# 자동 응답 및 문제 해결을 위해 EventBridge 사용
Amazon EventBridge에서 규칙을 생성하면 AWS Security Hub CSPM 결과에 자동으로 응답할 수 있습니다. Security Hub CSPM은 거의 실시간으로 조사 결과를 EventBridge에 *이벤트*로 전송합니다. 원하는 이벤트만 표시하도록 간단한 규칙을 작성한 후 규칙과 일치하는 이벤트 발생 시 실행할 자동화 작업을 지정할 수 있습니다. 자동으로 트리거할 수 있는 태스크는 다음과 같습니다.
+ AWS Lambda 함수 호출
+ Amazon EC2 실행 명령 간접 호출
+ Amazon Kinesis Data Streams로 이벤트 릴레이
+ AWS Step Functions 상태 시스템 활성화
+ SNS 주제 또는 Amazon SQS 대기열 알림
+ 타사 티켓팅, 채팅, SIEM 또는 인시던트 대응 및 관리 도구에 조사 결과 전송
Security Hub CSPM은 모든 새로운 조사 결과와 기존 조사 결과의 모든 업데이트를 EventBridge에 EventBridge 이벤트로 자동 전송합니다. 선택한 조사 결과와 인사이트 조사 결과를 EventBridge로 전송할 수 있게 하는 사용자 지정 작업을 생성할 수도 있습니다.
그러면 각 유형의 이벤트에 대응하도록 EventBridge 규칙을 구성합니다.
EventBridge 사용에 대한 자세한 내용은 [https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html)를 참조하세요.
**참고**
가장 좋은 방법은 EventBridge에 액세스할 수 있도록 사용자에게 부여된 권한이 필요한 권한만 부여하는 최소 권한 AWS Identity and Access Management (IAM) 정책을 사용하는지 확인하는 것입니다.
자세한 내용은 [Amazon EventBridge의 Identity and Access Management](https://docs.aws.amazon.com/eventbridge/latest/userguide/auth-and-access-control-eventbridge.html)를 참조하세요.
교차 계정 자동 응답 및 문제 해결을 위한 템플릿 세트는 AWS 솔루션에서도 사용할 수 있습니다. 템플릿은 EventBridge 이벤트 규칙 및 Lambda 함수를 활용합니다. CloudFormation 및를 사용하여 솔루션을 배포합니다 AWS Systems Manager. 이 솔루션은 완전 자동 응답 및 해결 조치를 생성할 수 있습니다. 또한 Security Hub CSPM 사용자 지정 작업을 사용하여 사용자가 트리거하는 응답 및 해결 조치를 생성할 수 있습니다. 솔루션을 구성하고 사용하는 방법에 대한 자세한 내용은 AWS솔루션 페이지의 [자동 보안 대응](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/)을 참조하세요.
**Topics**
+ [
# EventBridge의 Security Hub CSPM 이벤트 유형
](securityhub-cwe-integration-types.md)
+ [
# Security Hub CSPM용 EventBridge 이벤트 형식
](securityhub-cwe-event-formats.md)
+ [
# Security Hub CSPM 조사 결과에 대한 EventBridge 규칙 구성
](securityhub-cwe-all-findings.md)
+ [
# 사용자 지정 작업을 사용하여 조사 결과 및 인사이트 조사 결과를 EventBridge로 전송
](securityhub-cwe-custom-actions.md)
# EventBridge의 Security Hub CSPM 이벤트 유형
Security Hub CSPM은 다음과 같은 Amazon EventBridge 이벤트 유형을 사용하여 EventBridge와 통합합니다.
Security Hub CSPM의 EventBridge 대시보드에서 **모든 이벤트**에는 이러한 이벤트 유형이 모두 포함됩니다.
## 모든 조사 결과(Security Hub Findings - Imported)
Security Hub CSPM은 모든 새로운 조사 결과와 기존 조사 결과의 모든 업데이트를 EventBridge에 **Security Hub Findings - Imported** 이벤트로 자동 전송합니다. 각 **Security Hub Findings - Imported** 이벤트에는 단일 조사 결과가 포함됩니다.
모든 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) 및 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) 요청은 **Security Hub Findings - Imported** 이벤트를 트리거합니다.
