Formatos de eventos do EventBridge para o Security Hub - AWS Security Hub
Security Hub Findings - ImportedSecurity Hub Findings - Custom ActionSecurity Hub Insight Results

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Formatos de eventos do EventBridge para o Security Hub

Os tipos de eventos Security Hub Findings - Imported, Security Findings - Custom Action, e Security Hub Insight Results usam os formatos de evento a seguir.

O formato do evento é aquele usado quando o Security Hub envia um evento para o EventBridge.

Security Hub Findings - Imported

Security Hub Findings - Imported os eventos enviados do Security Hub para o EventBridge usam o seguinte formato.

{
   "version":"0",
   "id":"CWE-event-id",
   "detail-type":"Security Hub Findings - Imported",
   "source":"aws.securityhub",
   "account":"111122223333",
   "time":"2019-04-11T21:52:17Z",
   "region":"us-west-2",
   "resources":[
      "arn:aws:securityhub:us-west-2::product/aws/macie/arn:aws:macie:us-west-2:111122223333:integtest/trigger/6294d71b927c41cbab915159a8f326a3/alert/f2893b211841"
   ],
   "detail":{
      "findings": [{
         <finding content>
       }]
   }
}

<finding content> é o conteúdo, no formato JSON, da descoberta enviada pelo evento. Cada evento envia uma única descoberta.

Para obter uma lista completa de atributos de descoberta, consulte AWS Formato de descoberta de segurança (ASFF).

Para obter informações sobre como configurar as regras do EventBridge que são acionadas por esses eventos, consulte Configurar uma regra do EventBridge para enviar descobertas automaticamente .

Security Hub Findings - Custom Action

Security Hub Findings - Custom Action os eventos enviados do Security Hub para o EventBridge usam o seguinte formato. Cada descoberta é enviada em um evento separado.

{
  "version": "0",
  "id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
  "detail-type": "Security Hub Findings - Custom Action",
  "source": "aws.securityhub",
  "account": "111122223333",
  "time": "2019-04-11T18:43:48Z",
  "region": "us-west-1",
  "resources": [
    "arn:aws:securityhub:us-west-1:111122223333:action/custom/custom-action-name"
  ],
  "detail": {
    "actionName":"custom-action-name",
    "actionDescription": "description of the action",
    "findings": [
      {
        <finding content>
      }
    ]
  }
}

<finding content> é o conteúdo, no formato JSON, da descoberta enviada pelo evento. Cada evento envia uma única descoberta.

Para obter uma lista completa de atributos de descoberta, consulte AWS Formato de descoberta de segurança (ASFF).

Para obter informações sobre como configurar as regras do EventBridge que são acionadas por esses eventos, consulte Usando ações personalizadas para enviar descobertas e resultados de insights para o EventBridge.

Security Hub Insight Results

Security Hub Insight Results os eventos enviados do Security Hub para o EventBridge usam o seguinte formato.

{ 
  "version": "0",
  "id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
  "detail-type": "Security Hub Insight Results",
  "source": "aws.securityhub",
  "account": "111122223333",
  "time": "2017-12-22T18:43:48Z",
  "region": "us-west-1",
  "resources": [
      "arn:aws:securityhub:us-west-1:111122223333::product/aws/macie:us-west-1:222233334444:test/trigger/1ec9cf700ef6be062b19584e0b7d84ec/alert/f2893b211841"
  ],
  "detail": {
    "actionName":"name of the action",
    "actionDescription":"description of the action",
    "insightArn":"ARN of the insight",
    "insightName":"Name of the insight",
    "resultType":"ResourceAwsIamAccessKeyUserName",
    "number of results":"number of results, max of 100",
    "insightResults": [
        {"result 1": 5},
        {"result 2": 6}
    ]
  }
}

Para obter informações sobre como criar uma regra do EventBridge que seja acionada por esses eventos, consulte Usando ações personalizadas para enviar descobertas e resultados de insights para o EventBridge.