Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Ergebnisse in Security Hub CSPM automatisch ändern und darauf reagieren
AWS Security Hub CSPM verfügt über Funktionen, die Ergebnisse auf der Grundlage Ihrer Spezifikationen automatisch ändern und entsprechende Maßnahmen ergreifen.
Security Hub CSPM unterstützt derzeit zwei Arten von Automatisierungen:
+ **Automatisierungsregeln** — Automatische Aktualisierung und Unterdrückung von Ergebnissen nahezu in Echtzeit auf der Grundlage von von Ihnen definierter Kriterien.
+ **Automatisierte Reaktion und Problembehebung** — Erstellen Sie benutzerdefinierte EventBridge Amazon-Regeln, die automatische Maßnahmen definieren, die auf der Grundlage bestimmter Ergebnisse und Erkenntnisse ergriffen werden sollen.
Automatisierungsregeln sind hilfreich, wenn Sie Suchfelder im AWS Security Finding Format (ASFF) automatisch aktualisieren möchten. Sie können beispielsweise eine Automatisierungsregel verwenden, um den Schweregrad oder den Workflow-Status von Ergebnissen aus bestimmten Drittanbieter-Integrationen zu aktualisieren. Durch die Verwendung der Automatisierungsregel entfällt die Notwendigkeit, den Schweregrad oder den Workflow-Status jedes Ergebnisses aus diesem Drittanbieterprodukt manuell zu aktualisieren.
EventBridge Regeln sind hilfreich, wenn Sie außerhalb von Security Hub CSPM Maßnahmen in Bezug auf bestimmte Ergebnisse ergreifen oder bestimmte Ergebnisse zur Behebung oder weiteren Untersuchung an Tools von Drittanbietern senden möchten. Die Regeln können verwendet werden, um unterstützte Aktionen auszulösen, z. B. das Aufrufen einer AWS Lambda Funktion oder die Benachrichtigung eines Amazon Simple Notification Service (Amazon SNS) -Themas über ein bestimmtes Ergebnis.
Automatisierungsregeln werden wirksam, bevor EventBridge Regeln angewendet werden. Das heißt, Automatisierungsregeln werden ausgelöst und aktualisieren ein Ergebnis, bevor das Ergebnis EventBridge empfangen wird. EventBridge Die Regeln gelten dann für den aktualisierten Befund.
Bei der Einrichtung von Automatisierungen für Sicherheitskontrollen empfehlen wir, nach der Kontroll-ID und nicht nach Titel oder Beschreibung zu filtern. Während Security Hub CSPM gelegentlich Kontrolltitel und Beschreibungen aktualisiert, IDs bleibt die Steuerung dieselbe.
**Topics**
+ [Grundlegendes zu den Automatisierungsregeln in Security Hub CSPM](automation-rules.md)
+ [Verwendung EventBridge für automatisierte Reaktionen und Problembehebungen](securityhub-cloudwatch-events.md)
# Grundlegendes zu den Automatisierungsregeln in Security Hub CSPM
Sie können Automatisierungsregeln verwenden, um Ergebnisse in AWS Security Hub CSPM automatisch zu aktualisieren. Bei der Erfassung der Ergebnisse kann Security Hub CSPM eine Vielzahl von Regelaktionen anwenden, z. B. das Unterdrücken von Ergebnissen, das Ändern ihres Schweregrads und das Hinzufügen von Notizen. Solche Regelaktionen ändern Ergebnisse, die Ihren angegebenen Kriterien entsprechen.
Zu den Anwendungsfällen für Automatisierungsregeln gehören unter anderem die folgenden:
+ Erhöhung des Schweregrads eines Ergebnisses auf den Wert, `CRITICAL` wenn sich die Ressourcen-ID des Ergebnisses auf eine geschäftskritische Ressource bezieht.
+ Erhöhung des Schweregrads eines Ergebnisses von bis `HIGH` zu, `CRITICAL` wenn das Ergebnis Ressourcen in bestimmten Produktionskonten betrifft.
+ Zuweisen bestimmter Ergebnisse, deren Schweregrad einem `INFORMATIONAL` `SUPPRESSED` Workflow-Status entspricht.
Sie können Automatisierungsregeln nur über ein Security Hub CSPM-Administratorkonto erstellen und verwalten.
Die Regeln gelten sowohl für neue als auch für aktualisierte Ergebnisse. Sie können eine benutzerdefinierte Regel von Grund auf neu erstellen oder eine von Security Hub CSPM bereitgestellte Regelvorlage verwenden. Sie können auch mit einer Vorlage beginnen und diese nach Bedarf ändern.
## Definition von Regelkriterien und Regelaktionen
*Von einem Security Hub CSPM-Administratorkonto aus können Sie eine Automatisierungsregel erstellen, indem Sie ein oder mehrere *Regelkriterien* und eine oder mehrere Regelaktionen definieren.* Wenn ein Ergebnis den definierten Kriterien entspricht, wendet Security Hub CSPM die Regelaktionen darauf an. Weitere Informationen zu verfügbaren Kriterien und Aktionen finden Sie unter. [Verfügbare Regelkriterien und Regelaktionen](#automation-rules-criteria-actions)
Security Hub CSPM unterstützt derzeit maximal 100 Automatisierungsregeln für jedes Administratorkonto.
Das Security Hub CSPM-Administratorkonto kann auch Automatisierungsregeln bearbeiten, anzeigen und löschen. Eine Regel gilt für den Abgleich von Ergebnissen im Administratorkonto und all seinen Mitgliedskonten. Durch die Angabe des Mitgliedskontos IDs als Regelkriterium können Security Hub CSPM-Administratoren auch Automatisierungsregeln verwenden, um Ergebnisse in bestimmten Mitgliedskonten zu aktualisieren oder zu unterdrücken.
Eine Automatisierungsregel gilt nur in dem Land, AWS-Region in dem sie erstellt wurde. Um eine Regel in mehreren Regionen anzuwenden, muss der Administrator die Regel in jeder Region erstellen. Dies kann über die Security Hub CSPM-Konsole, die Security Hub CSPM-API oder erfolgen. [AWS CloudFormation](creating-resources-with-cloudformation.md) [Sie können auch ein Bereitstellungsskript für mehrere Regionen verwenden.](https://github.com/awslabs/aws-securityhub-multiaccount-scripts/blob/master/automation_rules)
## Verfügbare Regelkriterien und Regelaktionen
Die folgenden ASFF-Felder ( AWS Security Finding Format) werden derzeit als Kriterien für Automatisierungsregeln unterstützt:
| Regelkriterium | Filteroperatoren | Feldtyp |
| --- | --- | --- |
| AwsAccountId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| AwsAccountName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| CompanyName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| ComplianceAssociatedStandardsId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| ComplianceSecurityControlId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| ComplianceStatus | Is, Is Not | Wählen Sie: [FAILED,NOT\$1AVAILABLE,PASSED,WARNING] |
| Confidence | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Zahl |
| CreatedAt | Start, End, DateRange | Datum (formatiert als 2021-12-01T 21:47:39.269 Z) |
| Criticality | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Zahl |
| Description | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| FirstObservedAt | Start, End, DateRange | Datum (formatiert als 2021-12-01T 21:47:39.269 Z) |
| GeneratorId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| Id | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| LastObservedAt | Start, End, DateRange | Datum (formatiert als 2021-12-01T 21:47:39.269 Z) |
| NoteText | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| NoteUpdatedAt | Start, End, DateRange | Datum (formatiert als 2021-12-01T 21:47:39.269 Z) |
| NoteUpdatedBy | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| ProductArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| ProductName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| RecordState | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| RelatedFindingsId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| RelatedFindingsProductArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| ResourceApplicationArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| ResourceApplicationName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| ResourceDetailsOther | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Zuordnung |
| ResourceId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| ResourcePartition | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| ResourceRegion | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| ResourceTags | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Zuordnung |
| ResourceType | Is, Is Not | Wählen Sie ([siehe](https://docs.aws.amazon.com/securityhub/latest/userguide/asff-resources.html) Von ASFF unterstützte Ressourcen) |
| SeverityLabel | Is, Is Not | Wählen Sie: [CRITICAL,HIGH,, MEDIUMLOW,INFORMATIONAL] |
| SourceUrl | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| Title | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| Type | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| UpdatedAt | Start, End, DateRange | Datum (formatiert als 2021-12-01T 21:47:39.269 Z) |
| UserDefinedFields | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Zuordnung |
| VerificationState | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| WorkflowStatus | Is, Is Not | Wählen Sie NEW NOTIFIEDRESOLVED: [,,,SUPPRESSED] |
Bei Kriterien, die als Zeichenkettenfelder gekennzeichnet sind, wirkt sich die Verwendung verschiedener Filteroperatoren für dasselbe Feld auf die Bewertungslogik aus. Weitere Informationen finden Sie [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html)in der *AWS Security Hub CSPM API-Referenz*.
