

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Configuración de una EventBridge regla para las conclusiones del CSPM de Security Hub
<a name="securityhub-cwe-all-findings"></a>

Puedes crear una regla en Amazon EventBridge que defina la acción que se debe realizar cuando se reciba un **Security Hub Findings - Imported**evento. **Security Hub Findings - Imported**los eventos se desencadenan por las actualizaciones de [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)las operaciones [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)y.

Cada regla contiene un patrón de eventos, que identifica los eventos que activan la regla. El patrón de eventos siempre contiene la fuente del evento (`aws.securityhub`) y el tipo de evento (**Resultados de Security Hub - Importado**). El patrón de eventos también puede especificar filtros para identificar los resultados a los que se aplica la regla.

A continuación, la regla de eventos identifica los objetivos de la regla. Los objetivos son las acciones que se deben realizar cuando EventBridge recibe un evento **de Security Hub Findings - Imported** y el hallazgo coincide con los filtros.

Las instrucciones que se proporcionan aquí utilizan la EventBridge consola. Cuando utilizas la consola, crea EventBridge automáticamente la política basada en los recursos necesaria que permite EventBridge escribir en Amazon CloudWatch Logs.

También puede utilizar el [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html)funcionamiento de la EventBridge API. Sin embargo, si usa la EventBridge API, debe crear la política basada en recursos. Para obtener información sobre la política requerida, consulta [CloudWatch los permisos de registros](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions) en la *Guía del EventBridge usuario de Amazon*.

## Formato del patrón de eventos
<a name="securityhub-cwe-all-findings-rule-format"></a>

El formato del patrón de eventos para los eventos **Resultados de Security Hub - Importado** es el siguiente:

```
{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Findings - Imported"
  ],
  "detail": {
    "findings": {
      <attribute filter values>
    }
  }
}
```
+ `source` identifica al CSPM de Security Hub como el servicio que genera el evento.
+ `detail-type` identifica el tipo de evento.
+ `detail` es opcional y proporciona los valores de filtro para el patrón de eventos. Si el patrón de eventos no contiene un campo `detail`, todos los resultados activan la regla.

Puede filtrar los resultados en función de cualquier atributo del resultado. Para cada atributo, proporciona una matriz separada por comas de uno o más valores.

```
"<attribute name>": [ "<value1>", "<value2>"]
```

Si proporciona más de un valor para un atributo, estos valores se unen mediante `OR`. Un resultado coincide con el filtro para un atributo individual si el resultado tiene cualquiera de los valores enumerados. Por ejemplo, si proporciona `INFORMATIONAL` y `LOW` como valores para `Severity.Label`, entonces el resultado coincide si tiene una etiqueta de gravedad de `INFORMATIONAL` o `LOW`.

Los atributos se unen mediante `AND`. Un resultado coincide si este coincide con los criterios de filtrado para todos los atributos proporcionados.

Al proporcionar un valor de atributo, debe reflejar la ubicación de ese atributo dentro de la estructura del formato AWS de búsqueda de seguridad (ASFF).

**sugerencia**  
Para filtrar los resultados de los controles, le recomendamos que utilice los [campos ASFF](securityhub-findings-format.md) `SecurityControlId` o `SecurityControlArn` como filtros, en vez de `Title` o `Description`. Estos últimos campos podrían cambiar ocasionalmente, mientras que el ID de control y el ARN son identificadores estáticos.

En el siguiente ejemplo, el patrón de eventos proporciona valores de filtro para `ProductArn` y `Severity.Label`, por lo que un resultado coincide si lo genera Amazon Inspector y tiene una etiqueta de gravedad de `INFORMATIONAL` o `LOW`.

```
{
    "source": [
        "aws.securityhub"
     ],
    "detail-type": [
        "Security Hub Findings - Imported"
    ],
    "detail": {
        "findings": {
            "ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"],
            "Severity": {
                "Label": ["INFORMATIONAL", "LOW"]
            }
        }
    }
}
```

## Creación de una regla de eventos
<a name="securityhub-cwe-all-findings-predefined-pattern"></a>

Puede utilizar un patrón de eventos predefinido o un patrón de eventos personalizado para crear una regla. EventBridge Si selecciona un patrón predefinido, rellena EventBridge automáticamente `source` y`detail-type`. EventBridge también proporciona campos para especificar los valores de filtro para los siguientes atributos de búsqueda:
+ `AwsAccountId`
+ `Compliance.Status`
+ `Criticality`
+ `ProductArn`
+ `RecordState`
+ `ResourceId`
+ `ResourceType`
+ `Severity.Label`
+ `Types`
+ `Workflow.Status`

**Para crear una EventBridge regla (consola)**

1. Abre la EventBridge consola de Amazon en [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).

1. Con los siguientes valores, cree una EventBridge regla que supervise la búsqueda de eventos:
   + En **Tipo de regla**, seleccione **Regla con un patrón de evento**.
   + Elija cómo crear el patrón de eventos.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/securityhub-cwe-all-findings.html)
   + Para los **tipos de destino**, elija el **AWS servicio** y, para **Seleccione un objetivo**, elija un objetivo, como un tema o AWS Lambda una función de Amazon SNS. El destino se activa cuando se recibe un evento que coincide con el patrón de eventos definido en la regla.

   Para obtener más información sobre la creación de reglas, consulta [Cómo crear EventBridge reglas de Amazon que reaccionen a los eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) en la *Guía del EventBridge usuario de Amazon*.