관리자 계정의 경우, EventBridge의 이벤트 피드에는 관리자 계정과 회원 계정 모두에서 찾은 조사 결과에 대한 이벤트가 포함됩니다.
집계 지역의 이벤트 피드에는 집계 지역 및 연결 지역의 조사 결과에 대한 이벤트가 포함됩니다. 지역 간 조사 결과는 거의 실시간으로 이벤트 피드에 포함됩니다. 조사 결과 집계를 구성하는 방법에 대한 자세한 내용은 [Security Hub CSPM의 교차 리전 집계 이해](finding-aggregation.md) 섹션을 참조하세요.
조사 결과를 문제 해결 워크플로, 타사 도구, 또는 [기타 지원되는 EventBridge 대상](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html)으로 자동 라우팅하는 규칙을 정의할 수 있습니다. 조사 결과에 특정 속성 값이 있는 경우에만 규칙을 적용하는 필터가 규칙에 포함될 수 있습니다.
이 방법을 사용하여 모든 조사 결과 또는 특정한 특성이 있는 모든 조사 결과를 자동으로 응답 또는 문제 해결 워크플로우로 보냅니다.
[Security Hub CSPM 조사 결과에 대한 EventBridge 규칙 구성](securityhub-cwe-all-findings.md) 섹션을 참조하세요.
## 사용자 지정 작업에 대한 조사 결과(Security Hub Findings - Custom Action)
또한 Security Hub CSPM은 사용자 지정 작업과 연결된 조사 결과를 EventBridge에 **Security Hub Findings - Custom Action** 이벤트로 전송합니다.
이는 Security Hub CSPM 콘솔을 사용해 특정 조사 결과나 작은 조사 결과 세트를 응답 또는 문제 해결 워크플로로 보내려는 분석가에게 유용합니다. 한 번에 최대 20개의 조사 결과에 대해 사용자 지정 작업을 선택할 수 있습니다. 각 조사 결과는 별도의 EventBridge 이벤트로 EventBridge에 전송됩니다.
사용자 지정 작업을 생성할 때 사용자 지정 작업 ID를 할당합니다. 이 ID를 사용하여 사용자 지정 작업 ID와 관련된 조사 결과를 수신한 후 지정된 작업을 수행하는 EventBridge 규칙을 생성할 수 있습니다.
[사용자 지정 작업을 사용하여 조사 결과 및 인사이트 조사 결과를 EventBridge로 전송](securityhub-cwe-custom-actions.md)을(를) 참조하세요.
예를 들어, Security Hub CSPM에서 `send_to_ticketing`이라는 사용자 지정 작업을 생성할 수 있습니다. 그런 다음, EventBridge에서 `send_to_ticketing` 사용자 지정 작업 ID가 포함된 조사 결과를 EventBridge가 수신할 때 트리거되는 규칙을 생성합니다. 이 규칙에는 조사 결과를 티켓팅 시스템에 전송하는 로직이 포함됩니다. 그런 다음 Security Hub CSPM 내에서 조사 결과를 선택하고 Security Hub CSPM의 사용자 지정 작업을 사용하여 조사 결과를 티켓팅 시스템에 수동으로 전송할 수 있습니다.
추가 처리를 위해 Security Hub CSPM 조사 결과를 EventBridge로 보내는 방법의 예는 [AWS Security Hub CSPM 사용자 지정 작업을 PagerDuty와 통합하는 방법](https://aws.amazon.com/blogs/apn/how-to-integrate-aws-security-hub-custom-actions-with-pagerduty/) 및 AWS 파트너 네트워크(APN) 블로그의 [AWS Security Hub CSPM에서 사용자 지정 작업을 활성화하는 방법을](https://aws.amazon.com/blogs/apn/how-to-enable-custom-actions-in-aws-security-hub/) 참조하세요.
## 사용자 지정 작업에 대한 인사이트 결과(Security Hub Insight Results)
또한 사용자 지정 작업을 사용하여 인사이트 결과 집합을 EventBridge에 **Security Hub Insight Results** 이벤트로 전송할 수 있습니다. 인사이트 결과는 인사이트와 일치하는 리소스입니다. 인사이트 조사 결과를 EventBridge에 전송할 때는 조사 결과를 EventBridge에 전송하는 것이 아닙니다. 인사이트 결과와 연결된 리소스 식별자만 전송합니다. 한 번에 최대 100개의 리소스 식별자를 전송할 수 있습니다.
