與安全中心整合的類型 EventBridge

Security Hub 使用下列 EventBridge 事件類型來支援下列類型的整合 EventBridge。

在 Security Hub 的 EventBridge 儀表板上，「所有事件」包含所有這些事件類型。

所有問題清單 (Security Hub Findings - Imported)

Security Hub 會自動將所有新的發現項目和所有更新傳送至現有的發現項目 EventBridge 作為Security Hub Findings - Imported事件。每個Security Hub Findings - Imported事件都包含一個發現。

每個BatchImportFindings和BatchUpdateFindings請求都會觸發一個Security Hub Findings - Imported事件。

對於管理員帳戶，中的事件摘要 EventBridge 包括來自其帳戶和其成員帳戶的發現項目的事件。

在彙總區域中，事件摘要包含來自彙總「區域」與「連結區域」之發現項目的事件。跨區域搜尋結果會以近乎即時的方式包含在事件摘要中。如需如何設定尋找結果彙總的相關資訊，請參閱跨區域彙總。

您可以在 EventBridge 自動將發現結果路由到 Amazon S3 儲存貯體、修復工作流程或第三方工具中定義規則。這些規則可以包含只有在發現項目具有特定屬性值時才套用規則的篩選器。

您可以使用此方法，將所有發現項目或具有特定特性的所有發現項目自動傳送至回應或修正工作流程。

請參閱 設定自動傳送發現項目的 EventBridge 規則。

自訂動作問題清單 (Security Hub Findings - Custom Action)

Security Hub 也會將與自訂動作相關聯的發現項目 EventBridge 當做Security Hub Findings - Custom Action事件傳送至。

對於使用 Security Hub 主控台的分析師而言，這對於想要將特定發現項目或一小組發現項目傳送至回應或補救工作流程的分析師非常有用。您一次最多可以為 20 個問題清單選取自訂動作。每個發現項目都會 EventBridge 以個別 EventBridge 事件的形式傳送至。

建立自訂動作時，請為其指派自訂動作 ID。您可以使用此 ID 建立 EventBridge 規則，該規則會在收到與該自訂動作 ID 相關聯的發現項目後採取指定動作。

請參閱 使用自訂動作將發現項目和洞察結果傳送至 EventBridge。

例如，您可以在安全中心中建立名為的自訂動作send_to_ticketing。然後在中建立規則 EventBridge，該規則會在 EventBridge 收到包含send_to_ticketing自訂動作 ID 的發現項目時觸發。規則包含了將問題清單傳送至您票證系統的邏輯。然後，您可以在 Security Hub 中選取發現項目，並使用 Security Hub 中的自訂動作，將發現項目手動傳送至您的票務系統。

如需如何將 Security Hub 發現項目傳送至以 EventBridge 供進一步處理的範例，請參閱如何將AWS Security Hub自訂動作與整合以 PagerDuty及如何在合作AWS夥伴網路 (APN) 部落格AWS Security Hub上啟用自訂動作。

自訂動作的洞見結果 (Security Hub Insight Results)

您也可以使用自訂動作，將深入解析結果集作 EventBridge 為Security Hub Insight Results事件傳送至。洞察結果是匹配見解的資源。請注意，當您將分析結果傳送至時 EventBridge，您不會將發現項目傳送至 EventBridge。您只會傳送與見解結果相關聯的資源識別碼。您一次最多可以傳送 100 個資源識別符。

與發現項目的自訂動作類似，您先在 Security Hub 中建立自訂動作，然後在中建立規則 EventBridge。

請參閱 使用自訂動作將發現項目和洞察結果傳送至 EventBridge。

例如，假設您看到您想要與同事分享的特定深入分析結果。在這種情況下，您可以使用自定義操作通過聊天或票務系統將該見解結果發送給同事。