Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Modification automatique des résultats et prise en compte des résultats dans Security Hub CSPM
AWS Security Hub CSPM possède des fonctionnalités qui modifient automatiquement les résultats et prennent des mesures en fonction de vos spécifications.
Security Hub CSPM prend actuellement en charge deux types d'automatisations :
+ **Règles d'automatisation** : mettez à jour et supprimez automatiquement les résultats en temps quasi réel en fonction de critères que vous définissez.
+ **Réponse et correction automatisées** : créez des EventBridge règles Amazon personnalisées qui définissent les actions automatiques à entreprendre en fonction de résultats et d'informations spécifiques.
Les règles d'automatisation sont utiles lorsque vous souhaitez mettre à jour automatiquement les champs de recherche au format ASFF ( AWS Security Finding Format). Par exemple, vous pouvez utiliser une règle d'automatisation pour mettre à jour le niveau de gravité ou l'état du flux de travail des résultats issus d'intégrations tierces spécifiques. L'utilisation de la règle d'automatisation élimine le besoin de mettre à jour manuellement le niveau de gravité ou l'état du flux de travail de chaque découverte provenant de ce produit tiers.
EventBridge les règles sont utiles lorsque vous souhaitez prendre des mesures en dehors de Security Hub CSPM en ce qui concerne des résultats spécifiques ou envoyer des résultats spécifiques à des outils tiers à des fins de correction ou d'investigation supplémentaire. Les règles peuvent être utilisées pour déclencher des actions prises en charge, telles que l'appel d'une AWS Lambda fonction ou la notification d'un résultat spécifique à une rubrique Amazon Simple Notification Service (Amazon SNS).
Les règles d'automatisation prennent effet avant EventBridge leur application. C'est-à-dire que les règles d'automatisation sont déclenchées et mettent à jour un résultat avant de le EventBridge recevoir. EventBridge les règles s'appliquent ensuite au résultat mis à jour.
Lorsque vous configurez des automatisations pour les contrôles de sécurité, nous vous recommandons de filtrer en fonction de l'ID du contrôle plutôt que du titre ou de la description. Alors que Security Hub CSPM met occasionnellement à jour les titres et les descriptions des contrôles, le contrôle IDs reste le même.
**Topics**
+ [Comprendre les règles d'automatisation dans Security Hub CSPM](automation-rules.md)
+ [Utilisation EventBridge pour une réponse et une correction automatisées](securityhub-cloudwatch-events.md)
# Comprendre les règles d'automatisation dans Security Hub CSPM
Vous pouvez utiliser des règles d'automatisation pour mettre à jour automatiquement les résultats dans AWS Security Hub CSPM. Au fur et à mesure qu'il ingère les résultats, le Security Hub CSPM peut appliquer diverses règles, telles que la suppression des résultats, la modification de leur gravité et l'ajout de notes. Ces actions de règle modifient les résultats qui correspondent aux critères que vous avez spécifiés.
Voici des exemples de cas d'utilisation des règles d'automatisation :
+ Augmenter la gravité d'une constatation jusqu'à ce `CRITICAL` que son identifiant de ressource fasse référence à une ressource critique pour l'entreprise.
+ Augmenter la gravité d'une constatation de `HIGH` à `CRITICAL` si la constatation affecte les ressources dans des comptes de production spécifiques.
+ Attribuer des résultats spécifiques présentant un statut de `SUPPRESSED` flux de `INFORMATIONAL` travail grave.
Vous pouvez créer et gérer des règles d'automatisation à partir d'un compte administrateur Security Hub CSPM uniquement.
Les règles s'appliquent à la fois aux nouvelles découvertes et aux découvertes mises à jour. Vous pouvez créer une règle personnalisée à partir de zéro ou utiliser un modèle de règle fourni par Security Hub CSPM. Vous pouvez également commencer par un modèle et le modifier selon vos besoins.
## Définition des critères et des actions des règles
*À partir d'un compte administrateur Security Hub CSPM, vous pouvez créer une règle d'automatisation en définissant un ou plusieurs *critères* de règle et une ou plusieurs actions de règle.* Lorsqu'un résultat correspond aux critères définis, Security Hub CSPM lui applique les actions de règle. Pour plus d'informations sur les critères et actions disponibles, consultez[Critères de règle et actions de règle disponibles](#automation-rules-criteria-actions).
Security Hub CSPM prend actuellement en charge un maximum de 100 règles d'automatisation pour chaque compte administrateur.