Jedes Kriterium unterstützt eine maximale Anzahl von Werten, anhand derer übereinstimmende Ergebnisse gefiltert werden können. Die Grenzwerte für die einzelnen Kriterien finden Sie [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html)in der *AWS Security Hub CSPM API-Referenz*.
Die folgenden ASFF-Felder werden derzeit als Aktionen für Automatisierungsregeln unterstützt:
+ `Confidence`
+ `Criticality`
+ `Note`
+ `RelatedFindings`
+ `Severity`
+ `Types`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`
Weitere Informationen zu bestimmten ASFF-Feldern finden Sie unter Syntax des [AWS Security Finding Format (ASFF](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html)).
**Tipp**
Wenn Sie möchten, dass Security Hub CSPM keine Ergebnisse für ein bestimmtes Steuerelement generiert, empfehlen wir, das Steuerelement zu deaktivieren, anstatt eine Automatisierungsregel zu verwenden. Wenn Sie eine Kontrolle deaktivieren, beendet Security Hub CSPM die Durchführung von Sicherheitsüberprüfungen und generiert keine Ergebnisse mehr dafür, sodass Ihnen für diese Kontrolle keine Gebühren entstehen. Wir empfehlen die Verwendung von Automatisierungsregeln, um die Werte bestimmter ASFF-Felder für Ergebnisse zu ändern, die definierten Kriterien entsprechen. Weitere Informationen zum Deaktivieren von Steuerelementen finden Sie unter. [Steuerelemente in Security Hub CSPM deaktivieren](disable-controls-overview.md)
## Ergebnisse, die durch Automatisierungsregeln bewertet werden
Eine Automatisierungsregel wertet neue und aktualisierte Ergebnisse aus, die Security Hub CSPM im Rahmen des [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html)Vorgangs generiert oder aufnimmt, *nachdem* Sie die Regel erstellt haben. Security Hub CSPM-Updates kontrollieren die Ergebnisse alle 12 bis 24 Stunden oder wenn sich der Status der zugehörigen Ressource ändert. Weitere Informationen finden Sie unter [Zeitplan für die Ausführung von Sicherheitsprüfungen](securityhub-standards-schedule.md).
Automatisierungsregeln bewerten die ursprünglichen Ergebnisse, die vom Anbieter bereitgestellt wurden. Anbieter können mithilfe der Security Hub CSPM-API neue Erkenntnisse bereitstellen und bestehende Ergebnisse aktualisieren. `BatchImportFindings` Wenn die folgenden Felder im ursprünglichen Ergebnis nicht vorhanden sind, füllt Security Hub CSPM die Felder automatisch aus und verwendet dann die ausgefüllten Werte bei der Auswertung durch die Automatisierungsregel:
+ `AwsAccountName`
+ `CompanyName`
+ `ProductName`
+ `Resource.Tags`
+ `Workflow.Status`
Nachdem Sie eine oder mehrere Automatisierungsregeln erstellt haben, werden die Regeln nicht ausgelöst, wenn Sie Suchfelder mithilfe des Vorgangs aktualisieren. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html) Wenn Sie eine Automatisierungsregel erstellen und eine `BatchUpdateFindings` Aktualisierung vornehmen, die sich beide auf dasselbe Ergebnisfeld auswirken, legt die letzte Aktualisierung den Wert für dieses Feld fest. Nehmen wir das folgende Beispiel:
1. Sie verwenden die `BatchUpdateFindings` Operation, um den Wert für das `Workflow.Status` Feld eines Ergebnisses von bis `NEW` zu zu ändern`NOTIFIED`.
1. Wenn Sie aufrufen`GetFindings`, hat das `Workflow.Status` Feld jetzt den Wert`NOTIFIED`.
1. Sie erstellen eine Automatisierungsregel, die das `Workflow.Status` Feld des Ergebnisses von `NEW` zu ändert`SUPPRESSED`. (Denken Sie daran, dass Regeln Aktualisierungen ignorieren, die mithilfe des `BatchUpdateFindings` Vorgangs vorgenommen wurden.)
1. Der Suchprovider verwendet den `BatchImportFindings` Vorgang, um den Befund zu aktualisieren, und ändert den Wert für das `Workflow.Status` Feld des Ergebnisses in`NEW`.
1. Wenn Sie aufrufen`GetFindings`, hat das `Workflow.Status` Feld jetzt den Wert`SUPPRESSED`. Dies ist der Fall, weil die Automatisierungsregel angewendet wurde und die Regel die letzte Aktion war, die aufgrund des Ergebnisses ausgeführt wurde.
Wenn Sie eine Regel auf der Security Hub CSPM-Konsole erstellen oder bearbeiten, zeigt die Konsole eine Beta-Version der Ergebnisse an, die den Regelkriterien entsprechen. Während Automatisierungsregeln die ursprünglichen Ergebnisse auswerten, die vom Finding-Anbieter gesendet wurden, gibt die Beta-Version der Konsole die Ergebnisse in ihrem endgültigen Zustand wieder, so wie sie als Reaktion auf den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html)Vorgang angezeigt würden (d. h. nachdem Regelaktionen oder andere Updates auf das Ergebnis angewendet wurden).
## Wie funktioniert die Reihenfolge der Regeln
Beim Erstellen von Automatisierungsregeln weisen Sie jeder Regel eine Reihenfolge zu. Dies bestimmt die Reihenfolge, in der Security Hub CSPM Ihre Automatisierungsregeln anwendet, und ist wichtig, wenn sich mehrere Regeln auf dasselbe Such- oder Findungsfeld beziehen.
Wenn sich mehrere Regelaktionen auf dasselbe Befund- oder Findungsfeld beziehen, gilt die Regel mit dem höchsten numerischen Wert für die Reihenfolge der Regeln zuletzt und hat die endgültige Wirkung.
Wenn Sie eine Regel in der Security Hub CSPM-Konsole erstellen, weist Security Hub CSPM automatisch die Regelreihenfolge auf der Grundlage der Reihenfolge der Regelerstellung zu. Die zuletzt erstellte Regel hat den niedrigsten numerischen Wert für die Regelreihenfolge und gilt daher zuerst. Security Hub CSPM wendet nachfolgende Regeln in aufsteigender Reihenfolge an.
Wenn Sie eine Regel über die Security Hub CSPM API oder erstellen AWS CLI, wendet Security Hub CSPM zuerst die Regel mit dem niedrigsten numerischen Wert an. `RuleOrder` Anschließend werden die nachfolgenden Regeln in aufsteigender Reihenfolge angewendet. Wenn mehrere Ergebnisse identisch sind`RuleOrder`, wendet Security Hub CSPM zuerst eine Regel mit einem früheren Wert für das `UpdatedAt` Feld an (d. h. die Regel, die zuletzt bearbeitet wurde, gilt zuletzt).
Sie können die Reihenfolge der Regeln jederzeit ändern.
**Beispiel für die Reihenfolge der Regeln**:
**Regel A (Regelreihenfolge ist`1`)**:
+ Kriterien für Regel A
+ `ProductName` = `Security Hub CSPM`
+ `Resources.Type` ist `S3 Bucket`
+ `Compliance.Status` = `FAILED`
+ `RecordState` ist `NEW`
+ `Workflow.Status` = `ACTIVE`
+ Aktionen nach Regel A
+ Update `Confidence` auf `95`
+ Aktualisieren `Severity` auf `CRITICAL`
**Regel B (Reihenfolge der Regeln ist`2`)**:
+ Kriterien für Regel B
+ `AwsAccountId` = `123456789012`
+ Aktionen nach Regel B
+ Update `Severity` auf `INFORMATIONAL`
Aktionen nach Regel A gelten zuerst für Security Hub CSPM-Ergebnisse, die den Kriterien von Regel A entsprechen. Als Nächstes gelten die Aktionen nach Regel B für Security Hub CSPM-Ergebnisse mit der angegebenen Konto-ID. Da Regel B in diesem Beispiel zuletzt gilt, lautet der Endwert für Ergebnisse aus `Severity` der angegebenen Konto-ID. `INFORMATIONAL` Basierend auf der Regel A-Aktion ist der Endwert von `Confidence` in übereinstimmenden Ergebnissen`95`.