조사 결과에 대한 사용자 지정 작업과 마찬가지로, 먼저 Security Hub CSPM에서 사용자 지정 작업을 생성한 다음, EventBridge에서 규칙을 생성합니다.
[사용자 지정 작업을 사용하여 조사 결과 및 인사이트 조사 결과를 EventBridge로 전송](securityhub-cwe-custom-actions.md)을(를) 참조하세요.
예를 들어, 동료와 공유하고 싶은 관심 대상 특정 인사이트 결과를 보았다고 가정해 보겠습니다. 이 경우, 사용자 지정 작업을 사용하여 채팅 또는 티켓 시스템을 통해 해당 인사이트 결과를 동료에게 보낼 수 있습니다.
# Security Hub CSPM용 EventBridge 이벤트 형식
**Security Hub Findings - Imported**, **Security Findings - Custom Action** 및 **Security Hub Insight Results** 이벤트 유형은 다음 이벤트 형식을 사용합니다.
이벤트 형식은 Security Hub CSPM이 EventBridge로 이벤트를 전송할 때 사용되는 형식입니다.
## Security Hub Findings - Imported
Security Hub CSPM에서 EventBridge로 전송되는 **Security Hub Findings - Imported** 이벤트는 다음 형식을 사용합니다.
```
{
"version":"0",
"id":"CWE-event-id",
"detail-type":"Security Hub Findings - Imported",
"source":"aws.securityhub",
"account":"111122223333",
"time":"2019-04-11T21:52:17Z",
"region":"us-west-2",
"resources":[
"arn:aws:securityhub:us-west-2::product/aws/macie/arn:aws:macie:us-west-2:111122223333:integtest/trigger/6294d71b927c41cbab915159a8f326a3/alert/f2893b211841"
],
"detail":{
"findings": [{
}]
}
}
```
``는 이벤트에서 전송한 조사 결과의 내용(JSON 형식)입니다. 각 이벤트는 단일 조사 결과를 전송합니다.
조사 결과의 전체 목록은 [AWS 보안 조사 결과 형식(ASFF)](securityhub-findings-format.md) 섹션을 참조하세요.
이러한 이벤트에 의해 트리거되는 EventBridge 규칙 구성 방법에 대한 자세한 내용은 [Security Hub CSPM 조사 결과에 대한 EventBridge 규칙 구성](securityhub-cwe-all-findings.md) 섹션을 참조하세요.
## Security Hub Findings - Custom Action
Security Hub CSPM에서 EventBridge로 전송되는 **Security Hub Findings - Custom Action** 이벤트는 다음 형식을 사용합니다. 각 조사 결과는 별도의 이벤트로 전송됩니다.
```
{
"version": "0",
"id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
"detail-type": "Security Hub Findings - Custom Action",
"source": "aws.securityhub",
"account": "111122223333",
"time": "2019-04-11T18:43:48Z",
"region": "us-west-1",
"resources": [
"arn:aws:securityhub:us-west-1:111122223333:action/custom/custom-action-name"
],
"detail": {
"actionName":"custom-action-name",
"actionDescription": "description of the action",
"findings": [
{
}
]
}
}
```
``는 이벤트에서 전송한 조사 결과의 내용(JSON 형식)입니다. 각 이벤트는 단일 조사 결과를 전송합니다.
조사 결과의 전체 목록은 [AWS 보안 조사 결과 형식(ASFF)](securityhub-findings-format.md) 섹션을 참조하세요.
이러한 이벤트에 의해 트리거되는 EventBridge 규칙 구성 방법에 대한 자세한 내용은 [사용자 지정 작업을 사용하여 조사 결과 및 인사이트 조사 결과를 EventBridge로 전송](securityhub-cwe-custom-actions.md) 섹션을 참조하세요.
## Security Hub Insight Results
Security Hub CSPM에서 EventBridge로 전송되는 **Security Hub Insight Results** 이벤트는 다음 형식을 사용합니다.
