사용자 지정 작업을 사용하여 결과 및 인사이트 결과를 EventBridge로 전송 - AWS Security Hub
사용자 지정 작업 생성(콘솔)사용자 지정 작업 생성(Security Hub API, AWS CLI)EventBridge에서의 규칙 정의조사 결과 및 인사이트 결과에 대한 사용자 지정 작업 선택

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

사용자 지정 작업을 사용하여 결과 및 인사이트 결과를 EventBridge로 전송

Security Hub 사용자 지정 작업을 사용하여 결과 또는 인사이트 결과를 EventBridge로 보내려면 먼저 Security Hub에서 사용자 지정 작업을 생성해야 합니다. 그런 다음 사용자 지정 작업에 적용되는 규칙을 EventBridge에서 정의하십시오.

최대 50개의 사용자 지정 작업을 생성할 수 있습니다.

크로스 리전 집계 활성화를 활성화하고 집계 영역의 결과를 관리하는 경우 집계 영역에서 사용자 지정 작업을 생성하십시오.

EventBridge의 규칙은 사용자 지정 작업의 ARN을 사용합니다.

사용자 지정 작업 생성(콘솔)

사용자 지정 작업을 생성할 때 이름, 설명, 고유 식별자를 지정합니다.

Security Hub(콘솔)에서 사용자 지정 작업을 생성하려면

  1. https://console.aws.amazon.com/securityhub/에서 AWS Security Hub 콘솔을 엽니다.

  2. 탐색 창에서 설정을 선택한 다음 Custom actions(사용자 지정 작업)를 선택합니다.

  3. Create custom action(사용자 지정 작업 생성)을 선택하십시오.

  4. 작업에 대한 이름, 설명Custom action ID(사용자 지정 작업 ID)를 입력하십시오.

    이름은 20자 미만이어야 합니다.

    Custom action ID(사용자 지정 작업 ID)는 각 AWS 계정에 대해 고유해야 합니다.

  5. Create custom action(사용자 지정 작업 생성)을 선택하십시오.

  6. 사용자 지정 작업 ARN을 기록해 둡니다. EventBridge에서 이 작업과 연결할 규칙을 생성할 때 ARN을 사용해야 합니다.

사용자 지정 작업 생성(Security Hub API, AWS CLI)

사용자 지정 작업을 생성하려면 API 직접 호출 또는 AWS Command Line Interface을 사용할 수 있습니다.

사용자 지정 작업(Security Hub API, AWS CLI)을 생성하려면

  • Security Hub API - CreateActionTarget 작업을 사용합니다. 사용자 지정 작업을 생성할 때 이름, 설명 및 사용자 지정 작업 식별자를 제공합니다.

  • AWS CLI – 명령줄에서 create-action-target 명령을 실행합니다.

    create-action-target --name <customActionName> --description <customActionDescription> --id <customActionidentifier>

    aws securityhub create-action-target --name "Send to remediation" --description "Action to send the finding for remediation tracking" --id "Remediation"

EventBridge에서의 규칙 정의

사용자 지정 작업을 처리하려면 EventBridge 내에 해당 규칙을 생성해야 합니다. 규칙 정의에는 사용자 지정 작업의 ARN이 포함됩니다.

Security Hub 조사 결과 - 사용자 지정 작업 이벤트의 이벤트 패턴은 다음과 같은 형식입니다.

{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Findings - Custom Action"
  ],
  "resources": [ "<custom action ARN>" ]
}

Security Hub 인사이트 결과 이벤트의 이벤트 패턴은 다음과 같은 형식입니다.

{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Insight Results"
  ],
  "resources": [ "<custom action ARN>" ]
}

두 패턴 모두 <custom action ARN>이 사용자 지정 작업의 ARN입니다. 둘 이상의 사용자 지정 작업에 적용되는 규칙을 구성할 수 있습니다.

여기에 제공된 지침은 EventBridge 콘솔을 위한 것입니다. 콘솔을 사용하면 EventBridge는 EventBridge가 CloudWatch Logs에 기록할 수 있도록 필요한 리소스 기반 정책을 자동으로 생성합니다.

EventBridge API의 PutRule API 작업을 사용할 수도 있습니다. 하지만 EventBridge API를 사용하는 경우 리소스 기반 정책을 생성해야 합니다. 필수 정책에 대한 자세한 내용은 Amazon EventBridge 사용 설명서CloudWatch Logs 권한을 참조하세요.

EventBridge에서 규칙을 정의하려면

  1. https://console.aws.amazon.com/events/에서 Amazon EventBridge 콘솔을 엽니다.

  2. 탐색 창에서 규칙을 선택합니다.

  3. 규칙 생성을 선택합니다.

  4. 규칙에 대해 이름과 설명을 입력하세요.