# Automatisierungsregeln erstellen
Eine Automatisierungsregel kann verwendet werden, um Ergebnisse in AWS Security Hub CSPM automatisch zu aktualisieren. Sie können eine benutzerdefinierte Automatisierungsregel von Grund auf neu erstellen oder auf der Security Hub CSPM-Konsole eine vorab ausgefüllte Regelvorlage verwenden. Hintergrundinformationen zur Funktionsweise von Automatisierungsregeln finden Sie unter. [Grundlegendes zu den Automatisierungsregeln in Security Hub CSPM](automation-rules.md)
Sie können jeweils nur eine Automatisierungsregel erstellen. Um mehrere Automatisierungsregeln zu erstellen, folgen Sie den Konsolenprozeduren mehrmals oder rufen Sie die API oder den Befehl mehrmals mit den gewünschten Parametern auf.
Sie müssen in jeder Region und jedem Konto, in dem die Regel auf Ergebnisse angewendet werden soll, eine Automatisierungsregel erstellen.
Wenn Sie eine Automatisierungsregel in der Security Hub CSPM-Konsole erstellen, zeigt Ihnen Security Hub CSPM eine Betaversion der Ergebnisse, für die Ihre Regel gilt. Die Betaversion wird derzeit nicht unterstützt, wenn Ihre Regelkriterien einen CONTAINS- oder NOT\$1CONTAINS-Filter beinhalten. Sie können diese Filter für Zuordnungs- und Zeichenkettenfeldtypen auswählen.
**Wichtig**
AWS empfiehlt, keine personenbezogenen, vertraulichen oder sensiblen Informationen in den Regelnamen, die Beschreibung oder andere Felder aufzunehmen.
## Eine benutzerdefinierte Automatisierungsregel erstellen
Wählen Sie Ihre bevorzugte Methode und führen Sie die folgenden Schritte aus, um eine benutzerdefinierte Automatisierungsregel zu erstellen.
------
#### [ Console ]
**So erstellen Sie eine benutzerdefinierte Automatisierungsregel (Konsole)**
1. Öffnen Sie mit den Anmeldeinformationen des Security Hub CSPM-Administrators die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. **Wählen Sie im Navigationsbereich Automations aus.**
1. Wählen Sie **Regel erstellen** aus. Wählen Sie für **Regeltyp** die Option **Benutzerdefinierte Regel erstellen** aus.
1. Geben Sie im Abschnitt **Regel** einen eindeutigen Regelnamen und eine Beschreibung für Ihre Regel ein.
1. Verwenden Sie für **Kriterien** die Dropdownmenüs **Schlüssel**, **Operator** und **Wert**, um Ihre Regelkriterien anzugeben. Sie müssen mindestens ein Regelkriterium angeben.
Wenn die von Ihnen ausgewählten Kriterien unterstützt werden, zeigt Ihnen die Konsole eine Betaversion der Ergebnisse, die Ihren Kriterien entsprechen.
1. Verwenden Sie für **automatisierte Aktionen** die Dropdownmenüs, um anzugeben, welche Ergebnisfelder aktualisiert werden sollen, wenn die Ergebnisse Ihren Regelkriterien entsprechen. Sie müssen mindestens eine Regelaktion angeben.
1. Wählen Sie **unter Regelstatus** aus, ob die Regel nach ihrer Erstellung **aktiviert** oder **deaktiviert** werden soll.
1. (Optional) Erweitern Sie den Abschnitt **Zusätzliche Einstellungen**. Wählen Sie **Nachfolgende Regeln für Ergebnisse ignorieren, die diesen Kriterien entsprechen**, wenn diese Regel die letzte Regel sein soll, die auf Ergebnisse angewendet wird, die den Regelkriterien entsprechen.
1. (Optional) Fügen Sie für **Tags Tags** als Schlüssel-Wert-Paare hinzu, damit Sie die Regel leichter identifizieren können.
1. Wählen Sie **Regel erstellen** aus.
------
#### [ API ]
**Um eine benutzerdefinierte Automatisierungsregel (API) zu erstellen**
1. Führen Sie die Ausführung [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html)über das Security Hub CSPM-Administratorkonto aus. Diese API erstellt eine Regel mit einem bestimmten Amazon-Ressourcennamen (ARN).
1. Geben Sie einen Namen und eine Beschreibung für die Regel ein.
1. Legen Sie den `IsTerminal` Parameter auf fest, `true` wenn diese Regel die letzte Regel sein soll, die auf Ergebnisse angewendet wird, die den Regelkriterien entsprechen.
1. Geben Sie für den `RuleOrder` Parameter die Reihenfolge der Regel an. Security Hub CSPM wendet zuerst Regeln mit einem niedrigeren numerischen Wert für diesen Parameter an.
1. Geben Sie für den `RuleStatus` Parameter an, ob Security Hub CSPM die Regel aktivieren und nach der Erstellung auf Ergebnisse anwenden soll. Der Standardwert ist `ENABLED`, wenn kein Wert angegeben wird. Der Wert von `DISABLED` bedeutet, dass die Regel nach der Erstellung angehalten wird.
1. Geben Sie für den `Criteria` Parameter die Kriterien an, nach denen Security Hub CSPM Ihre Ergebnisse filtern soll. Die Regelaktion gilt für Ergebnisse, die den Kriterien entsprechen. Eine Liste der unterstützten Kriterien finden Sie unter[Verfügbare Regelkriterien und Regelaktionen](automation-rules.md#automation-rules-criteria-actions).
1. Geben Sie für den `Actions` Parameter die Aktionen an, die Security Hub CSPM ausführen soll, wenn eine Übereinstimmung zwischen einem Ergebnis und Ihren definierten Kriterien besteht. Eine Liste der unterstützten Aktionen finden Sie unter. [Verfügbare Regelkriterien und Regelaktionen](automation-rules.md#automation-rules-criteria-actions)
Mit dem folgenden AWS CLI Beispielbefehl wird eine Automatisierungsregel erstellt, die den Workflow-Status und die Notiz der übereinstimmenden Ergebnisse aktualisiert. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.
```
$ aws securityhub create-automation-rule \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "HIGH"
},
"Note": {
"Text": "Known issue that is a risk. Updated by automation rules",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--criteria '{
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--description "A sample rule" \
--no-is-terminal \
--rule-name "sample rule" \
--rule-order 1 \
--rule-status "ENABLED" \
--region us-east-1
```
------
## Eine Automatisierungsregel anhand einer Vorlage erstellen (nur Konsole)
Regelvorlagen spiegeln gängige Anwendungsfälle für Automatisierungsregeln wider. Derzeit unterstützt nur die Security Hub CSPM-Konsole Regelvorlagen. Gehen Sie wie folgt vor, um eine Automatisierungsregel aus einer Vorlage in der Konsole zu erstellen.
**Um eine Automatisierungsregel aus einer Vorlage (Konsole) zu erstellen**
1. Öffnen Sie mit den Anmeldeinformationen des Security Hub CSPM-Administrators die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. **Wählen Sie im Navigationsbereich Automations aus.**
1. Wählen Sie **Regel erstellen** aus. Wählen Sie als **Regeltyp** die Option **Regel aus Vorlage erstellen aus**.
1. Wählen Sie im Dropdownmenü eine Regelvorlage aus.
1. (Optional) Falls für Ihren Anwendungsfall erforderlich, ändern Sie die Abschnitte **Regel**, **Kriterien** und **Automatisierte Aktion**. Sie müssen mindestens ein Regelkriterium und eine Regelaktion angeben.
Wenn die von Ihnen ausgewählten Kriterien unterstützt werden, zeigt Ihnen die Konsole eine Betaversion der Ergebnisse, die Ihren Kriterien entsprechen.
1. Wählen Sie **unter Regelstatus** aus, ob die Regel nach ihrer Erstellung **aktiviert** oder **deaktiviert** werden soll.
1. (Optional) Erweitern Sie den Abschnitt **Zusätzliche Einstellungen**. Wählen Sie **Nachfolgende Regeln für Ergebnisse ignorieren, die diesen Kriterien entsprechen**, wenn diese Regel die letzte Regel sein soll, die auf Ergebnisse angewendet wird, die den Regelkriterien entsprechen.
1. (Optional) Fügen Sie für **Tags Tags** als Schlüssel-Wert-Paare hinzu, damit Sie die Regel leichter identifizieren können.