```
{
"version": "0",
"id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
"detail-type": "Security Hub Insight Results",
"source": "aws.securityhub",
"account": "111122223333",
"time": "2017-12-22T18:43:48Z",
"region": "us-west-1",
"resources": [
"arn:aws:securityhub:us-west-1:111122223333::product/aws/macie:us-west-1:222233334444:test/trigger/1ec9cf700ef6be062b19584e0b7d84ec/alert/f2893b211841"
],
"detail": {
"actionName":"name of the action",
"actionDescription":"description of the action",
"insightArn":"ARN of the insight",
"insightName":"Name of the insight",
"resultType":"ResourceAwsIamAccessKeyUserName",
"number of results":"number of results, max of 100",
"insightResults": [
{"result 1": 5},
{"result 2": 6}
]
}
}
```
이러한 이벤트에 의해 트리거되는 EventBridge 규칙 생성에 대한 자세한 내용은 [사용자 지정 작업을 사용하여 조사 결과 및 인사이트 조사 결과를 EventBridge로 전송](securityhub-cwe-custom-actions.md) 섹션을 참조하세요.
# Security Hub CSPM 조사 결과에 대한 EventBridge 규칙 구성
Amazon EventBridge에서 **Security Hub Findings - Imported** 이벤트를 수신할 때 수행할 작업을 정의하는 규칙을 생성할 수 있습니다. **Security Hub Findings - Imported** 이벤트는 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) 및 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) 작업으로부터의 업데이트에 의해 트리거됩니다.
각 규칙에는 규칙을 트리거하는 이벤트를 식별하는 이벤트 패턴이 포함되어 있습니다. 이벤트 패턴에는 항상 이벤트 소스(`aws.securityhub`)와 이벤트 유형(**Security Hub 조사 결과 - 가져옴**)이 포함됩니다. 이벤트 패턴은 규칙이 적용되는 조사 결과를 식별하는 필터를 지정할 수도 있습니다.
그러면 이벤트 규칙이 규칙 대상을 식별합니다. 대상은 EventBridge가 **Security Hub 조사 결과 - 가져옴** 이벤트를 수신하고 조사 결과가 필터와 일치할 때 취할 조치입니다.
여기에 제공된 지침은 EventBridge 콘솔을 사용합니다. 콘솔을 사용하면 EventBridge는 EventBridge가 Amazon CloudWatch Logs에 기록을 활성화할 수 있도록 필요한 리소스 기반 정책을 자동으로 생성합니다.
또한 EventBridge API의 [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html) 작업을 사용할 수도 있습니다. 하지만 EventBridge API를 사용하는 경우, 리소스 기반 정책을 생성해야 합니다. 필수 정책에 대한 자세한 내용은 *Amazon EventBridge 사용 설명서*의 [CloudWatch Logs 권한](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions)을 참조하세요.
## 이벤트 패턴 형식
**Security Hub 조사 결과 - 가져옴** 이벤트의 이벤트 패턴 형식은 다음과 같습니다.
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Imported"
],
"detail": {
"findings": {
}
}
}
```
+ `source`는 Security Hub CSPM을 이벤트를 생성하는 서비스로 식별합니다.
+ `detail-type`은(는) 이벤트 유형을 식별합니다.
+ `detail`은(는) 선택 사항이며 이벤트 패턴에 대한 필터 값을 제공합니다. 이벤트 패턴에 `detail` 필드가 없는 경우, 모든 조사 결과가 규칙을 트리거합니다.
모든 조사 결과 속성을 기준으로 조사 결과를 필터링할 수 있습니다. 각 값에 대해 하나 이상의 값을 쉼표로 구분한 배열을 제공합니다.
```
"": [ "", ""]
```
속성에 둘 이상의 값을 제공하면 해당 값이 `OR`로 결합됩니다. 조사 결과에 나열된 값 중 하나라도 있는 경우, 조사 결과는 개별 속성의 필터와 일치합니다. 예를 들어, `INFORMATIONAL`과 `LOW`를 모두 `Severity.Label` 값으로 제공하면 심각도 레이블이 `INFORMATIONAL` 또는 `LOW`일 경우, 조사 결과가 일치합니다.
속성은 `AND`로 결합됩니다. 제공된 모든 속성에 대한 필터 기준과 일치하면 조사 결과가 일치합니다.
