

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Konfiguration einer EventBridge Regel für Security Hub CSPM-Ergebnisse
<a name="securityhub-cwe-all-findings"></a>

Sie können in Amazon eine Regel erstellen EventBridge , die eine Aktion definiert, die ausgeführt werden soll, wenn ein **Security Hub Findings - Imported**Ereignis eingeht. **Security Hub Findings - Imported**Ereignisse werden durch Aktualisierungen sowohl von den als auch von [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)Vorgängen ausgelöst.

Jede Regel enthält ein Ereignismuster, das die Ereignisse identifiziert, die die Regel auslösen. Das Ereignismuster enthält immer die Ereignisquelle (`aws.securityhub`) und den Ereignistyp (**Security Hub Hub-Ergebnisse — Importiert**). Das Ereignismuster kann auch Filter angeben, um die Ergebnisse zu identifizieren, für die die Regel gilt.

Die Ereignisregel identifiziert dann die Regelziele. Die Ziele sind die Aktionen, die ergriffen werden müssen, EventBridge wenn ein Ereignis aus **Security Hub Findings — Imported eingeht** und das Ergebnis den Filtern entspricht.

Die hier bereitgestellten Anweisungen verwenden die EventBridge Konsole. Wenn Sie die Konsole verwenden, EventBridge wird automatisch die erforderliche ressourcenbasierte Richtlinie erstellt, die das Schreiben in Amazon CloudWatch Logs ermöglicht EventBridge .

Sie können auch den [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html)Betrieb der EventBridge API verwenden. Wenn Sie jedoch die EventBridge API verwenden, müssen Sie die ressourcenbasierte Richtlinie erstellen. Informationen zu den erforderlichen Richtlinien finden Sie unter [CloudWatch Logs-Berechtigungen](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions) im * EventBridge Amazon-Benutzerhandbuch*.

## Format des Ereignismusters
<a name="securityhub-cwe-all-findings-rule-format"></a>

Das Format des Ereignismusters für **Security Hub Findings — Importierte** Ereignisse lautet wie folgt:

```
{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Findings - Imported"
  ],
  "detail": {
    "findings": {
      <attribute filter values>
    }
  }
}
```
+ `source`identifiziert Security Hub CSPM als den Dienst, der das Ereignis generiert.
+ `detail-type`identifiziert den Ereignistyp.
+ `detail`ist optional und stellt die Filterwerte für das Ereignismuster bereit. Wenn das Ereignismuster kein `detail` Feld enthält, lösen alle Ergebnisse die Regel aus.

Sie können die Ergebnisse auf der Grundlage eines beliebigen Ergebnisattributs filtern. Für jedes Attribut geben Sie ein durch Kommas getrenntes Array mit einem oder mehreren Werten an.

```
"<attribute name>": [ "<value1>", "<value2>"]
```

Wenn Sie mehr als einen Wert für ein Attribut angeben, werden diese Werte durch verknüpft. `OR` Ein Ergebnis entspricht dem Filter für ein einzelnes Attribut, wenn das Ergebnis einen der aufgelisteten Werte enthält. Wenn Sie beispielsweise `INFORMATIONAL` sowohl als auch `LOW` als Werte für angeben`Severity.Label`, stimmt das Ergebnis überein, wenn es den Schweregrad entweder `INFORMATIONAL` oder hat`LOW`.

Die Attribute werden durch verknüpft`AND`. Ein Ergebnis stimmt überein, wenn es den Filterkriterien für alle angegebenen Attribute entspricht.

Wenn Sie einen Attributwert angeben, muss dieser die Position dieses Attributs innerhalb der ASFF-Struktur ( AWS Security Finding Format) widerspiegeln.

**Tipp**  
Wir empfehlen, beim Filtern von Kontrollergebnissen die [Felder `SecurityControlId` oder `SecurityControlArn` ASFF](securityhub-findings-format.md) als Filter zu verwenden und nicht oder. `Title` `Description` Letztere Felder können sich gelegentlich ändern, wohingegen die Kontroll-ID und der ARN statische Identifikatoren sind.

Im folgenden Beispiel stellt das Ereignismuster Filterwerte für `ProductArn` und bereit`Severity.Label`, sodass ein Ergebnis übereinstimmt, wenn es von Amazon Inspector generiert wurde und den Schweregrad entweder `INFORMATIONAL` oder hat`LOW`.

```
{
    "source": [
        "aws.securityhub"
     ],
    "detail-type": [
        "Security Hub Findings - Imported"
    ],
    "detail": {
        "findings": {
            "ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"],
            "Severity": {
                "Label": ["INFORMATIONAL", "LOW"]
            }
        }
    }
}
```

## Eine Ereignisregel erstellen
<a name="securityhub-cwe-all-findings-predefined-pattern"></a>

Sie können ein vordefiniertes oder ein benutzerdefiniertes Ereignismuster verwenden, um eine Regel in zu erstellen EventBridge. Wenn Sie ein vordefiniertes Muster auswählen, EventBridge wird automatisch `source` und ausgefüllt`detail-type`. EventBridge bietet außerdem Felder zur Angabe von Filterwerten für die folgenden Suchattribute:
+ `AwsAccountId`
+ `Compliance.Status`
+ `Criticality`
+ `ProductArn`
+ `RecordState`
+ `ResourceId`
+ `ResourceType`
+ `Severity.Label`
+ `Types`
+ `Workflow.Status`

**Um eine EventBridge Regel zu erstellen (Konsole)**

1. Öffnen Sie die EventBridge Amazon-Konsole unter [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).

1. Erstellen Sie mit den folgenden Werten eine EventBridge Regel, die das Auffinden von Ereignissen überwacht:
   + Bei **Regeltyp** wählen Sie **Regel mit einem Ereignismuster** aus.
   + Wählen Sie aus, wie das Ereignismuster erstellt werden soll.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/securityhub-cwe-all-findings.html)
   + Wählen Sie für **Zieltypen** die Option **AWS Service** und für Ziel **auswählen ein Ziel** aus, z. B. ein Amazon SNS-Thema oder eine Amazon AWS Lambda SNS-Funktion. Das Ziel wird ausgelöst, wenn ein Ereignis empfangen wird, das dem in der Regel definierten Ereignismuster entspricht.

   Einzelheiten zum Erstellen von Regeln finden Sie im [* EventBridge Amazon-Benutzerhandbuch unter Erstellen von EventBridge Amazon-Regeln*, die auf Ereignisse reagieren](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html).