1. Wählen Sie **Regel erstellen** aus.
# Automatisierungsregeln anzeigen
Eine Automatisierungsregel kann verwendet werden, um Ergebnisse in AWS Security Hub CSPM automatisch zu aktualisieren. Hintergrundinformationen zur Funktionsweise von Automatisierungsregeln finden Sie unter. [Grundlegendes zu den Automatisierungsregeln in Security Hub CSPM](automation-rules.md)
Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um Ihre vorhandenen Automatisierungsregeln und die Details jeder Regel einzusehen.
Einen Überblick darüber, wie Automatisierungsregeln Ihre Ergebnisse verändert haben, finden Sie unter[Überprüfung der Funddetails und des Verlaufs in Security Hub CSPM](securityhub-findings-viewing.md).
------
#### [ Console ]
**So zeigen Sie Automatisierungsregeln an (Konsole)**
1. Öffnen Sie mit den Anmeldeinformationen des Security Hub CSPM-Administrators die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. **Wählen Sie im Navigationsbereich Automations aus.**
1. Wählen Sie einen Regelnamen. Wählen Sie alternativ eine Regel aus.
1. Wählen Sie **Aktionen** und **Ansicht** aus.
------
#### [ API ]
**Um Automatisierungsregeln (API) anzuzeigen**
1. Um die Automatisierungsregeln für Ihr Konto einzusehen, führen Sie es [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html)vom Security Hub CSPM-Administratorkonto aus. Diese API gibt die Regel ARNs und andere Metadaten für Ihre Regeln zurück. Für diese API sind keine Eingabeparameter erforderlich, Sie können diese jedoch optional `NextToken` als Paginierungsparameter angeben, `MaxResults` um die Anzahl der Ergebnisse zu begrenzen. Der Anfangswert von `NextToken` sollte sein. `NULL`
1. Weitere Regeldetails, einschließlich der Kriterien und Aktionen für eine Regel, erhalten Sie [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html)über das Security Hub CSPM-Administratorkonto. Geben Sie ARNs die Automatisierungsregeln an, für die Sie Details benötigen.
Im folgenden Beispiel werden Details für die angegebenen Automatisierungsregeln abgerufen. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.
```
$ aws securityhub batch-get-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222"]' \
--region us-east-1
```
------
# Automatisierungsregeln bearbeiten
Eine Automatisierungsregel kann verwendet werden, um Ergebnisse in AWS Security Hub CSPM automatisch zu aktualisieren. Hintergrundinformationen zur Funktionsweise von Automatisierungsregeln finden Sie unter. [Grundlegendes zu den Automatisierungsregeln in Security Hub CSPM](automation-rules.md)
Nach der Erstellung einer Automatisierungsregel kann der delegierte Security Hub CSPM-Administrator die Regel bearbeiten. Wenn Sie eine Automatisierungsregel bearbeiten, gelten die Änderungen für neue und aktualisierte Ergebnisse, die Security Hub CSPM nach der Regelbearbeitung generiert oder aufnimmt.
Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um den Inhalt einer Automatisierungsregel zu bearbeiten. Sie können eine oder mehrere Regeln mit einer einzigen Anfrage bearbeiten. Anweisungen zum Bearbeiten der Regelreihenfolge finden Sie unter[Reihenfolge der Automatisierungsregeln bearbeiten](edit-rule-order.md).
------
#### [ Console ]
**So bearbeiten Sie Automatisierungsregeln (Konsole)**
1. Öffnen Sie mit den Anmeldeinformationen des Security Hub CSPM-Administrators die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. **Wählen Sie im Navigationsbereich Automations aus.**
1. Wählen Sie die Regel aus, die Sie bearbeiten möchten. Wählen Sie **Aktion** und **Bearbeiten**.
1. Ändern Sie die Regel wie gewünscht und wählen Sie **Änderungen speichern**.
------
#### [ API ]
**Um Automatisierungsregeln (API) zu bearbeiten**
1. Führen Sie die Ausführung [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html)über das Security Hub CSPM-Administratorkonto aus.
1. Geben Sie für den `RuleArn` Parameter den ARN der Regel (n) an, die Sie bearbeiten möchten.
1. Geben Sie die neuen Werte für die Parameter an, die Sie bearbeiten möchten. Sie können jeden Parameter bearbeiten, außer`RuleArn`.
Im folgenden Beispiel für wird die angegebene Automatisierungsregel aktualisiert. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.
```
$ aws securityhub batch-update-automation-rules \
--update-automation-rules-request-items '[
{
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Note": {
"Text": "Known issue that is a risk",
"UpdatedBy": "sechub-automation"
},
"Workflow": {
"Status": "NEW"
}
}
}],
"Criteria": {
"SeverityLabel": [{
"Value": "LOW",
"Comparison": "EQUALS"
}]
},
"RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"RuleOrder": 14,
"RuleStatus": "DISABLED",
}
]' \
--region us-east-1
```
------
# Reihenfolge der Automatisierungsregeln bearbeiten
Eine Automatisierungsregel kann verwendet werden, um Ergebnisse in AWS Security Hub CSPM automatisch zu aktualisieren. Hintergrundinformationen zur Funktionsweise von Automatisierungsregeln finden Sie unter. [Grundlegendes zu den Automatisierungsregeln in Security Hub CSPM](automation-rules.md)
Nach der Erstellung einer Automatisierungsregel kann der delegierte Security Hub CSPM-Administrator die Regel bearbeiten.
Wenn Sie die Regelkriterien und Aktionen unverändert lassen möchten, aber die Reihenfolge ändern möchten, in der Security Hub CSPM eine Automatisierungsregel anwendet, können Sie nur die Reihenfolge der Regeln bearbeiten. Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um die Reihenfolge der Regeln zu bearbeiten.
Anweisungen zum Bearbeiten der Kriterien oder Aktionen einer Automatisierungsregel finden Sie unter[Automatisierungsregeln bearbeiten](edit-automation-rules.md).
------
#### [ Console ]
**So bearbeiten Sie die Reihenfolge der Automatisierungsregeln (Konsole)**
1. Öffnen Sie mit den Anmeldeinformationen des Security Hub CSPM-Administrators die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. **Wählen Sie im Navigationsbereich Automations aus.**
1. Wählen Sie die Regel aus, deren Reihenfolge Sie ändern möchten. Wählen Sie **Priorität bearbeiten**.
1. Wählen **Sie Nach oben**, um die Priorität der Regel um eine Einheit zu erhöhen. Wählen **Sie Nach unten**, um die Priorität der Regel um eine Einheit zu verringern. Wählen **Sie „Nach oben“**, um der Regel die Reihenfolge **1** zuzuweisen (dadurch hat die Regel Vorrang vor anderen bestehenden Regeln).
**Anmerkung**
Wenn Sie eine Regel in der Security Hub CSPM-Konsole erstellen, weist Security Hub CSPM automatisch die Regelreihenfolge auf der Grundlage der Reihenfolge der Regelerstellung zu. Die zuletzt erstellte Regel hat den niedrigsten numerischen Wert für die Regelreihenfolge und gilt daher zuerst.
------
#### [ API ]
**Um die Reihenfolge der Automatisierungsregeln (API) zu bearbeiten**
1. Verwenden Sie den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html)Vorgang vom Security Hub CSPM-Administratorkonto aus.
1. Geben Sie für den `RuleArn` Parameter den ARN der Regel (n) an, deren Reihenfolge Sie bearbeiten möchten.
1. Ändern Sie den Wert des `RuleOrder` Felds.
**Anmerkung**
Wenn mehrere Regeln dasselbe haben`RuleOrder`, wendet Security Hub CSPM zuerst eine Regel mit einem früheren Wert für das `UpdatedAt` Feld an (d. h. die Regel, die zuletzt bearbeitet wurde, gilt zuletzt).
------
# Automatisierungsregeln löschen oder deaktivieren
Eine Automatisierungsregel kann verwendet werden, um Ergebnisse in AWS Security Hub CSPM automatisch zu aktualisieren. Hintergrundinformationen zur Funktionsweise von Automatisierungsregeln finden Sie unter. [Grundlegendes zu den Automatisierungsregeln in Security Hub CSPM](automation-rules.md)
Wenn Sie eine Automatisierungsregel löschen, entfernt Security Hub CSPM sie aus Ihrem Konto und wendet die Regel nicht mehr auf Ergebnisse an. Als Alternative zum Löschen können Sie eine Regel *deaktivieren*. Dadurch wird die Regel für die future Verwendung beibehalten, aber Security Hub CSPM wendet die Regel erst auf übereinstimmende Ergebnisse an, wenn Sie sie aktivieren.
Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten zum Löschen einer Automatisierungsregel. Sie können eine oder mehrere Regeln in einer einzigen Anfrage löschen.