속성 값을 제공할 때는 AWS Security Finding Format(ASFF) 구조 내에서 해당 속성의 위치를 반영해야 합니다.
**작은 정보**
제어 조사 결과를 필터링할 때는 `Title` 또는 `Description` 대신 `SecurityControlId` 또는 `SecurityControlArn` [ASFF 필드](securityhub-findings-format.md)를 필터로 사용하는 것이 좋습니다. 후자의 필드는 때때로 변경될 수 있지만 제어 ID 및 ARN은 정적 식별자입니다.
다음 예제에서 이벤트 패턴은 `ProductArn` 및 `Severity.Label`에 대한 필터 값을 제공하므로 Amazon Inspector에서 생성되고 심각도 레이블이 `INFORMATIONAL` 또는 `LOW`인 경우, 조사 결과가 일치합니다.
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Imported"
],
"detail": {
"findings": {
"ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"],
"Severity": {
"Label": ["INFORMATIONAL", "LOW"]
}
}
}
}
```
## 이벤트 규칙 생성
사전 정의된 이벤트 패턴 또는 사용자 지정 이벤트 패턴을 사용하여 EventBridge에서 규칙을 생성할 수 있습니다. 사전 정의된 패턴을 선택하면 EventBridge가 자동으로 `source` 및 `detail-type`을 채웁니다. EventBridge는 다음과 같은 조사 결과 속성에 대한 필터 값을 지정하는 필드도 제공합니다.
+ `AwsAccountId`
+ `Compliance.Status`
+ `Criticality`
+ `ProductArn`
+ `RecordState`
+ `ResourceId`
+ `ResourceType`
+ `Severity.Label`
+ `Types`
+ `Workflow.Status`
**EventBridge 규칙 생성(콘솔)**
1. Amazon EventBridge 콘솔([https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/))을 엽니다.
1. 다음 값을 사용하여 조사 결과 이벤트를 모니터링하는 EventBridge 규칙을 생성합니다.
+ **규칙 유형**에서 **이벤트 패턴이 있는 규칙**을 생성합니다.
+ 이벤트 패턴 작성 방법을 선택합니다.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/securityhub/latest/userguide/securityhub-cwe-all-findings.html)
+ **대상 유형**에서 **AWS 서비스를** 선택하고 **대상 선택**에서 Amazon SNS 주제 또는 AWS Lambda 함수와 같은 대상을 선택합니다. 규칙에 정의된 이벤트 패턴과 일치하는 이벤트를 수신할 때 대상이 트리거됩니다.
규칙 생성에 대한 자세한 내용은 *Amazon EventBridge 사용 설명서*의 [이벤트에 대응하는 Amazon EventBridge 규칙 생성](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html)를 참조하세요.
# 사용자 지정 작업을 사용하여 조사 결과 및 인사이트 조사 결과를 EventBridge로 전송
AWS Security Hub CSPM 사용자 지정 작업을 사용하여 조사 결과 또는 인사이트 결과를 Amazon EventBridge로 보내려면 먼저 Security Hub CSPM에서 사용자 지정 작업을 생성합니다. 그런 다음 사용자 지정 작업에 적용되는 규칙을 EventBridge에서 정의할 수 있습니다.
최대 50개의 사용자 지정 작업을 생성할 수 있습니다.
교차 리전 집계 활성화를 활성화하고 집계 영역의 조사 결과를 관리하는 경우, 집계 리전에서 사용자 지정 작업을 생성하세요.
EventBridge의 규칙은 사용자 지정 작업의 Amazon 리소스 이름(ARN)을 사용합니다.
# 사용자 지정 작업 생성
AWS Security Hub CSPM에서 사용자 지정 작업을 생성할 때 이름, 설명 및 고유 식별자를 지정합니다.
사용자 지정 작업은 EventBridge 이벤트가 EventBridge 규칙과 일치할 때 수행할 작업을 지정합니다. Security Hub CSPM은 각 조사 결과를 EventBridge에 이벤트로 전송합니다.
원하는 방법을 선택하고 다음 단계를 완료하여 사용자 지정 작업을 생성합니다.