  5. 이벤트 버스에서 이 규칙과 연결할 이벤트 버스를 선택합니다. 이 규칙이 자신의 계정에서 발생하는 이벤트와 일치하도록 하려면 기본을 선택합니다. 계정의 AWS 서비스가 이벤트를 출력하면 항상 계정의 기본 이벤트 버스로 이동합니다.

  6. 규칙 유형에서 이벤트 패턴이 있는 규칙을 선택합니다.

  7. 다음을 선택합니다.

  8. 이벤트 소스(Event source)에서 AWS 이벤트( events)를 선택합니다.

  9. 이벤트 패턴에서 이벤트 패턴 양식을 선택합니다.

  10. 이벤트 소스에서 AWS 서비스를 선택합니다.

  11. AWS 서비스를 받으려면 Security Hub를 선택합니다.

  12. 이벤트 유형(Event type)에서 다음 중 하나를 수행합니다.

    • 조사 결과를 사용자 지정 작업에 보낼 때 적용할 규칙을 생성하려면 Security Hub 조사 결과 - 사용자 지정 작업을 선택합니다.

    • 사용자 지정 작업에 인사이트 결과를 보낼 때 적용할 규칙을 생성하려면 Security Hub Insight 결과를 선택합니다.

  13. 특정 사용자 지정 작업 ARN을 선택하고 사용자 지정 작업 ARN을 추가합니다.

    규칙이 여러 사용자 지정 작업에 적용되는 경우 추가를 선택하여 사용자 지정 작업 ARN을 더 추가합니다.

  14. 다음을 선택합니다.

  15. 대상 선택에서 이 규칙이 일치할 때 간접적으로 호출할 대상을 선택하고 구상합니다.

  16. 다음을 선택합니다.

  17. (선택 사항)규칙에 대해 하나 이상의 태그를 입력하세요. 자세한 정보는 Amazon EventBridge 사용 설명서Amazon EventBridge 태그를 참조하세요.

  18. 다음을 선택합니다.

  19. 규칙의 세부 정보를 검토하고 규칙 생성을 선택합니다.

    계정의 조사 결과 또는 인사이트 결과에 대해 사용자 지정 작업을 수행하면 EventBridge에서 이벤트가 생성됩니다.

조사 결과 및 인사이트 결과에 대한 사용자 지정 작업 선택

Security Hub 사용자 지정 작업 및 EventBridge 규칙을 생성한 후에는 추가 관리 및 처리를 위한 결과와 인사이트 결과를 EventBridge에 보낼 수 있습니다.

이벤트는 해당 이벤트가 표시된 계정의 EventBridge에만 전송됩니다. 관리자 계정을 사용하여 결과를 보는 경우 이벤트는 관리자 계정으로 EventBridge에 전송됩니다.

AWS API 직접 호출을 적용하려면 대상 코드 구현이 역할을 멤버 계정으로 전환해야 합니다. 이는 전환해야 하는 역할을 작업이 필요한 각 구성원에게 배포해야 함을 의미합니다.

결과를 EventBridge로 보내려면

  1. https://console.aws.amazon.com/securityhub/에서 AWS Security Hub 콘솔을 엽니다.

  2. 결과 목록 표시:

    • 조사 결과에서 활성화된 모든 제품 통합 및 제어의 결과를 볼 수 있습니다.

    • Security standards(보안 표준)에서는 선택한 컨트롤에서 생성된 결과 목록으로 이동할 수 있습니다. 제어에 대한 세부 정보 보기를 참조하세요.

    • Integrations(통합)에서는 활성화된 통합에 의해 생성된 결과 목록으로 이동할 수 있습니다. 통합에서 조사 결과 보기를 참조하세요.

    • Insights(인사이트)에서는 일치하는 인사이트 결과에 대한 결과 목록으로 이동할 수 있습니다. 인사이트 결과 및 조사 결과 보기 및 조치 수행를 참조하세요.

  3. EventBridge로 전송할 결과를 선택합니다. 한 번에 최대 20개 결과까지 선택할 수 있습니다.

  4. 작업에서 적용할 EventBridge 규칙과 일치하는 사용자 지정 작업을 선택하십시오.

    Security Hub는 각 조사 결과에 대해 별도의 Security Hub 조사 결과 - 사용자 지정 작업 이벤트를 보냅니다.

인사이트 결과를 EventBridge로 보내려면

  1. https://console.aws.amazon.com/securityhub/에서 AWS Security Hub 콘솔을 엽니다.

  2. 탐색 창에서 Insights를 선택합니다.

  3. Insights(통찰력) 페이지에서 EventBridge에 보낼 결과가 포함된 통찰력을 선택합니다.

  4. EventBridge로 전송할 인사이트 결과를 선택합니다. 한 번에 최대 20개 결과까지 선택할 수 있습니다.

  5. 작업에서 적용할 EventBridge 규칙과 일치하는 사용자 지정 작업을 선택하십시오.