------
#### [ Console ]
**Um Automatisierungsregeln zu löschen oder zu deaktivieren (Konsole)**
1. Öffnen Sie mit den Anmeldeinformationen des Security Hub CSPM-Administrators die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. **Wählen Sie im Navigationsbereich Automations aus.**
1. Wählen Sie die Regel (n) aus, die Sie löschen möchten. Wählen Sie **Aktion** und **Löschen** (um eine Regel beizubehalten, sie aber vorübergehend zu deaktivieren, wählen Sie **Deaktivieren**).
1. Bestätigen Sie Ihre Wahl und wählen Sie **Delete (Löschen)** aus.
------
#### [ API ]
**Um Automatisierungsregeln (API) zu löschen oder zu deaktivieren**
1. Verwenden Sie den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html)Vorgang vom Security Hub CSPM-Administratorkonto aus.
1. Geben Sie für den `AutomationRulesArns` Parameter den ARN der Regel (n) an, die Sie löschen möchten (um eine Regel beizubehalten, sie aber vorübergehend zu deaktivieren, geben `DISABLED` Sie den `RuleStatus` Parameter an).
Im folgenden Beispiel für wird die angegebene Automatisierungsregel gelöscht. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.
```
$ aws securityhub batch-delete-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]' \
--region us-east-1
```
------
# Beispiele für Automatisierungsregeln
Dieser Abschnitt enthält Beispiele für Automatisierungsregeln für gängige Security Hub CSPM-Anwendungsfälle. Diese Beispiele entsprechen Regelvorlagen, die auf der Security Hub CSPM-Konsole verfügbar sind.
## Erhöhen Sie den Schweregrad auf Kritisch, wenn eine bestimmte Ressource, z. B. ein S3-Bucket, gefährdet ist
In diesem Beispiel werden die Regelkriterien erfüllt, wenn es sich `ResourceId` bei einem Ergebnis um einen bestimmten Amazon Simple Storage Service (Amazon S3) -Bucket handelt. Die Regelaktion besteht darin, den Schweregrad der übereinstimmenden Ergebnisse auf zu ändern`CRITICAL`. Sie können diese Vorlage ändern, um sie auf andere Ressourcen anzuwenden.
**Beispiel für eine API-Anfrage**:
```
{
"IsTerminal": true,
"RuleName": "Elevate severity of findings that relate to important resources",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk",
"Criteria": {
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**Beispiel für einen CLI-Befehl:**
```
$
aws securityhub create-automation-rule \
--is-terminal \
--rule-name "Elevate severity of findings that relate to important resources" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
## Erhöhen Sie den Schweregrad von Feststellungen, die sich auf Ressourcen in Produktionskonten beziehen
In diesem Beispiel werden die Regelkriterien erfüllt, wenn in bestimmten Produktionskonten ein `HIGH` Schweregrad festgestellt wird. Die Regelaktion besteht darin, den Schweregrad der übereinstimmenden Ergebnisse auf zu ändern`CRITICAL`.
**Beispiel für eine API-Anfrage**:
```
{
"IsTerminal": false,
"RuleName": "Elevate severity for production accounts",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts",
"Criteria": {
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**Beispiel für einen CLI-Befehl**:
```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Elevate severity of findings that relate to resources in production accounts" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
## Informative Ergebnisse unterdrücken
In diesem Beispiel werden die Regelkriterien für die Ergebnisse des `INFORMATIONAL` Schweregrads, die von Amazon an Security Hub CSPM gesendet wurden, abgeglichen. GuardDuty Die Regelaktion besteht darin, den Workflow-Status der übereinstimmenden Ergebnisse auf zu ändern. `SUPPRESSED`
**Beispiel für eine API-Anfrage**:
```
{
"IsTerminal": false,
"RuleName": "Suppress informational findings",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Suppress GuardDuty findings with INFORMATIONAL severity",
"Criteria": {
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**Beispiel für einen CLI-Befehl**:
```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Suppress informational findings" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Suppress GuardDuty findings with INFORMATIONAL severity" \
--criteria '{
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
# Verwendung EventBridge für automatisierte Reaktionen und Problembehebungen
Durch die Erstellung von Regeln in Amazon EventBridge können Sie automatisch auf CSPM-Ergebnisse von AWS Security Hub reagieren. Security Hub CSPM sendet Ergebnisse als *Ereignisse* nahezu EventBridge in Echtzeit an. Sie können einfache Regeln schreiben, um anzugeben, an welchen Ereignissen Sie interessiert sind und welche automatisierten Aktionen ergriffen werden sollen, wenn ein Ereignis einer Regel entspricht. Die folgenden Aktionen können beispielsweise automatisch ausgelöst werden:
+ Eine AWS Lambda Funktion aufrufen
+ Aufrufen des Amazon EC2 EC2-Run-Befehls
+ Weiterleiten des Ereignisses an Amazon Kinesis Data Streams
+ Aktivierung einer Zustandsmaschine AWS Step Functions
+ Benachrichtigen eines Amazon SNS-Themas oder einer Amazon SQS-Warteschlange
+ Senden eines Funds an ein Ticketing-, Chat-, SIEM- oder Incident-Response- und Management-Tool eines Drittanbieters
Security Hub CSPM sendet automatisch alle neuen Erkenntnisse und alle Aktualisierungen vorhandener Ergebnisse EventBridge als EventBridge Ereignisse an. Sie können auch benutzerdefinierte Aktionen erstellen, mit denen Sie ausgewählte Ergebnisse und Insight-Ergebnisse an senden können. EventBridge
Anschließend konfigurieren Sie EventBridge Regeln, um auf jeden Ereignistyp zu reagieren.
Weitere Informationen zur Verwendung EventBridge finden Sie im [https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html).
**Anmerkung**
Als bewährte Methode sollten Sie sicherstellen, dass für die Zugriffsberechtigungen, die Ihren Benutzern gewährt werden, IAM-Richtlinien AWS Identity and Access Management (Least-Privilege) EventBridge verwendet werden, die nur die erforderlichen Berechtigungen gewähren.
Weitere Informationen finden Sie unter [Identitäts- und Zugriffsverwaltung in Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/auth-and-access-control-eventbridge.html).
Eine Reihe von Vorlagen für kontenübergreifende automatisierte Reaktionen und Problembehebungen ist auch unter Lösungen verfügbar. AWS Die Vorlagen nutzen EventBridge Ereignisregeln und Lambda-Funktionen. Sie stellen die Lösung mit CloudFormation und AWS Systems Manager bereit. Die Lösung kann vollautomatische Reaktions- und Abhilfemaßnahmen erstellen. Es kann auch benutzerdefinierte Security Hub CSPM-Aktionen verwenden, um vom Benutzer ausgelöste Reaktions- und Abhilfemaßnahmen zu erstellen. Einzelheiten zur Konfiguration und Verwendung der Lösung finden Sie auf der Lösungsseite [Automated Security Response](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/). AWS
**Topics**
+ [Security Hub CSPM-Ereignistypen in EventBridge](securityhub-cwe-integration-types.md)
+ [EventBridge Veranstaltungsformate für Security Hub CSPM](securityhub-cwe-event-formats.md)
+ [Konfiguration einer EventBridge Regel für Security Hub CSPM-Ergebnisse](securityhub-cwe-all-findings.md)
+ [Verwenden von benutzerdefinierten Aktionen zum Senden von Ergebnissen und Erkenntnissen an EventBridge](securityhub-cwe-custom-actions.md)
# Security Hub CSPM-Ereignistypen in EventBridge
Security Hub CSPM verwendet die folgenden EventBridge Amazon-Ereignistypen für die Integration. EventBridge
Auf dem EventBridge Dashboard für Security Hub CSPM umfasst **Alle Ereignisse all** diese Ereignistypen.
## Alle Funde (Security Hub Findings - Imported)
Security Hub CSPM sendet automatisch alle neuen Erkenntnisse und alle Aktualisierungen vorhandener Ergebnisse EventBridge als **Security Hub Findings - Imported**Ereignisse an. Jedes **Security Hub Findings - Imported**Ereignis enthält ein einzelnes Ergebnis.
Jede [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)AND-Anfrage löst ein **Security Hub Findings - Imported**Ereignis aus.
Bei Administratorkonten EventBridge enthält der Event-Feed Ereignisse für Ergebnisse sowohl aus ihrem Konto als auch aus ihren Mitgliedskonten.
