Usando ações personalizadas para enviar descobertas e resultados de insights para EventBridge

Para usar ações personalizadas do Security Hub para enviar descobertas ou resultados de insightsEventBridge, primeiro crie a ação personalizada no Security Hub. Em seguida, defina regras EventBridge que se apliquem às suas ações personalizadas.

Você pode criar até 50 ações personalizadas.

Se você habilitou a agregação entre regiões e gerenciou descobertas da região de agregação, crie ações personalizadas na região de agregação.

A regra no EventBridge usa o ARN da ação personalizada.

Criação de uma ação personalizada (console)

Ao criar uma ação personalizada, você especifica o nome, a descrição e um identificador exclusivo.

Para criar uma ação personalizada no Security Hub (console)

1. Abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/.

2. No painel de navegação, escolha Settings (Configurações) e Custom actions (Ações personalizadas).

3. Escolha Create custom action (Criar ação personalizada).

4. Forneça um Name (Nome), uma Description (Descrição) e um Custom action ID (ID da ação personalizada) à ação.

   O Name (Nome) deve ter menos de 20 caracteres.

   O ID da ação personalizada deve ser exclusivo para cada AWS conta.

5. Escolha Create custom action (Criar ação personalizada).

6. Anote o Custom action ARN (ARN da ação personalizada). É necessário usar o ARN ao criar uma regra para associar a essa ação no EventBridge.

Criação de uma ação personalizada (API do Security Hub,AWS CLI)

Para criar uma ação personalizada, você pode usar uma chamada de API ou AWS Command Line Interface o.

Para criar uma ação personalizada (API do Security Hub,AWS CLI)

• API do Security Hub — Use a CreateActionTargetoperação. Ao criar uma ação personalizada, você fornece o nome, a descrição e o identificador da ação personalizada.

• AWS CLI— Na linha de comando, execute o create-action-targetcomando.

  create-action-target --name <customActionName> --description <customActionDescription> --id <customActionidentifier>

  Exemplo

  aws securityhub create-action-target --name "Send to remediation" --description "Action to send the finding for remediation tracking" --id "Remediation"

Definindo uma regra em EventBridge

Para processar a ação personalizada, você deve criar uma regra correspondente emEventBridge. A definição da regra inclui o ARN da ação personalizada.

O padrão de evento para um evento Security Hub Findings - Custom Action tem o seguinte formato:

{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Findings - Custom Action"
  ],
  "resources": [ "<custom action ARN>" ]
}

O padrão de evento para um evento do Security Hub Insight Results tem o seguinte formato:

{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Insight Results"
  ],
  "resources": [ "<custom action ARN>" ]
}

Em ambos os padrões, <custom action ARN> é o ARN de uma ação personalizada. Você pode configurar uma regra que se aplica a mais de uma ação personalizada.

As instruções fornecidas aqui são para o EventBridge console. Quando você usa o console, cria EventBridge automaticamente a política baseada em recursos necessária que permite EventBridge gravar CloudWatch nos registros.

Você também pode usar a PutRuleoperação da EventBridge API. No entanto, se você usar a EventBridge API, deverá criar a política baseada em recursos. Para obter detalhes sobre a política necessária, consulte Permissões de CloudWatch registros no Guia EventBridge do usuário da Amazon.

Para definir uma regra no EventBridge

1. Abra o EventBridge console da Amazon em https://console.aws.amazon.com/events/.

2. No painel de navegação, escolha Rules (Regras).

3. Escolha Create rule (Criar regra).

4. Insira um nome e uma descrição para a regra.

5. Em Event bus (Barramento de eventos), escolha o barramento de eventos que você deseja associar a essa regra. Se você quiser que essa regra corresponda aos eventos que vêm da sua conta, selecione padrão. Quando um serviço da AWS em sua conta emite um evento, ele sempre vai para o barramento de eventos padrão da sua conta.

6. Em Rule type (Tipo de regra), escolha Rule with an event pattern (Regra com um padrão de evento).

7. Escolha Próximo.

8. Em Origem de eventos, escolha Eventos da AWS.

9. Em Padrão de evento, escolha Formulário de padrão de evento.

10. Em Event source (Origem do evento), escolha AWS services (Serviços da ).

11. Para AWSserviços, escolha Security Hub.

12. Em Event type (Tipo de evento), siga um destes procedimentos:

    • Para criar uma regra a ser aplicada ao enviar descobertas para uma ação personalizada, escolha Descobertas do Security Hub - Ação personalizada.

    • Para criar uma regra a ser aplicada ao enviar resultados de insights para uma ação personalizada, escolha Security Hub Insight Results.

13. Escolha ARNs de ação personalizada específicos, adicione um ARN de ação personalizado.

    Se a regra se aplicar a várias ações personalizadas, escolha Adicionar para adicionar mais ARNs de ações personalizadas.

14. Escolha Próximo.

15. Em Selecionar destinos, escolha e configure o alvo a ser invocado quando essa regra for correspondida.

16. Escolha Próximo.

17. (Opcional) Insira uma ou mais tags para a regra. Para obter mais informações, consulte as EventBridgetags da Amazon no Guia EventBridge do usuário da Amazon.

18. Escolha Próximo.

19. Analise os detalhes da regra e escolha Create rule (Criar regra).

    Quando você executa uma ação personalizada sobre descobertas ou resultados de insights em sua conta, os eventos são gerados emEventBridge.

Selecionar uma ação personalizada para descobertas e resultados de insights

Depois de criar suas ações e EventBridge regras personalizadas do Security Hub, você pode enviar descobertas e resultados de insights EventBridge para gerenciamento e processamento adicionais.

Os eventos são enviados ao EventBridge somente na conta em que são visualizados. Se você visualizar uma descoberta usando uma conta de administrador, o evento será enviado para EventBridge a conta do administrador.

Para que as chamadas de AWS API sejam efetivas, as implementações do código-alvo devem mudar as funções para as contas dos membros. Isso também significa que a função para a qual você muda deve ser distribuída para cada membro onde a ação é necessária.

Como enviar descobertas ao EventBridge

1. Abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/.

2. Exiba uma lista de descobertas:

   • Em Findings, você pode ver as descobertas de todas as integrações e controles de produtos ativados.

   • Em Padrões de segurança, você pode navegar até uma lista de descobertas geradas a partir de um controle selecionado. Consulte Exibindo detalhes de um controle.

   • Em Integrações, você pode navegar até uma lista de descobertas geradas por uma integração ativada. Consulte Visualizar as descobertas de uma integração.

   • Em Insights, você pode navegar até uma lista de descobertas para obter um resultado de insights. Consulte Visualizar e tomar medidas em resultados e descobertas de insight.

3. Selecione as descobertas para as quais enviarEventBridge. É possível selecionar até 20 descobertas por vez.

4. Em Ações, escolha a ação personalizada que se alinha à EventBridge regra a ser aplicada.

   O Security Hub envia um evento separado do Security Hub Findings - Custom Action para cada descoberta.

Como enviar resultados de insights para o EventBridge

1. Abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/.

2. No painel de navegação, escolha Insights.

3. Na página Insights, escolha o insight que inclui os resultados para os quais enviarEventBridge.

4. Selecione os resultados do insight para os quais enviarEventBridge. Você pode selecionar até 20 resultados por vez.

5. Em Ações, escolha a ação personalizada que se alinha à EventBridge regra a ser aplicada.