Tipos de integração do Security Hub com o EventBridge - AWS Security Hub

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Tipos de integração do Security Hub com o EventBridge

O Security Hub usa os seguintes tipos de eventos do EventBridge para oferecer suporte aos seguintes tipos de integração com o EventBridge.

No painel do EventBridge para Security Hub, Todos os eventos inclui todos esses tipos de eventos.

Todas as descobertas (Security Hub Findings - Imported)

O Security Hub envia automaticamente todas as novas descobertas e todas as atualizações das descobertas existentes para o EventBridge como eventos Security Hub Findings - Imported. Cada evento Security Hub Findings - Importedcontém uma única descoberta.

Cada solicitação BatchImportFindings e BatchUpdateFindings aciona um evento Security Hub Findings - Imported.

Para contas de administrador, o feed de eventos no EventBridge inclui eventos para descobertas de suas contas e de suas contas de membros.

Em uma região de agregação, o feed de eventos inclui eventos para descobertas da região de agregação e das regiões vinculadas. As descobertas entre regiões são incluídas no feed de eventos quase em tempo real. Para obter informações sobre como configurar a agregação de descoberta, consulte Agregação entre regiões.

Você pode definir regras no EventBridge que roteiam automaticamente as descobertas para um bucket do Amazon S3, um fluxo de trabalho de correção ou uma ferramenta de terceiros. As regras podem incluir filtros que só aplicam a regra se a descoberta tiver valores de atributos específicos.

Você usa esse método para enviar automaticamente todas as descobertas, ou todas as descobertas que possuem características específicas, para um fluxo de trabalho de resposta ou correção.

Consulte Configurar uma regra do EventBridge para enviar descobertas automaticamente .

Descobertas para ações personalizadas (Security Hub Findings - Custom Action)

O Security Hub também envia descobertas associadas a ações personalizadas para o EventBridge como eventos Security Hub Findings - Custom Action .

Isso é útil para analistas que trabalham com o console do Security Hub e desejam enviar uma descoberta específica, ou um pequeno conjunto de descobertas, para um fluxo de trabalho de resposta ou correção. É possível selecionar uma ação personalizada para até 20 descobertas por vez. Cada descoberta é enviada para o EventBridge como um evento separado do EventBridge.

Ao criar uma ação personalizada, você atribui a ela uma ID de ação personalizada. Você pode usar essa ID para criar uma regra do EventBridge que executa uma ação específica após receber uma descoberta associada a essa ID de ação personalizada.

Consulte Usando ações personalizadas para enviar descobertas e resultados de insights para o EventBridge.

Por exemplo, você pode criar uma ação personalizada no Security Hub chamada send_to_ticketing. Em seguida, no EventBridge, você cria uma regra que é acionada quando o EventBridge recebe uma descoberta que inclui o send_to_ticketing do ID da ação personalizada. A regra inclui a lógica para enviar a descoberta ao sistema de emissão de tíquetes. Você pode então selecionar descobertas no Security Hub e usar a ação personalizada nele para enviar manualmente as descobertas ao seu sistema de tickets.

Para obter exemplos de como enviar descobertas do Security Hub ao EventBridge para processamento adicional, consulte Como integrar AWS Security Hub ações personalizadas ao PagerDuty e Como habilitar ações personalizadas no AWS Security Hub no blog AWS Partner Network (APN).

Resultados de insight para ações personalizadas (Security Hub Insight Results)

Você também pode usar ações personalizadas para enviar conjuntos de resultados de insights ao EventBridge como eventos Security Hub Insight Results. Os resultados do insight são os recursos que combinam com um insight. Observe que ao enviar resultados de insights para o EventBridge, você não está enviando as descobertas para o EventBridge. Você está enviando apenas os identificadores de recursos associados aos resultados do insight. É possível enviar até 100 identificadores de recursos de uma vez.

Semelhante às ações personalizadas para descobertas, primeiro você cria a ação personalizada no Security Hub e, em seguida, cria uma regra no EventBridge.

Consulte Usando ações personalizadas para enviar descobertas e resultados de insights para o EventBridge.

Por exemplo, suponha que você veja um resultado interessante de um insight específico que deseja compartilhar com um colega. Nesse caso, você pode usar uma ação personalizada para enviar o resultado do insight para o colega por meio de um sistema de bate-papo ou emissão de tíquetes.