In einer Aggregationsregion enthält der Event-Feed Ereignisse für Ergebnisse aus der Aggregationsregion und den verknüpften Regionen. Regionsübergreifende Ergebnisse werden nahezu in Echtzeit in den Event-Feed aufgenommen. Informationen zur Konfiguration der Suchaggregation finden Sie unter. [Grundlegendes zur regionsübergreifenden Aggregation in Security Hub CSPM](finding-aggregation.md)
Sie können Regeln definieren EventBridge , die Ergebnisse automatisch an einen Korrektur-Workflow, ein Drittanbieter-Tool oder ein [anderes unterstütztes EventBridge ](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html) Ziel weiterleiten. Die Regeln können Filter enthalten, die die Regel nur anwenden, wenn das Ergebnis bestimmte Attributwerte hat.
Sie verwenden diese Methode, um automatisch alle Ergebnisse oder alle Ergebnisse, die bestimmte Merkmale aufweisen, an einen Reaktions- oder Behebungsworkflow zu senden.
Siehe [Konfiguration einer EventBridge Regel für Security Hub CSPM-Ergebnisse](securityhub-cwe-all-findings.md).
## Funde für benutzerdefinierte Aktionen (Security Hub Findings - Custom Action)
Security Hub CSPM sendet auch Ergebnisse, die mit benutzerdefinierten Aktionen verknüpft sind, EventBridge als **Security Hub Findings - Custom Action**Ereignisse an.
Dies ist nützlich für Analysten, die mit der Security Hub CSPM-Konsole arbeiten und ein bestimmtes Ergebnis oder eine kleine Gruppe von Ergebnissen an einen Reaktions- oder Behebungsworkflow senden möchten. Sie können eine benutzerdefinierte Aktion für bis zu 20 Funde gleichzeitig auswählen. Jedes Ergebnis wird EventBridge als separates Ereignis gesendet. EventBridge
Wenn Sie eine benutzerdefinierte Aktion erstellen, weisen Sie ihr eine benutzerdefinierte Aktions-ID zu. Sie können diese ID verwenden, um eine EventBridge Regel zu erstellen, die eine bestimmte Aktion ausführt, nachdem sie ein Ergebnis erhalten hat, das mit dieser benutzerdefinierten Aktions-ID verknüpft ist.
Siehe [Verwenden von benutzerdefinierten Aktionen zum Senden von Ergebnissen und Erkenntnissen an EventBridge](securityhub-cwe-custom-actions.md).
Sie können beispielsweise eine benutzerdefinierte Aktion in Security Hub CSPM mit dem Namen erstellen. `send_to_ticketing` Anschließend erstellen Sie eine Regel EventBridge, die ausgelöst wird, wenn EventBridge ein Ergebnis eingeht, das die `send_to_ticketing` benutzerdefinierte Aktions-ID enthält. Die Regel beinhaltet eine Logik zum Senden der Funde an Ihr Ticketing-System. Anschließend können Sie Ergebnisse in Security Hub CSPM auswählen und die benutzerdefinierte Aktion in Security Hub CSPM verwenden, um Ergebnisse manuell an Ihr Ticketsystem zu senden.
Beispiele dafür, wie Sie Security Hub CSPM-Ergebnisse EventBridge zur weiteren Verarbeitung an diese senden können, finden Sie im Blog [How to Integrate AWS Security Hub CSPM Custom Actions with PagerDuty](https://aws.amazon.com/blogs/apn/how-to-integrate-aws-security-hub-custom-actions-with-pagerduty/) and [How to Enable Custom Actions in AWS Security Hub CSPM](https://aws.amazon.com/blogs/apn/how-to-enable-custom-actions-in-aws-security-hub/) on the AWS Partner Network (APN) -Blog.
## Insight-Ergebnisse für benutzerdefinierte Aktionen (Security Hub Insight Results)
Sie können auch benutzerdefinierte Aktionen verwenden, um Gruppen von Insight-Ergebnissen als Ereignisse an sie zu senden. EventBridge **Security Hub Insight Results** Insight-Ergebnisse sind die Ressourcen, die einem Einblick entsprechen. Beachten Sie, dass Sie, wenn Sie Insight-Ergebnisse an senden EventBridge, die Ergebnisse nicht an diese senden EventBridge. Sie senden nur die Ressourcen-IDs, die mit den Insight-Ergebnissen verknüpft sind. Sie können bis zu 100 Ressourcenkennungen gleichzeitig senden.
Ähnlich wie bei benutzerdefinierten Aktionen für Ergebnisse erstellen Sie zuerst die benutzerdefinierte Aktion in Security Hub CSPM und dann eine Regel in. EventBridge
Siehe [Verwenden von benutzerdefinierten Aktionen zum Senden von Ergebnissen und Erkenntnissen an EventBridge](securityhub-cwe-custom-actions.md).
Nehmen wir zum Beispiel an, Sie sehen ein bestimmtes Insight-Ergebnis von Interesse, das Sie mit einem Kollegen teilen möchten. In diesem Fall können Sie eine benutzerdefinierte Aktion verwenden, um dieses Insight-Ergebnis über ein Chat- oder Ticketsystem an den Kollegen zu senden.
# EventBridge Veranstaltungsformate für Security Hub CSPM
Die **Security Hub Insight Results**Ereignistypen **Security Hub Findings - Imported**Security Findings - Custom Action****, und verwenden die folgenden Ereignistypen.
Das Ereignisformat ist das Format, das verwendet wird, wenn Security Hub CSPM ein Ereignis sendet. EventBridge
## Security Hub Findings - Imported
**Security Hub Findings - Imported**Ereignisse, die von Security Hub CSPM gesendet werden, um das folgende EventBridge Format zu verwenden.
```
{
"version":"0",
"id":"CWE-event-id",
"detail-type":"Security Hub Findings - Imported",
"source":"aws.securityhub",
"account":"111122223333",
"time":"2019-04-11T21:52:17Z",
"region":"us-west-2",
"resources":[
"arn:aws:securityhub:us-west-2::product/aws/macie/arn:aws:macie:us-west-2:111122223333:integtest/trigger/6294d71b927c41cbab915159a8f326a3/alert/f2893b211841"
],
"detail":{
"findings": [{
}]
}
}
```
``ist der Inhalt des Ergebnisses, das durch das Ereignis gesendet wird, im JSON-Format. Jedes Ereignis sendet einen einzelnen Befund.
Eine vollständige Liste der Suchattribute finden Sie unter[AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md).
Informationen zur Konfiguration von EventBridge Regeln, die durch diese Ereignisse ausgelöst werden, finden Sie unter[Konfiguration einer EventBridge Regel für Security Hub CSPM-Ergebnisse](securityhub-cwe-all-findings.md).
## Security Hub Findings - Custom Action
**Security Hub Findings - Custom Action**Ereignisse, die von Security Hub CSPM gesendet werden, um das folgende EventBridge Format zu verwenden. Jeder Befund wird in einem separaten Ereignis gesendet.
```
{
"version": "0",
"id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
"detail-type": "Security Hub Findings - Custom Action",
"source": "aws.securityhub",
"account": "111122223333",
"time": "2019-04-11T18:43:48Z",
"region": "us-west-1",
"resources": [
"arn:aws:securityhub:us-west-1:111122223333:action/custom/custom-action-name"
],
"detail": {
"actionName":"custom-action-name",
"actionDescription": "description of the action",
"findings": [
{
}
]
}
}
```
``ist der Inhalt des Ergebnisses, das durch das Ereignis gesendet wird, im JSON-Format. Jedes Ereignis sendet einen einzelnen Befund.
Eine vollständige Liste der Suchattribute finden Sie unter[AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md).
Informationen zur Konfiguration von EventBridge Regeln, die durch diese Ereignisse ausgelöst werden, finden Sie unter[Verwenden von benutzerdefinierten Aktionen zum Senden von Ergebnissen und Erkenntnissen an EventBridge](securityhub-cwe-custom-actions.md).
## Security Hub Insight Results
**Security Hub Insight Results**Ereignisse, die von Security Hub CSPM gesendet werden, um das folgende EventBridge Format zu verwenden.