Le compte administrateur Security Hub CSPM peut également modifier, afficher et supprimer les règles d'automatisation. Une règle s'applique à la correspondance des résultats dans le compte administrateur et dans tous ses comptes membres. En fournissant un compte membre IDs comme critère de règle, les administrateurs de Security Hub CSPM peuvent également utiliser des règles d'automatisation pour mettre à jour ou supprimer les résultats de comptes de membres spécifiques.
Une règle d'automatisation s'applique uniquement dans le Région AWS pays dans lequel elle a été créée. Pour appliquer une règle dans plusieurs régions, l'administrateur doit créer la règle dans chaque région. Cela peut être effectué via la console Security Hub CSPM, l'API Security Hub CSPM ou. [AWS CloudFormation](creating-resources-with-cloudformation.md) Vous pouvez également utiliser un [script de déploiement multirégional](https://github.com/awslabs/aws-securityhub-multiaccount-scripts/blob/master/automation_rules).
## Critères de règle et actions de règle disponibles
Les champs ASFF ( AWS Security Finding Format) suivants sont actuellement pris en charge en tant que critères pour les règles d'automatisation :
| Critère de règle | Opérateurs de filtre | Type de champ |
| --- | --- | --- |
| AwsAccountId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| AwsAccountName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Chaîne |
| CompanyName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Chaîne |
| ComplianceAssociatedStandardsId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Chaîne |
| ComplianceSecurityControlId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ComplianceStatus | Is, Is Not | Sélectionnez : [FAILED,NOT\$1AVAILABLE,PASSED,WARNING] |
| Confidence | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Number |
| CreatedAt | Start, End, DateRange | Date (formatée sous la forme : ○ 12-01T 21:47:39.269 Z) |
| Criticality | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Number |
| Description | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| FirstObservedAt | Start, End, DateRange | Date (formatée sous la forme : ○ 12-01T 21:47:39.269 Z) |
| GeneratorId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| Id | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| LastObservedAt | Start, End, DateRange | Date (formatée sous la forme : ○ 12-01T 21:47:39.269 Z) |
| NoteText | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| NoteUpdatedAt | Start, End, DateRange | Date (formatée sous la forme : ○ 12-01T 21:47:39.269 Z) |
| NoteUpdatedBy | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ProductArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Chaîne |
| ProductName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Chaîne |
| RecordState | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Chaîne |
| RelatedFindingsId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Chaîne |
| RelatedFindingsProductArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Chaîne |
| ResourceApplicationArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Chaîne |
| ResourceApplicationName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ResourceDetailsOther | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Map |
| ResourceId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ResourcePartition | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Chaîne |
| ResourceRegion | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ResourceTags | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Map |
| ResourceType | Is, Is Not | Sélectionnez (voir [Ressources](https://docs.aws.amazon.com/securityhub/latest/userguide/asff-resources.html) prises en charge par ASFF) |
| SeverityLabel | Is, Is Not | Sélectionnez : [CRITICAL,HIGH,MEDIUM,LOW,INFORMATIONAL] |
| SourceUrl | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| Title | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Chaîne |
| Type | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| UpdatedAt | Start, End, DateRange | Date (formatée sous la forme : ○ 12-01T 21:47:39.269 Z) |
| UserDefinedFields | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Map |
| VerificationState | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| WorkflowStatus | Is, Is Not | Sélectionnez : [NEW,NOTIFIED,RESOLVED,SUPPRESSED] |
Pour les critères étiquetés sous forme de champs de chaîne, l'utilisation de différents opérateurs de filtre sur le même champ affecte la logique d'évaluation. Pour plus d'informations, consultez le document [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html)de référence *AWS de l'API Security Hub CSPM*.
Chaque critère prend en charge un nombre maximum de valeurs pouvant être utilisées pour filtrer les résultats correspondants. Pour connaître les limites de chaque critère, consultez le document de [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html)référence *AWS de l'API Security Hub CSPM*.
