Usando ações personalizadas para enviar descobertas e resultados de insights para o EventBridge

Para usar as ações personalizadas do Security Hub para enviar descobertas ou resultados de insights para o EventBridge, primeiro crie a ação personalizada no Security Hub. Em seguida, defina regras no EventBridge que se apliquem às suas ações personalizadas.

É possível criar até 50 ações personalizadas.

Se você habilitou a agregação entre regiões e gerenciou as descobertas da região de agregação, crie ações personalizadas na região de agregação.

A regra no EventBridge usa o ARN da ação personalizada.

Criar uma ação personalizada (console)

Ao criar uma ação personalizada, especifique o nome, a descrição e um identificador exclusivo.

Para criar uma ação personalizada no Security Hub (console)

1. Abra o console do AWS Security Hub em https://console.aws.amazon.com/securityhub/.

2. No painel de navegação, escolha Settings (Configurações) e Custom actions (Ações personalizadas).

3. Escolha Create custom action (Criar ação personalizada).

4. Forneça um Name (Nome), uma Description (Descrição) e um Custom action ID (ID da ação personalizada) à ação.

   O Name (Nome) deve ter menos de 20 caracteres.

   O Custom action ID deve ser exclusivo para cada conta da AWS.

5. Escolha Create custom action (Criar ação personalizada).

6. Anote o Custom action ARN (ARN da ação personalizada). É necessário usar o ARN ao criar uma regra para associar a essa ação no EventBridge.

Criação de uma ação personalizada (API do Security Hub, AWS CLI)

Para criar uma ação personalizada, você pode usar uma chamada de API ou o AWS Command Line Interface.

Para criar uma ação personalizada (API do Security Hub, AWS CLI)

• API do Security Hub – use a operação API CreateActionTarget. Ao criar uma ação personalizada, você fornece o nome, a descrição e o identificador da ação personalizada.

• AWS CLI – na linha de comando, execute o comando create-action-target.

  create-action-target --name <customActionName> --description <customActionDescription> --id <customActionidentifier>

  Exemplo

  aws securityhub create-action-target --name "Send to remediation" --description "Action to send the finding for remediation tracking" --id "Remediation"

Definindo uma regra no EventBridge

Para processar a ação personalizada, você deve criar uma regra correspondente no EventBridge. A definição da regra inclui o ARN da ação personalizada.

O padrão de evento para um evento Security Hub Findings - Custom Action tem o seguinte formato:

{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Findings - Custom Action"
  ],
  "resources": [ "<custom action ARN>" ]
}

O padrão de evento para um evento Security Hub Insight Results tem o seguinte formato:

{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Insight Results"
  ],
  "resources": [ "<custom action ARN>" ]
}

Em ambos os padrões, <custom action ARN> é o ARN de uma ação personalizada. Você pode configurar uma regra que se aplique a mais de uma ação personalizada.

As instruções fornecidas aqui são para o console do EventBridge. Quando você usa o console, o EventBridge cria automaticamente a política baseada em recursos necessária que permite que o EventBridge grave para o CloudWatch logs.

Você também pode usar a operação PutRule da API da EventBridge. No entanto, se você usar a API do EventBridge, deverá criar a política baseada em recursos. Para obter detalhes sobre a política necessária, consulte as permissões do CloudWatch Logs no Guia do usuário do Amazon EventBridge.

Para definir uma regra no EventBridge

1. Abra o console Amazon EventBridge em https://console.aws.amazon.com/events/.

2. No painel de navegação, escolha Regras.

3. Selecione Criar regra.

4. Insira um nome e uma descrição para a regra.

5. Em Event bus, escolha o barramento de eventos que você deseja associar a essa regra. Se quiser que essa regra faça a correspondência com eventos provenientes da sua conta, selecione padrão. Quando um serviço da AWS em sua conta emite um evento, ele sempre vai para o barramento de eventos padrão da sua conta.

6. Em Rule type (Tipo de regra), selecione Rule with an event pattern (Regra com um padrão de evento).

7. Escolha Next (Próximo).

8. Em Origem de eventos, escolha Eventos da AWS.

9. Na seção Padrão de eventos, selecione Formulário de padrão de eventos.

10. Em Event source (Origem do evento), selecione AWS services (Serviços da ).

11. Para o AWSserviço, selecione Security Hub.

12. Em Event type (Tipo de evento), siga um destes procedimentos:

    • Para criar uma regra a ser aplicada ao enviar descobertas para uma ação personalizada, selecione Security Hub Findings - Custom Action.

    • Para criar uma regra a ser aplicada ao enviar os resultados do insight para uma ação personalizada, selecione Security Hub Insight Results.

13. Selecione ARNs de ações personalizadas específicas e adicione um ARN de ação personalizada.

    Se a regra se aplicar a várias ações personalizadas, selecione Adicionar para adicionar mais ARNs de ações personalizadas.

14. Escolha Next (Próximo).

15. Em Adicionar destino, selecione e configure destino a ser invocado quando essa regra for correspondida.

16. Escolha Next (Próximo).

17. (Opcional) Insira uma ou mais tags para a regra. Para mais informações, consulte Tags Amazon EventBridge em Guia de Usuário Amazon EventBridge.

18. Escolha Next (Próximo).

19. Analise os detalhes da regra e selecione Criar regra.

    Quando você executa uma ação personalizada em descobertas ou resultados de insights em sua conta, são gerados eventos no EventBridge.

Seleção de uma ação personalizada para descobertas e resultados de insights

Depois que você criar suas ações personalizadas do SecurityHub e as regras do EventBridge, você poderá enviar descobertas e resultados de insights ao EventBright para obter gerenciamento e processamento adicionais.

Os eventos são enviados ao EventBridge somente na conta em que são visualizados. Se você visualizar uma descoberta usando uma conta de administrador, o evento será enviado para a EventBridge na conta do administrador.

Para que as chamadas de API da AWS sejam eficazes, as implementações do código de destino devem mudar de função para contas de membro. Isso também significa que a função para a qual você muda deve ser distribuída a cada membro onde uma ação for necessária.

Para enviar descobertas para a EventBridge

1. Abra o console do AWS Security Hub em https://console.aws.amazon.com/securityhub/.

2. Exiba uma lista das descobertas:

   • Em Descobertas, você pode visualizar as descobertas de todas as integrações e controles de produtos habilitados.

   • Em Padrões de segurança, você pode navegar até uma lista de descobertas geradas a partir de um controle selecionado. Consulte Visualizar detalhes de controles.

   • Em Integrações, você pode navegar até uma lista de descobertas geradas por uma integração habilitada. Consulte Visualizar as descobertas de uma integração.

   • Em Insights, você pode navegar até uma lista de descobertas para um resultado de insight. Consulte Visualizar e tomar medidas em resultados e descobertas de insight.

3. Selecione as descobertas para enviar ao EventBridge É possível selecionar até 20 descobertas por vez.

4. Em Ações, selecione a ação personalizada que se alinha à regra do EventBridge a ser aplicada.

   O Security Hub envia um evento separado Security Hub Findings - Custom Action para cada descoberta.

Para enviar resultados de insights para o EventBridge

1. Abra o console do AWS Security Hub em https://console.aws.amazon.com/securityhub/.

2. No painel de navegação, escolha Insights.

3. Na página Insights, selecione o insight que inclui os resultados para enviar ao EventBridge.

4. Selecione os resultados do insight a serem enviados ao EventBridge. Você pode selecionar até 20 descobertas por vez.

5. Em Ações, selecione a ação personalizada que se alinha à regra do EventBridge a ser aplicada.