Usando ações personalizadas para enviar descobertas e resultados de insights para EventBridge - AWS Security Hub

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando ações personalizadas para enviar descobertas e resultados de insights para EventBridge

Para usar as ações personalizadas do Security Hub para enviar descobertas ou resultados de insights EventBridge, primeiro crie a ação personalizada no Security Hub. Em seguida, você pode definir regras EventBridge que se apliquem às suas ações personalizadas.

É possível criar até 50 ações personalizadas.

Se você habilitou a agregação entre regiões e gerenciou as descobertas da região de agregação, crie ações personalizadas na região de agregação.

A regra em EventBridge usa o Amazon Resource Name (ARN) da ação personalizada.

Criação de uma ação personalizada

Ao criar uma ação personalizada, você especifica seu nome, descrição e um identificador exclusivo.

Escolha seu método preferido e siga as etapas para criar uma ação personalizada.

Console
Para criar uma ação personalizada no Security Hub (console)
  1. Abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/.

  2. No painel de navegação, escolha Settings (Configurações) e Custom actions (Ações personalizadas).

  3. Escolha Create custom action (Criar ação personalizada).

  4. Forneça um Name (Nome), uma Description (Descrição) e um Custom action ID (ID da ação personalizada) à ação.

    O Name (Nome) deve ter menos de 20 caracteres.

    O Custom action ID deve ser exclusivo para cada conta da AWS .

  5. Escolha Create custom action (Criar ação personalizada).

  6. Anote a ação personalizada ARN. Você precisa usar o ARN ao criar uma regra para se associar a essa ação em EventBridge.

API

Para criar uma ação personalizada (API)

Use a CreateActionTargetoperação. Se você estiver usando o AWS CLI, execute o create-action-targetcomando.

O exemplo a seguir cria uma ação personalizada para enviar descobertas para uma ferramenta de remediação. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\)” para melhorar a legibilidade.

$ aws securityhub create-action-target --name "Send to remediation" --description "Action to send the finding for remediation tracking" --id "Remediation"

Definindo uma regra em EventBridge

Para processar a ação personalizada, você deve criar uma regra correspondente em EventBridge. A definição da regra inclui a ARN da ação personalizada.

O padrão de evento para um evento Security Hub Findings - Custom Action tem o seguinte formato:

{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Custom Action" ], "resources": [ "<custom action ARN>" ] }

O padrão de evento para um evento Security Hub Insight Results tem o seguinte formato:

{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Insight Results" ], "resources": [ "<custom action ARN>" ] }

Em ambos os padrões, <custom action ARN> é a ARN de uma ação personalizada. Você pode configurar uma regra que se aplique a mais de uma ação personalizada.

As instruções fornecidas aqui são para o EventBridge console. Quando você usa o console, cria EventBridge automaticamente a política baseada em recursos necessária que permite EventBridge gravar CloudWatch em registros.

Você também pode usar a PutRuleAPIoperação do EventBridge API. No entanto, se você usar o EventBridge API, deverá criar a política baseada em recursos. Para obter detalhes sobre a política necessária, consulte Permissões de CloudWatch registros no Guia EventBridge do usuário da Amazon.

Para definir uma regra em EventBridge (EventBridge console)
  1. Abra o EventBridge console da Amazon em https://console.aws.amazon.com/events/.

  2. No painel de navegação, escolha Regras.

  3. Escolha Create rule.

  4. Insira um nome e uma descrição para a regra.

  5. Em Barramento de Eventos, escolha o barramento de eventos que você deseja associar a essa regra. Se quiser que essa regra faça a correspondência com eventos provenientes da sua conta, selecione padrão. Quando um serviço da AWS em sua conta emite um evento, ele sempre vai para o barramento de eventos padrão da sua conta.

  6. Em Tipo de Regra, escolha Regra com Padrão de Evento.

  7. Escolha Próximo.

  8. Em Origem de eventos, escolha Eventos da AWS .

  9. Em Padrão de evento, selecione Formulário de padrão de evento.

  10. Em Fonte do evento, selecione Serviços da AWS .

  11. Para o AWS serviço, selecione Security Hub.

  12. Em Event type (Tipo de evento), siga um destes procedimentos:

    • Para criar uma regra a ser aplicada ao enviar descobertas para uma ação personalizada, selecione Security Hub Findings - Custom Action.

    • Para criar uma regra a ser aplicada ao enviar os resultados do insight para uma ação personalizada, selecione Security Hub Insight Results.

  13. Escolha Ação personalizada específica ARNs e adicione uma ação personalizadaARN.

    Se a regra se aplicar a várias ações personalizadas, escolha Adicionar para adicionar mais ações personalizadasARNs.

  14. Escolha Próximo.

  15. Em Adicionar destino, selecione e configure destino a ser invocado quando essa regra for correspondida.

  16. Escolha Próximo.

  17. (Opcional) Insira uma ou mais tags para a regra. Para obter mais informações, consulte as EventBridge tags da Amazon no Guia EventBridge do usuário da Amazon.

  18. Escolha Próximo.

  19. Analise os detalhes da regra e selecione Criar regra.

    Quando você executa uma ação personalizada sobre descobertas ou resultados de insights em sua conta, os eventos são gerados em EventBridge.

Seleção de uma ação personalizada para descobertas e resultados de insights

Depois de criar suas ações e EventBridge regras personalizadas do Security Hub, você pode enviar descobertas e resultados de insights EventBridge para gerenciamento e processamento adicionais.

Os eventos são enviados EventBridge somente para a conta em que são visualizados. Se você visualizar uma descoberta usando uma conta de administrador, o evento será enviado para EventBridge a conta do administrador.

Para que AWS API as chamadas sejam eficazes, as implementações do código-alvo devem mudar as funções para as contas dos membros. Isso também significa que a função para a qual você muda deve ser distribuída a cada membro onde uma ação for necessária.

Para enviar descobertas para EventBridge (console)
  1. Abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/.

  2. Exiba uma lista das descobertas:

  3. Selecione as descobertas para as quais enviar EventBridge. É possível selecionar até 20 descobertas por vez.

  4. Em Ações, escolha a ação personalizada que se alinha à EventBridge regra a ser aplicada.

    O Security Hub envia um evento separado Security Hub Findings - Custom Action para cada descoberta.

Para enviar resultados de insights para EventBridge (console)
  1. Abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/.

  2. No painel de navegação, escolha Insights.

  3. Na página Insights, escolha o insight que inclui os resultados para os quais enviar EventBridge.

  4. Selecione os resultados do insight para os quais enviar EventBridge. Você pode selecionar até 20 descobertas por vez.

  5. Em Ações, escolha a ação personalizada que se alinha à EventBridge regra a ser aplicada.