Les champs ASFF suivants sont actuellement pris en charge en tant qu'actions pour les règles d'automatisation :
+ `Confidence`
+ `Criticality`
+ `Note`
+ `RelatedFindings`
+ `Severity`
+ `Types`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`
Pour plus d'informations sur des champs ASFF spécifiques, consultez [AWS la section Syntaxe ASFF (Security Finding Format).](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html)
**Astuce**
Si vous souhaitez que Security Hub CSPM cesse de générer des résultats pour un contrôle spécifique, nous vous recommandons de désactiver le contrôle plutôt que d'utiliser une règle d'automatisation. Lorsque vous désactivez un contrôle, Security Hub CSPM arrête d'effectuer des contrôles de sécurité sur celui-ci et de générer des résultats pour celui-ci. Vous n'avez donc pas à payer de frais pour ce contrôle. Nous recommandons d'utiliser des règles d'automatisation pour modifier les valeurs de champs ASFF spécifiques pour les résultats correspondant à des critères définis. Pour plus d'informations sur la désactivation des contrôles, consultez[Désactivation des contrôles dans Security Hub CSPM](disable-controls-overview.md).
## Résultats évalués par les règles d'automatisation
Une règle d'automatisation évalue les résultats nouveaux et mis à jour que Security Hub CSPM génère ou ingère dans le cadre de l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html)opération une *fois* que vous avez créé la règle. Security Hub CSPM met à jour les résultats des contrôles toutes les 12 à 24 heures ou lorsque l'état de la ressource associée change. Pour de plus amples informations, veuillez consulter [Planification de l'exécution des vérifications de sécurité](securityhub-standards-schedule.md).
Les règles d'automatisation évaluent les résultats originaux fournis par le fournisseur. Les fournisseurs peuvent fournir de nouveaux résultats et mettre à jour les résultats existants en `BatchImportFindings` utilisant l'API Security Hub CSPM. Si les champs suivants n'existent pas dans le résultat initial, Security Hub CSPM les renseigne automatiquement, puis utilise les valeurs renseignées dans l'évaluation par la règle d'automatisation :
+ `AwsAccountName`
+ `CompanyName`
+ `ProductName`
+ `Resource.Tags`
+ `Workflow.Status`
Une fois que vous avez créé une ou plusieurs règles d'automatisation, celles-ci ne sont pas déclenchées si vous mettez à jour les champs de recherche à l'aide de l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html)opération. Si vous créez une règle d'automatisation et effectuez une `BatchUpdateFindings` mise à jour qui affectent le même champ de recherche, la dernière mise à jour définit la valeur de ce champ. Prenons l'exemple suivant :
1. Vous utilisez cette `BatchUpdateFindings` opération pour modifier la valeur du `Workflow.Status` champ d'une recherche de `NEW` à`NOTIFIED`.
1. Si vous appelez`GetFindings`, le `Workflow.Status` champ a désormais une valeur de`NOTIFIED`.
1. Vous créez une règle d'automatisation qui fait passer le `Workflow.Status` champ du résultat de `NEW` à`SUPPRESSED`. (Rappelez-vous que les règles ignorent les mises à jour effectuées à l'aide de cette `BatchUpdateFindings` opération.)
1. Le fournisseur de résultats utilise l'`BatchImportFindings`opération pour mettre à jour le résultat et modifie la valeur du `Workflow.Status` champ du résultat en`NEW`.
1. Si vous appelez`GetFindings`, le `Workflow.Status` champ a désormais une valeur de`SUPPRESSED`. C'est le cas parce que la règle d'automatisation a été appliquée et qu'il s'agit de la dernière action entreprise sur la base du résultat.
Lorsque vous créez ou modifiez une règle sur la console Security Hub CSPM, celle-ci affiche une version bêta des résultats correspondant aux critères de la règle. Alors que les règles d'automatisation évaluent les résultats originaux envoyés par le fournisseur de recherche, la version bêta de la console reflète les résultats dans leur état final tel qu'ils seraient affichés en réponse à l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html)opération (c'est-à-dire une fois que des actions de règles ou d'autres mises à jour ont été appliquées au résultat).
## Comment fonctionne l'ordre des règles
Lorsque vous créez des règles d'automatisation, vous attribuez un ordre à chaque règle. Cela détermine l'ordre dans lequel Security Hub CSPM applique vos règles d'automatisation, et cela devient important lorsque plusieurs règles concernent le même résultat ou champ de recherche.
Lorsque plusieurs actions de règle concernent le même résultat ou le même champ de recherche, la règle ayant la valeur numérique la plus élevée pour l'ordre des règles s'applique en dernier lieu et produit l'effet final.
Lorsque vous créez une règle dans la console Security Hub CSPM, Security Hub CSPM attribue automatiquement l'ordre des règles en fonction de l'ordre de création des règles. La dernière règle créée possède la valeur numérique la plus faible pour l'ordre des règles et s'applique donc en premier. Security Hub CSPM applique les règles suivantes par ordre croissant.
