Usar o EventBridge para resposta e correção automatizada - AWS Security Hub

Usar o EventBridge para resposta e correção automatizada

Com a criação de regras no Amazon EventBridge, é possível responder automaticamente às descobertas do CSPM do AWS Security Hub. O CSPM do Security Hub envia descobertas como eventos ao EventBridge quase em tempo real. É possível escrever regras simples para indicar em quais eventos você está interessado e quais ações automatizadas devem ser executadas quando um evento corresponder a uma regra. As ações que podem ser automaticamente acionadas incluem as seguintes:

  • Invocar uma função do AWS Lambda

  • Invocação do comando de execução do Amazon EC2

  • Transmitir o evento Amazon Kinesis Data Streams

  • Ativação de uma máquina de estado do AWS Step Functions

  • Notificar um tópico do Amazon SNS ou uma fila do Amazon SQS

  • Enviar uma descoberta para uma ferramenta criação de tíquetes, chat, SIEM ou gerenciamento e resposta a incidentes de terceiros

O CSPM do Security Hub envia automaticamente todas as novas descobertas e todas as atualizações das descobertas existentes para o EventBridge como eventos. Também é possível criar ações personalizadas que permitem enviar descobertas selecionadas e resultados de insights para o EventBridge.

Em seguida, você configura as regras do EventBridge para responder a cada tipo de evento.

Para obter mais informações sobre como usar o EventBridge, consulte o Guia do usuário do Amazon EventBridge.

nota

Como prática recomendada, certifique-se de que as permissões concedidas aos usuários para acessar o EventBridge usem as políticas do AWS Identity and Access Management (IAM) com privilégio mínimo que concedem somente as permissões necessárias.

Para obter mais informações, consulte Gerenciamento de identidade e acesso no Amazon EventBridge..

Um conjunto de modelos para resposta e correção automatizadas entre contas também está disponível em Soluções AWS. Os modelos utilizam as regras de eventos do EventBridge e as funções do Lambda. Você implanta a solução usando CloudFormation e AWS Systems Manager. A solução pode criar ações de resposta e correção totalmente automatizadas. Ela também pode usar ações personalizadas do CSPM do Security Hub para criar ações de resposta e correção acionadas pelo usuário. Para obter detalhes sobre como configurar e usar a solução, consulte a página Resposta de segurança automatizada em AWS.

Tópicos