------
#### [ Console ]
**Security Hub CSPM에서 사용자 지정 작업을 생성하려면(콘솔)**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.
1. 탐색 창에서 **설정**을 선택한 다음 **사용자 지정 작업**를 선택합니다.
1. **사용자 지정 작업 생성**을 선택하세요.
1. 작업에 대한 **이름**, **설명** 및 **사용자 지정 작업 ID**를 입력하세요.
**이름**은 20자 미만이어야 합니다.
**사용자 지정 작업 ID**는 각 AWS 계정에 대해 고유해야 합니다.
1. **사용자 지정 작업 생성**을 선택하세요.
1. **사용자 지정 작업 ARN**을 기록해 둡니다. EventBridge에서 이 작업과 연결할 규칙을 생성할 때 ARN을 사용해야 합니다.
------
#### [ API ]
**사용자 지정 작업을 생성하려면(API)**
[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html) 작업을 사용합니다. 를 사용하는 경우 [create-action-target](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-action-target.html) 명령을 AWS CLI실행합니다.
다음 예제에서는 조사 결과를 문제 해결 도구로 보내는 사용자 지정 작업을 생성합니다. 이 예제는 Linux, macOS 또는 Unix용으로 형식이 지정되며, 가독성을 높이기 위해 백슬래시(\$1) 줄 연속 문자를 사용합니다.
```
$ aws securityhub create-action-target --name "Send to remediation" --description "Action to send the finding for remediation tracking" --id "Remediation"
```
------
# EventBridge에서의 규칙 정의
Amazon EventBridge에서 사용자 지정 작업을 트리거하려면 EventBridge에서 해당 규칙을 생성해야 합니다. 규칙 정의에는 사용자 지정 작업의 Amazon 리소스 이름(ARN)이 포함됩니다.
**Security Hub 조사 결과 - 사용자 지정 작업** 이벤트의 이벤트 패턴은 다음과 같은 형식입니다.
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Custom Action"
],
"resources": [ "" ]
}
```
**Security Hub 인사이트 결과** 이벤트의 이벤트 패턴은 다음과 같은 형식입니다.
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Insight Results"
],
"resources": [ "" ]
}
```
두 패턴 모두 ``이(가) 사용자 지정 작업의 ARN입니다. 둘 이상의 사용자 지정 작업에 적용되는 규칙을 구성할 수 있습니다.
여기에 제공된 지침은 EventBridge 콘솔을 위한 것입니다. 콘솔을 사용하면 EventBridge는 EventBridge가 CloudWatch Logs에 기록할 수 있도록 필요한 리소스 기반 정책을 자동으로 생성합니다.
EventBridge API의 [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html) API 작업을 사용할 수도 있습니다. 하지만 EventBridge API를 사용하는 경우, 리소스 기반 정책을 생성해야 합니다. 필수 정책에 대한 자세한 내용은 *Amazon EventBridge 사용 설명서*의 [CloudWatch Logs 권한](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions)을 참조하세요.
**EventBridge에서 규칙을 정의하려면(EventBridge 콘솔)**
1. [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/)에서 Amazon EventBridge 콘솔을 엽니다.
1. 탐색 창에서 **규칙**을 선택합니다.
1. **규칙 생성**을 선택합니다.
1. 규칙에 대해 이름과 설명을 입력하세요.
1. **이벤트 버스**에서 이 규칙과 연결할 이벤트 버스를 선택합니다. 이 규칙이 자신의 계정에서 발생하는 이벤트와 일치하도록 하려면 **기본**을 선택합니다. 계정의 AWS 서비스가 이벤트를 출력하면 항상 계정의 기본 이벤트 버스로 이동합니다.
1. **규칙 유형**에서 **이벤트 패턴이 있는 규칙**을 선택합니다.
1. **다음**을 선택합니다.
1. **이벤트 소스**에서 **AWS 이벤트**를 선택합니다.
1. **이벤트 패턴**에서 **이벤트 패턴 양식**을 선택합니다.
1. **이벤트 소스**에서 **AWS 서비스**를 선택합니다.
1. **AWS 서비스를** 받으려면 **Security Hub**를 선택합니다.
1. **이벤트 유형**에서 다음 중 하나를 수행합니다.