```
{
"version": "0",
"id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
"detail-type": "Security Hub Insight Results",
"source": "aws.securityhub",
"account": "111122223333",
"time": "2017-12-22T18:43:48Z",
"region": "us-west-1",
"resources": [
"arn:aws:securityhub:us-west-1:111122223333::product/aws/macie:us-west-1:222233334444:test/trigger/1ec9cf700ef6be062b19584e0b7d84ec/alert/f2893b211841"
],
"detail": {
"actionName":"name of the action",
"actionDescription":"description of the action",
"insightArn":"ARN of the insight",
"insightName":"Name of the insight",
"resultType":"ResourceAwsIamAccessKeyUserName",
"number of results":"number of results, max of 100",
"insightResults": [
{"result 1": 5},
{"result 2": 6}
]
}
}
```
Informationen zum Erstellen einer EventBridge Regel, die durch diese Ereignisse ausgelöst wird, finden Sie unter. [Verwenden von benutzerdefinierten Aktionen zum Senden von Ergebnissen und Erkenntnissen an EventBridge](securityhub-cwe-custom-actions.md)
# Konfiguration einer EventBridge Regel für Security Hub CSPM-Ergebnisse
Sie können in Amazon eine Regel erstellen EventBridge , die eine Aktion definiert, die ausgeführt werden soll, wenn ein **Security Hub Findings - Imported**Ereignis eingeht. **Security Hub Findings - Imported**Ereignisse werden durch Aktualisierungen sowohl von den als auch von [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)Vorgängen ausgelöst.
Jede Regel enthält ein Ereignismuster, das die Ereignisse identifiziert, die die Regel auslösen. Das Ereignismuster enthält immer die Ereignisquelle (`aws.securityhub`) und den Ereignistyp (**Security Hub Hub-Ergebnisse — Importiert**). Das Ereignismuster kann auch Filter angeben, um die Ergebnisse zu identifizieren, für die die Regel gilt.
Die Ereignisregel identifiziert dann die Regelziele. Die Ziele sind die Aktionen, die ergriffen werden müssen, EventBridge wenn ein Ereignis aus **Security Hub Findings — Imported eingeht** und das Ergebnis den Filtern entspricht.
Die hier bereitgestellten Anweisungen verwenden die EventBridge Konsole. Wenn Sie die Konsole verwenden, EventBridge wird automatisch die erforderliche ressourcenbasierte Richtlinie erstellt, die das Schreiben in Amazon CloudWatch Logs ermöglicht EventBridge .
Sie können auch den [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html)Betrieb der EventBridge API verwenden. Wenn Sie jedoch die EventBridge API verwenden, müssen Sie die ressourcenbasierte Richtlinie erstellen. Informationen zu den erforderlichen Richtlinien finden Sie unter [CloudWatch Logs-Berechtigungen](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions) im * EventBridge Amazon-Benutzerhandbuch*.
## Format des Ereignismusters
Das Format des Ereignismusters für **Security Hub Findings — Importierte** Ereignisse lautet wie folgt:
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Imported"
],
"detail": {
"findings": {
}
}
}
```
+ `source`identifiziert Security Hub CSPM als den Dienst, der das Ereignis generiert.
+ `detail-type`identifiziert den Ereignistyp.
+ `detail`ist optional und stellt die Filterwerte für das Ereignismuster bereit. Wenn das Ereignismuster kein `detail` Feld enthält, lösen alle Ergebnisse die Regel aus.
Sie können die Ergebnisse auf der Grundlage eines beliebigen Ergebnisattributs filtern. Für jedes Attribut geben Sie ein durch Kommas getrenntes Array mit einem oder mehreren Werten an.
```
"": [ "", ""]
```
Wenn Sie mehr als einen Wert für ein Attribut angeben, werden diese Werte durch verknüpft. `OR` Ein Ergebnis entspricht dem Filter für ein einzelnes Attribut, wenn das Ergebnis einen der aufgelisteten Werte enthält. Wenn Sie beispielsweise `INFORMATIONAL` sowohl als auch `LOW` als Werte für angeben`Severity.Label`, stimmt das Ergebnis überein, wenn es den Schweregrad entweder `INFORMATIONAL` oder hat`LOW`.
Die Attribute werden durch verknüpft`AND`. Ein Ergebnis stimmt überein, wenn es den Filterkriterien für alle angegebenen Attribute entspricht.
Wenn Sie einen Attributwert angeben, muss dieser die Position dieses Attributs innerhalb der ASFF-Struktur ( AWS Security Finding Format) widerspiegeln.
**Tipp**
Wir empfehlen, beim Filtern von Kontrollergebnissen die [Felder `SecurityControlId` oder `SecurityControlArn` ASFF](securityhub-findings-format.md) als Filter zu verwenden und nicht oder. `Title` `Description` Letztere Felder können sich gelegentlich ändern, wohingegen die Kontroll-ID und der ARN statische Identifikatoren sind.
Im folgenden Beispiel stellt das Ereignismuster Filterwerte für `ProductArn` und bereit`Severity.Label`, sodass ein Ergebnis übereinstimmt, wenn es von Amazon Inspector generiert wurde und den Schweregrad entweder `INFORMATIONAL` oder hat`LOW`.
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Imported"
],
"detail": {
"findings": {
"ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"],
"Severity": {
"Label": ["INFORMATIONAL", "LOW"]
}
}
}
}
```
## Eine Ereignisregel erstellen
Sie können ein vordefiniertes oder ein benutzerdefiniertes Ereignismuster verwenden, um eine Regel in zu erstellen EventBridge. Wenn Sie ein vordefiniertes Muster auswählen, EventBridge wird automatisch `source` und ausgefüllt`detail-type`. EventBridge bietet außerdem Felder zur Angabe von Filterwerten für die folgenden Suchattribute:
+ `AwsAccountId`
+ `Compliance.Status`
+ `Criticality`
+ `ProductArn`
+ `RecordState`
+ `ResourceId`
+ `ResourceType`
+ `Severity.Label`
+ `Types`
+ `Workflow.Status`
**Um eine EventBridge Regel zu erstellen (Konsole)**
1. Öffnen Sie die EventBridge Amazon-Konsole unter [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Erstellen Sie mit den folgenden Werten eine EventBridge Regel, die das Auffinden von Ereignissen überwacht:
+ Bei **Regeltyp** wählen Sie **Regel mit einem Ereignismuster** aus.
+ Wählen Sie aus, wie das Ereignismuster erstellt werden soll.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/securityhub-cwe-all-findings.html)
+ Wählen Sie für **Zieltypen** die Option **AWS Service** und für Ziel **auswählen ein Ziel** aus, z. B. ein Amazon SNS-Thema oder eine Amazon AWS Lambda SNS-Funktion. Das Ziel wird ausgelöst, wenn ein Ereignis empfangen wird, das dem in der Regel definierten Ereignismuster entspricht.
Einzelheiten zum Erstellen von Regeln finden Sie im [* EventBridge Amazon-Benutzerhandbuch unter Erstellen von EventBridge Amazon-Regeln*, die auf Ereignisse reagieren](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html).
# Verwenden von benutzerdefinierten Aktionen zum Senden von Ergebnissen und Erkenntnissen an EventBridge
Um benutzerdefinierte AWS Security Hub CSPM-Aktionen zu verwenden, um Ergebnisse oder Insight-Ergebnisse an Amazon zu senden EventBridge, erstellen Sie zunächst die benutzerdefinierte Aktion in Security Hub CSPM. Anschließend können Sie Regeln definieren, die für Ihre EventBridge benutzerdefinierten Aktionen gelten.
Sie können bis zu 50 benutzerdefinierte Aktionen erstellen.
Wenn Sie die regionsübergreifende Aggregation aktivieren und Ergebnisse aus der Aggregationsregion verwalten, erstellen Sie benutzerdefinierte Aktionen in der Aggregationsregion.
Die Regel EventBridge verwendet den Amazon-Ressourcennamen (ARN) aus der benutzerdefinierten Aktion.
# Eine benutzerdefinierte Aktion erstellen
Wenn Sie eine benutzerdefinierte Aktion in AWS Security Hub CSPM erstellen, geben Sie ihren Namen, ihre Beschreibung und eine eindeutige Kennung an.
Eine benutzerdefinierte Aktion gibt an, welche Aktionen ausgeführt werden sollen, wenn ein EventBridge Ereignis einer EventBridge Regel entspricht. Security Hub CSPM sendet jedes Ergebnis EventBridge als Ereignis an.
Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um eine benutzerdefinierte Aktion zu erstellen.
------
#### [ Console ]
**Um eine benutzerdefinierte Aktion in Security Hub CSPM (Konsole) zu erstellen**
1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Wählen Sie im Navigationsbereich **Settings (Einstellungen)** und dann **Custom actions (Benutzerdefinierte Aktionen)** aus.
1. Wählen Sie **Create custom action (Benutzerdefinierte Aktion erstellen)** aus.
1. Machen Sie für die Aktion Angaben bei **Name**, **Description (Beschreibung)** und **Custom action ID (Benutzerdefinierte Aktions-ID)**.
Der **Name** muss weniger als 20 Zeichen lang sein.
