Todas as descobertas (Security Hub Findings - Imported)Descobertas para ações personalizadas (Security Hub Findings - Custom Action)Resultados de insight para ações personalizadas (Security Hub Insight Results)

Tipos de eventos do CSPM do Security Hub no EventBridge

O CSPM do Security Hub usa os tipos de eventos do Amazon EventBridge a seguir para se integrar com o EventBridge.

No painel do EventBridge para o CSPM do Security Hub, Todos os eventos inclui todos esses tipos de eventos.

Todas as descobertas (Security Hub Findings - Imported)

O CSPM do Security Hub envia automaticamente todas as novas descobertas e todas as atualizações das descobertas existentes para o EventBridge como eventos Security Hub Findings - Imported. Cada evento Security Hub Findings - Importedcontém uma única descoberta.

Cada solicitação BatchImportFindings e BatchUpdateFindings aciona um evento Security Hub Findings - Imported.

Para contas de administrador, o feed de eventos no EventBridge inclui eventos para descobertas de suas contas e de suas contas de membros.

Em uma região de agregação, o feed de eventos inclui eventos para descobertas da região de agregação e das regiões vinculadas. As descobertas entre regiões são incluídas no feed de eventos quase em tempo real. Para obter informações sobre como configurar a agregação de descoberta, consulte Noções básicas sobre a agregação entre regiões no CSPM do Security Hub.

É possível definir regras no EventBridge que roteiem automaticamente as descobertas para um fluxo de trabalho de correção, uma ferramenta de terceiros ou outro destino compatível no EventBridge. As regras podem incluir filtros que só aplicam a regra se a descoberta tiver valores de atributos específicos.

Você usa esse método para enviar automaticamente todas as descobertas, ou todas as descobertas que possuem características específicas, para um fluxo de trabalho de resposta ou correção.

Consulte Configuração de uma regra do EventBridge para descobertas do CSPM do Security Hub.

Descobertas para ações personalizadas (Security Hub Findings - Custom Action)

O CSPM do Security Hub também envia descobertas associadas a ações personalizadas para o EventBridge como eventos Security Hub Findings - Custom Action.

Isso é útil para analistas que trabalhem com o console do CSPM do Security Hub e desejem enviar uma descoberta específica, ou um pequeno conjunto de descobertas, a um fluxo de trabalho de resposta ou correção. É possível selecionar uma ação personalizada para até 20 descobertas por vez. Cada descoberta é enviada ao EventBridge como um evento separado do EventBridge.

Ao criar uma ação personalizada, você atribui a ela uma ID de ação personalizada. É possível usar essa ID para criar uma regra do EventBridge que executa uma ação específica após receber uma descoberta associada a essa ID de ação personalizada.

Consulte Usando ações personalizadas para enviar descobertas e resultados de insights para o EventBridge.

Por exemplo, é possível criar uma ação personalizada no Security Hub chamada send_to_ticketing. Em seguida, no EventBridge, você cria uma regra que é acionada quando o EventBridge recebe uma descoberta que inclui o send_to_ticketing do ID da ação personalizada. A regra inclui a lógica para enviar a descoberta ao sistema de emissão de tíquetes. É possível então selecionar descobertas no CSPM do Security Hub e usar a ação personalizada nele para enviar manualmente as descobertas ao seu sistema de tíquetes.

Para obter exemplos de como enviar descobertas do CSPM do Security Hub ao EventBridge para processamento adicional, consulte Como integrar ações personalizadas do CSPM do AWS Security Hub ao PagerDuty e Como habilitar ações personalizadas no CSPM do AWS Security Hub no blog AWS Partner Network (APN).

Resultados de insight para ações personalizadas (Security Hub Insight Results)

Também é possível usar ações personalizadas para enviar conjuntos de resultados de insights ao EventBridge como eventos Security Hub Insight Results. Os resultados do insight são os recursos que combinam com um insight. Observe que ao enviar resultados de insights para o EventBridge, você não está enviando as descobertas para o EventBridge. Você está enviando apenas os identificadores de recursos associados aos resultados do insight. É possível enviar até 100 identificadores de recursos de uma vez.

Semelhante às ações personalizadas para descobertas, primeiro você cria a ação personalizada no CSPM do Security Hub e, em seguida, cria uma regra no EventBridge.

Consulte Usando ações personalizadas para enviar descobertas e resultados de insights para o EventBridge.

Por exemplo, suponha que você veja um resultado interessante de um insight específico que deseja compartilhar com um colega. Nesse caso, você pode usar uma ação personalizada para enviar o resultado do insight para o colega por meio de um sistema de bate-papo ou emissão de tíquetes.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Resposta e correção automatizadas

Formatos de eventos do EventBridge