Usando ações personalizadas para enviar descobertas e resultados de insights para EventBridge - Security Hub da AWS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando ações personalizadas para enviar descobertas e resultados de insights para EventBridge

Para usar as ações personalizadas do Security Hub para enviar descobertas ou resultados de insights EventBridge, primeiro crie a ação personalizada no Security Hub. Em seguida, defina a regra em EventBridge.

É possível criar até 50 ações personalizadas.

Se você ativou a agregação entre regiões e gerenciou as descobertas da região de agregação, crie ações personalizadas na região de agregação.

A regra em EventBridge usa o ARN da ação personalizada.

Criar uma ação personalizada (console)

Ao criar uma ação personalizada, especifique o nome, a descrição e um identificador exclusivo.

Para criar uma ação personalizada no Security Hub (console)
  1. Abra o console doAWS Security Hub em https://console.aws.amazon.com/securityhub/.

  2. No painel de navegação, escolha Settings (Configurações) e Custom actions (Ações personalizadas).

  3. Escolha Create custom action (Criar ação personalizada).

  4. Forneça um Name (Nome), uma Description (Descrição) e um Custom action ID (ID da ação personalizada) à ação.

    O Name (Nome) deve ter menos de 20 caracteres.

    O ID de ação personalizado deve ser exclusivo para cadaAWS conta.

  5. Escolha Create custom action (Criar ação personalizada).

  6. Anote o Custom action ARN (ARN da ação personalizada). É necessário usar o ARN ao criar uma regra para associar a essa ação no EventBridge.

Criação de uma ação personalizada (API do Security HubAWS CLI)

Para criar uma ação personalizada, você pode usar uma chamada de API ouAWS Command Line Interface o.

Para criar uma ação personalizada (API do Security HubAWS CLI)
  • API do Security Hub — Use a CreateActionTargetoperação. Ao criar uma ação personalizada, você fornece o nome, a descrição e o identificador da ação personalizada.

  • AWS CLI— Na linha de comando, execute o create-action-targetcomando.

    create-action-target --name <customActionName> --description <customActionDescription> --id <customActionidentifier>

    Exemplo

    aws securityhub create-action-target --name "Send to remediation" --description "Action to send the finding for remediation tracking" --id "Remediation"

Definindo uma regra em EventBridge

Para processar a ação personalizada, você deve criar uma regra correspondente em EventBridge. A definição da regra inclui o ARN da ação personalizada.

O padrão de evento para um evento Security Hub Findings - Custom Action tem o seguinte formato:

{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Custom Action" ], "resources": [ "<custom action ARN>" ] }

O padrão de evento para um evento do Security Hub Insight Results tem o seguinte formato:

{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Insight Results" ], "resources": [ "<custom action ARN>" ] }

Em ambos os padrões,<custom action ARN> é o ARN de uma ação personalizada. Você pode configurar uma regra que se aplique a mais de uma ação personalizada.

As instruções fornecidas aqui são para o EventBridge console. Quando você usa o console, cria EventBridge automaticamente a política baseada em recursos necessária que EventBridge permite gravar em CloudWatch registros.

Você também pode usar a PutRuleoperação de EventBridge API da API. No entanto, se você usar a EventBridge API, deverá criar a política baseada em recursos. Para obter detalhes sobre a política necessária, consulte Permissões deCloudWatch registros no Guia EventBridge do usuário da Amazon.

Para definir uma regra no EventBridge
  1. Abra o EventBridge console da Amazon em https://console.aws.amazon.com/events/.

  2. No painel de navegação, escolha Rules (Regras).

  3. Escolha Create rule (Criar regra).

  4. Insira um nome e uma descrição para a regra.

  5. Em Event bus (Barramento de eventos), escolha o barramento de eventos que você deseja associar a essa regra. Se você quiser que essa regra corresponda a eventos provenientes da sua própria conta, selecione default (padrão). Quando um serviço da AWS em sua conta emite um evento, ele sempre vai para o barramento de eventos padrão da sua conta.

  6. Em Rule type (Tipo de regra), escolha Rule with an event pattern (Regra com um padrão de evento).

  7. Escolha Next (Próximo).

  8. Em Origem do evento, escolha AWSeventos.

  9. Em Padrão de evento, escolha Formulário de padrão de evento.

  10. Em Event source (Origem do evento), escolha AWS services (Serviços da ).

  11. Para AWSserviços, escolha Security Hub.

  12. Em Event type (Tipo de evento), siga um destes procedimentos:

    • Para criar uma regra a ser aplicada ao enviar descobertas para uma ação personalizada, escolha Descobertas do Security Hub - Ação personalizada.

    • Para criar uma regra a ser aplicada ao enviar resultados de insights para uma ação personalizada, escolha Security Hub Insight Results.

  13. Escolha ARNs de ação personalizada específicos, adicione um ARN de ação personalizado.

    Se a regra se aplicar a várias ações personalizadas, escolha Adicionar para adicionar mais ARNs de ações personalizadas.

  14. Escolha Next (Próximo).

  15. Em Selecionar destinos, escolha e configure o destino a ser invocado quando essa regra for correspondida.

  16. Escolha Next (Próximo).

  17. (Opcional) Insira uma ou mais tags para a regra. Para obter mais informações, consulte as EventBridgetags da Amazon no Guia EventBridge do usuário da Amazon.

  18. Escolha Next (Próximo).

  19. Analise os detalhes da regra e escolha Create rule (Criar regra).

    Quando você executa uma ação personalizada sobre descobertas ou resultados de insights em sua conta, os eventos são gerados em EventBridge.

Seleção de uma ação personalizada para descobertas e resultados de insights

Depois de criar suas ações e EventBridge regras personalizadas do Security Hub, você pode enviar descobertas e resultados de insights EventBridge para gerenciamento e processamento adicionais.

Os eventos são enviados EventBridge somente para a conta em que são visualizados. Se você visualizar uma descoberta usando uma conta de administrador, o evento será enviado para EventBridge a conta do administrador.

Para que as chamadas deAWS API sejam efetivas, as implementações do código-alvo devem mudar as funções para as contas dos membros. Isso também significa que a função para a qual você muda deve ser implantada em cada membro em que uma ação é necessária.

Para enviar descobertas para EventBridge
  1. Abra o console doAWS Security Hub em https://console.aws.amazon.com/securityhub/.

  2. Exibir uma lista de descobertas:

  3. Selecione as descobertas para as quais enviar EventBridge. É possível selecionar até 20 descobertas por vez.

  4. Em Ações, escolha a ação personalizada que se alinha com a EventBridge regra a ser aplicada.

    O Security Hub envia um evento separado de descobertas do Security Hub - Ação personalizada para cada descoberta.

Para enviar resultados de insights para EventBridge
  1. Abra o console doAWS Security Hub em https://console.aws.amazon.com/securityhub/.

  2. No painel de navegação, escolha Insights.

  3. Na página Insights, escolha o insight que inclui os resultados para os quais enviar EventBridge.

  4. Selecione os resultados do insight para os quais deseja enviar EventBridge. Você pode selecionar até 20 resultados por vez.

  5. Em Ações, escolha a ação personalizada que se alinha com a EventBridge regra a ser aplicada.