Die **benutzerdefinierte Aktions-ID** muss für jedes AWS Konto eindeutig sein.
1. Wählen Sie **Create custom action (Benutzerdefinierte Aktion erstellen)** aus.
1. Notieren Sie sich den **Custom action ARN (Benutzerdefinierter Aktions-ARN)**. Sie müssen den ARN verwenden, wenn Sie eine Regel erstellen, um sie in EventBridge dieser Aktion zuzuordnen.
------
#### [ API ]
**Um eine benutzerdefinierte Aktion (API) zu erstellen**
Verwenden Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html)Operation. Wenn Sie den verwenden AWS CLI, führen Sie den [create-action-target](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-action-target.html)Befehl aus.
Im folgenden Beispiel wird eine benutzerdefinierte Aktion erstellt, um Ergebnisse an ein Behebungstool zu senden. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.
```
$ aws securityhub create-action-target --name "Send to remediation" --description "Action to send the finding for remediation tracking" --id "Remediation"
```
------
# Definition einer Regel in EventBridge
Um eine benutzerdefinierte Aktion in Amazon auszulösen EventBridge, müssen Sie eine entsprechende Regel in erstellen EventBridge. Die Regeldefinition beinhaltet den Amazon-Ressourcennamen (ARN) der benutzerdefinierten Aktion.
Das Ereignismuster für ein **Security Hub Findings — Custom Action-Ereignis** hat das folgende Format:
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Custom Action"
],
"resources": [ "" ]
}
```
Das Ereignismuster für ein **Security Hub Insight Results-Ereignis** hat das folgende Format:
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Insight Results"
],
"resources": [ "" ]
}
```
In beiden Mustern `` ist dies der ARN einer benutzerdefinierten Aktion. Sie können eine Regel konfigurieren, die für mehr als eine benutzerdefinierte Aktion gilt.
Die hier bereitgestellten Anweisungen gelten für die EventBridge Konsole. Wenn Sie die Konsole verwenden, EventBridge wird automatisch die erforderliche ressourcenbasierte Richtlinie erstellt, die das Schreiben EventBridge in Protokolle ermöglicht. CloudWatch
Sie können auch den [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html)API-Betrieb der EventBridge API verwenden. Wenn Sie jedoch die EventBridge API verwenden, müssen Sie die ressourcenbasierte Richtlinie erstellen. Einzelheiten zu den erforderlichen Richtlinien finden Sie unter [CloudWatch Logs-Berechtigungen](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions) im * EventBridge Amazon-Benutzerhandbuch*.
**Um eine Regel in EventBridge (EventBridge Konsole) zu definieren**
1. Öffnen Sie die EventBridge Amazon-Konsole unter [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Wählen Sie im Navigationsbereich **Regeln** aus.
1. Wählen Sie **Regel erstellen** aus.
1. Geben Sie einen Namen und eine Beschreibung für die Regel ein.
1. Wählen Sie für **Event Bus** den Event Bus aus, den Sie dieser Regel zuordnen möchten. Wenn Sie möchten, dass diese Regel mit Ereignissen aus Ihrem eigenen Konto übereinstimmt, wählen Sie **Standard** aus. Wenn ein AWS -Service in Ihrem Konto ein Ereignis ausgibt, wird es stets an den Standard-Event-Bus Ihres Kontos weitergeleitet.
1. Bei **Regeltyp** wählen Sie **Regel mit einem Ereignismuster** aus.
1. Wählen Sie **Weiter** aus.
1. Wählen Sie unter **Event source** (Ereignisquelle) **AWS events** (Ereignisse) aus.
1. Wählen Sie für **Ereignismuster** die Option **Ereignismusterformular**.
1. Als **Event source** (Ereignisquelle) wählen Sie **AWS -Services** aus.
1. Wählen Sie als **AWS Service** **Security Hub**.
1. Führen Sie für **Type (Typ)** eine der folgenden Aktionen aus:
+ Um eine Regel zu erstellen, die angewendet wird, wenn Sie Ergebnisse an eine benutzerdefinierte Aktion senden, wählen Sie **Security Hub Hub-Ergebnisse — Benutzerdefinierte Aktion**.
+ Um eine Regel zu erstellen, die angewendet wird, wenn Sie Insight-Ergebnisse an eine benutzerdefinierte Aktion senden, wählen Sie **Security Hub Insight-Ergebnisse**.
1. Wählen Sie **Spezifische benutzerdefinierte Aktion ARNs** und fügen Sie einen benutzerdefinierten Aktions-ARN hinzu.
Wenn die Regel für mehrere benutzerdefinierte Aktionen gilt, wählen Sie **Hinzufügen** aus, um weitere benutzerdefinierte Aktionen hinzuzufügen ARNs.
1. Wählen Sie **Weiter** aus.
1. **Wählen und konfigurieren Sie unter Ziele** auswählen das Ziel, das aufgerufen werden soll, wenn diese Regel erfüllt ist.
1. Wählen Sie **Weiter** aus.
1. (Optional) Geben Sie ein oder mehrere Tags für die Regel ein. Weitere Informationen finden Sie unter [ EventBridge Amazon-Tags](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html) im * EventBridge Amazon-Benutzerhandbuch*.
1. Wählen Sie **Weiter** aus.
1. Überprüfen Sie die Details der Regel und wählen Sie dann **Regel erstellen** aus.
Wenn Sie eine benutzerdefinierte Aktion mit Ergebnissen oder Insight-Ergebnissen in Ihrem Konto durchführen, werden Ereignisse in generiert EventBridge.
# Auswahl einer benutzerdefinierten Aktion für Ergebnisse und Insight-Ergebnisse
Nachdem Sie benutzerdefinierte AWS Security Hub CSPM-Aktionen und EventBridge Amazon-Regeln erstellt haben, können Sie Ergebnisse und Insight-Ergebnisse EventBridge zur automatischen Verwaltung und Verarbeitung an diese senden.
Ereignisse werden EventBridge nur an das Konto gesendet, in dem sie angesehen werden. Wenn Sie ein Ergebnis mit einem Administratorkonto anzeigen, wird das Ereignis EventBridge an das Administratorkonto gesendet.
Damit AWS API-Aufrufe wirksam sind, müssen bei den Implementierungen des Zielcodes Rollen in Mitgliedskonten umgewandelt werden. Das bedeutet auch, dass die Rolle, in die Sie wechseln, für jedes Mitglied bereitgestellt werden muss, bei dem Maßnahmen erforderlich sind.
**Um Ergebnisse an EventBridge (Konsole) zu senden**
1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Zeigen Sie eine Liste der Ergebnisse an:
+ Unter **Ergebnisse** können Sie die Ergebnisse aller aktivierten Produktintegrationen und Kontrollen einsehen.
+ Unter **Sicherheitsstandards** können Sie zu einer Liste mit Ergebnissen navigieren, die anhand einer bestimmten Kontrolle generiert wurden. Weitere Informationen finden Sie unter [Überprüfung der Details der Kontrollen in Security Hub CSPM](securityhub-standards-control-details.md).
+ Unter **Integrationen** können Sie zu einer Liste von Ergebnissen navigieren, die durch eine aktivierte Integration generiert wurden. Weitere Informationen finden Sie unter [Ergebnisse einer Security Hub CSPM-Integration anzeigen](securityhub-integration-view-findings.md).
+ In **Insights** können Sie zu einer Ergebnisliste für ein Insight-Ergebnis navigieren. Weitere Informationen finden Sie unter [Überprüfung und Umsetzung der Erkenntnisse aus Security Hub CSPM](securityhub-insights-view-take-action.md).
1. Wählen Sie die Ergebnisse aus, an die Sie senden möchten EventBridge. Sie können bis zu 20 Ergebnisse gleichzeitig auswählen.
1. Wählen Sie unter **Aktionen** die benutzerdefinierte Aktion aus, die der anzuwendenden EventBridge Regel entspricht.
Security Hub CSPM sendet für jeden **Befund ein separates Ereignis Security Hub Findings — Custom Action**.
**Um Insight-Ergebnisse an EventBridge (Konsole) zu senden**
1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Wählen Sie im Navigationsbereich ** Insights** aus.
1. Wählen Sie auf der **Insights-Seite** den Insight aus, der die Ergebnisse enthält, an die Sie senden möchten. EventBridge
1. Wählen Sie die Insight-Ergebnisse aus, an die Sie senden möchten EventBridge. Sie können bis zu 20 Ergebnisse gleichzeitig auswählen.
1. Wählen Sie unter **Aktionen** die benutzerdefinierte Aktion aus, die der anzuwendenden EventBridge Regel entspricht.