+ 조사 결과를 사용자 지정 작업에 보낼 때 적용할 규칙을 생성하려면 **Security Hub 조사 결과 - 사용자 지정 작업**을 선택합니다.
+ 사용자 지정 작업에 인사이트 결과를 보낼 때 적용할 규칙을 생성하려면 **Security Hub Insight 결과**를 선택합니다.
1. **특정 사용자 지정 작업 ARN**을 선택하고 사용자 지정 작업 ARN을 추가합니다.
규칙이 여러 사용자 지정 작업에 적용되는 경우, **추가**를 선택하여 사용자 지정 작업 ARN을 더 추가합니다.
1. **다음**을 선택합니다.
1. **대상 선택**에서 이 규칙이 일치할 때 간접적으로 호출할 대상을 선택하고 구상합니다.
1. **다음**을 선택합니다.
1. (선택 사항)규칙에 대해 하나 이상의 태그를 입력하세요. 자세한 정보는 *Amazon EventBridge 사용 설명서*의 [Amazon EventBridge 태그](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html)를 참조하세요.
1. **다음**을 선택합니다.
1. 규칙의 세부 정보를 검토하고 **규칙 생성**을 선택합니다.
계정의 조사 결과 또는 인사이트 조사 결과에 대해 사용자 지정 작업을 수행하면 EventBridge에서 이벤트가 생성됩니다.
# 조사 결과 및 인사이트 조사 결과에 대한 사용자 지정 작업 선택
AWS Security Hub CSPM 사용자 지정 작업 및 Amazon EventBridge 규칙을 생성한 후 자동 관리 및 처리를 위해 조사 결과 및 인사이트 결과를 EventBridge로 전송할 수 있습니다.
이벤트는 해당 이벤트가 표시된 계정의 EventBridge에만 전송됩니다. 관리자 계정을 사용하여 조사 결과를 보는 경우, 이벤트는 관리자 계정으로 EventBridge에 전송됩니다.
AWS API 호출이 유효하려면 대상 코드 구현이 역할을 멤버 계정으로 전환해야 합니다. 이는 전환해야 하는 역할을 작업이 필요한 각 구성원에게 배포해야 함을 의미합니다.
**조사 결과를 EventBridge로 보내려면(콘솔)**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.
1. 조사 결과 목록 표시:
+ **조사 결과**에서 활성화된 모든 제품 통합 및 제어의 조사 결과를 볼 수 있습니다.
+ **보안 표준**에서는 선택한 제어에서 생성된 조사 결과 목록으로 이동할 수 있습니다. 자세한 내용은 [Security Hub CSPM에서 제어 세부 정보 검토](securityhub-standards-control-details.md) 섹션을 참조하세요.
+ **통합**에서는 활성화된 통합에 의해 생성된 조사 결과 목록으로 이동할 수 있습니다. 자세한 내용은 [Security Hub CSPM 통합에서 조사 결과 보기](securityhub-integration-view-findings.md) 섹션을 참조하세요.
+ **인사이트**에서는 일치하는 인사이트 조사 결과에 대한 조사 결과 목록으로 이동할 수 있습니다. 자세한 내용은 [Security Hub CSPM에서 인사이트 검토 및 조치](securityhub-insights-view-take-action.md) 섹션을 참조하세요.
1. EventBridge로 전송할 조사 결과를 선택합니다. 한 번에 최대 20개 조사 결과까지 선택할 수 있습니다.
1. **작업**에서 적용할 EventBridge 규칙과 일치하는 사용자 지정 작업을 선택하세요.
Security Hub CSPM은 각 조사 결과에 대해 별도의 **Security Hub CSPM 조사 결과 - 사용자 지정 작업** 이벤트를 전송합니다.
**인사이트 결과를 EventBridge로 보내려면(콘솔)**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.
1. 탐색 창에서 **인사이트**를 선택합니다.
1. **인사이트** 페이지에서 EventBridge에 보낼 결과가 포함된 인사이트을 선택합니다.
1. EventBridge로 전송할 인사이트 결과를 선택합니다. 한 번에 최대 20개 결과까지 선택할 수 있습니다.
1. **작업**에서 적용할 EventBridge 규칙과 일치하는 사용자 지정 작업을 선택하세요.