As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Configurando regras para EventBridge
nota
O Security Hub está em versão prévia e está sujeito a alterações.
Você pode criar uma regra na Amazon EventBridge que define uma ação a ser tomada quando um Findings Imported V2evento é recebido. Findings Imported V2os eventos são acionados por meio de atualizações por meio de BatchUpdateFindingsV2.
Cada regra contém um padrão de evento, que identifica os eventos que acionam a regra. O padrão do evento sempre contém a fonte do evento (aws.securityhub) e o tipo do evento (Findings Imported V2). O padrão do evento também pode especificar filtros para identificar as descobertas às quais a regra se aplica.
A regra de eventos então identifica os alvos da regra. Os alvos são as ações a serem tomadas ao EventBridge receber um evento Findings Imported V2 e a descoberta corresponder aos filtros.
As instruções fornecidas aqui usam o EventBridge console. Quando você usa o console, cria EventBridge automaticamente a política baseada em recursos necessária que permite EventBridge gravar no Amazon CloudWatch Logs.
Você também pode usar a PutRuleoperação da EventBridge API. No entanto, se você usar a EventBridge API, deverá criar a política baseada em recursos. Para obter informações sobre a política necessária, consulte Permissões de CloudWatch registros no Guia EventBridge do usuário da Amazon.
Formato do padrão do evento
O formato do padrão de eventos para eventos do Findings Imported V2 é o seguinte:
{ "source": [ "aws.securityhub" ], "detail-type": [ "Findings Imported V2" ], "detail": { "findings": {<attribute filter values>} } }
-
sourceidentifica o Security Hub como o serviço que gera o evento. -
detail-typeidentifica o tipo de evento. -
detailé opcional e fornece os valores do filtro para o padrão do evento. Se o padrão do evento não contiver um campodetail, todas as descobertas acionarão a regra.
Você pode filtrar as descobertas com base em qualquer atributo de descoberta. Para cada atributo, você fornece uma matriz separada por vírgula de um ou mais valores.
"<attribute name>": [ "<value1>", "<value2>"]
Se você fornecer mais de um valor para um atributo, esses valores serão unidos por OR. Uma descoberta corresponde ao filtro de um atributo individual se a descoberta tiver algum dos valores listados. Por exemplo, se você fornecer ambos INFORMATIONAL e LOW como valores para Severity.Label, a descoberta corresponderá se tiver um rótulo de severidade de INFORMATIONAL ouLOW.
Os atributos são unidos por AND. Uma descoberta corresponde se atender aos critérios de filtro de todos os atributos fornecidos.
Quando você fornece um valor de atributo, ele deve refletir a localização desse atributo na estrutura do AWS Open Cybersecurity Schema Framework (OCSF).
No exemplo a seguir, o padrão de evento fornece valores de filtro para ProductArn eSeverity.Label, portanto, uma descoberta corresponde se for gerada pelo Amazon Inspector e tiver um rótulo de severidade deINFORMATIONAL ou LOW.
{ "source": [ "aws.securityhub" ], "detail-type": [ "Findings Imported V2" ], "detail": { "findings": { "ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"], "Severity": { "Label": ["INFORMATIONAL", "LOW"] } } } }
Criar uma regra de evento
Você pode usar um padrão de evento predefinido ou um padrão de evento personalizado para criar uma regra em EventBridge. Se você selecionar um padrão predefinido, preenche EventBridge automaticamente e. source detail-type EventBridge também fornece campos para especificar valores de filtro para os seguintes atributos de descoberta:
-
cloud.account.uid -
compliance.status -
metadata.product.name -
resources.uid -
severity -
status
Para criar uma EventBridge regra (console)
Abra o EventBridge console da Amazon em https://console.aws.amazon.com/events/
. -
Usando os valores a seguir, crie uma EventBridge regra que monitore a localização de eventos:
-
Para Tipo de regra, escolha Regra com padrão de evento.
-
Selecione como criar o padrão do evento.
Para criar o padrão de eventos com... Fazer isso... Um modelo
Na seção Padrão de evento, selecione um dos seguintes procedimentos:
-
Em Fonte do evento, selecione Serviços da AWS .
-
Para o AWS serviço, selecione Security Hub.
-
Em Tipo de evento, escolha Findings Imported V2.
-
(Opcional) Para tornar a regra mais específica, adicione valores de filtros. Por exemplo, para limitar a regra às descobertas com estados de registro ativos, em Estado(s) de registro específico, selecione Ativo.
Um padrão de eventos personalizado
(Use um padrão personalizado se quiser filtrar as descobertas com base em atributos que não aparecem no EventBridge console.)
-
Em Padrão de evento, selecione JSON editor, e, em seguida, cole um dos seguintes exemplos de padrão de evento na área de texto:
{ "source": [ "aws.securityhub" ], "detail-type": [ "Findings Imported V2" ], "detail": { "findings": { "<attribute name>": [ "<value1>", "<value2>"] } } }
-
Atualize o padrão do evento para incluir o atributo e os valores de atributos que você deseja usar como filtro.
Por exemplo, para aplicar a regra às descobertas que têm uma severidade de
Critical, use o seguinte exemplo de padrão:{ "source":["aws.securityhub"], "detail-type":["Findings Imported V2"], "detail":{ "findings":{ "Severity": ["Critical"] } } }
-
-
Para Tipos de destino, escolha AWS serviço e, para Selecionar um destino, escolha um destino, como um tópico ou AWS Lambda função do Amazon SNS. O destino é acionado quando é recebido um evento que corresponde ao padrão de evento definido na regra.
Para obter detalhes sobre a criação de regras, consulte Criação de EventBridge regras da Amazon que reagem a eventos no Guia EventBridge do usuário da Amazon.
-