Lorsque vous créez une règle via l'API Security Hub CSPM ou AWS CLI, Security Hub CSPM applique la règle dont la valeur numérique la plus faible est la première. `RuleOrder` Il applique ensuite les règles suivantes par ordre croissant. Si plusieurs résultats sont identiques`RuleOrder`, Security Hub CSPM applique une règle avec une valeur antérieure pour le `UpdatedAt` champ en premier (c'est-à-dire que la règle la plus récemment modifiée s'applique en dernier lieu).
Vous pouvez modifier l'ordre des règles à tout moment.
**Exemple d'ordre des règles** :
**Règle A (l'ordre des règles est`1`)** :
+ Critères de la règle A
+ `ProductName` = `Security Hub CSPM`
+ `Resources.Type` est `S3 Bucket`
+ `Compliance.Status` = `FAILED`
+ `RecordState` est `NEW`
+ `Workflow.Status` = `ACTIVE`
+ Actions en vertu de la règle A
+ Mettre à jour `Confidence` vers `95`
+ Mettre à jour `Severity` vers `CRITICAL`
**Règle B (l'ordre des règles est`2`)** :
+ Critères de la règle B
+ `AwsAccountId` = `123456789012`
+ Actions relevant de la règle B
+ Mettre à jour `Severity` vers `INFORMATIONAL`
Les actions de la règle A s'appliquent d'abord aux résultats du Security Hub CSPM qui répondent aux critères de la règle A. Ensuite, les actions de la règle B s'appliquent aux résultats du Security Hub CSPM avec l'ID de compte spécifié. Dans cet exemple, étant donné que la règle B s'applique `Severity` en dernier, la valeur finale des résultats provenant de l'ID de compte spécifié est`INFORMATIONAL`. Sur la base de l'action de la règle A, la valeur `Confidence` finale des résultats correspondants est`95`.
# Création de règles d'automatisation
Une règle d'automatisation peut être utilisée pour mettre à jour automatiquement les résultats dans AWS Security Hub CSPM. Vous pouvez créer une règle d'automatisation personnalisée à partir de zéro ou, sur la console Security Hub CSPM, utiliser un modèle de règle prérempli. Pour obtenir des informations générales sur le fonctionnement des règles d'automatisation, consultez[Comprendre les règles d'automatisation dans Security Hub CSPM](automation-rules.md).
Vous ne pouvez créer qu'une seule règle d'automatisation à la fois. Pour créer plusieurs règles d'automatisation, suivez les procédures de la console à plusieurs reprises ou appelez l'API ou la commande à plusieurs reprises avec les paramètres souhaités.
Vous devez créer une règle d'automatisation dans chaque région et chaque compte dans lesquels vous souhaitez que la règle s'applique aux résultats.
Lorsque vous créez une règle d'automatisation dans la console Security Hub CSPM, Security Hub CSPM affiche une version bêta des résultats auxquels s'applique votre règle. La version bêta n'est actuellement pas prise en charge si vos critères de règle incluent un filtre CONTAINS ou NOT\$1CONTAINS. Vous pouvez choisir ces filtres pour les types de champs de type carte et chaîne.
**Important**
AWS vous recommande de ne pas inclure d'informations d'identification personnelle, confidentielles ou sensibles dans le nom, la description ou d'autres champs de votre règle.
## Création d'une règle d'automatisation personnalisée
Choisissez votre méthode préférée et suivez les étapes ci-dessous pour créer une règle d'automatisation personnalisée.
------
#### [ Console ]
**Pour créer une règle d'automatisation personnalisée (console)**
1. À l'aide des informations d'identification de l'administrateur Security Hub CSPM, ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Dans le volet de navigation, choisissez **Automations.**
1. Choisissez **Créer une règle**. Pour **Type de règle**, choisissez **Créer une règle personnalisée**.
1. Dans la section **Règle**, saisissez un nom de règle unique et une description de votre règle.
1. Pour **les critères**, utilisez les menus déroulants **Clé**, **Opérateur** et **Valeur** pour définir vos critères de règle. Vous devez spécifier au moins un critère de règle.
Si les critères que vous avez sélectionnés sont pris en charge, la console affiche une version bêta des résultats correspondant à vos critères.
1. Pour **l'action automatisée**, utilisez les menus déroulants pour spécifier les champs de recherche à mettre à jour lorsque les résultats correspondent aux critères de votre règle. Vous devez spécifier au moins une action de règle.
1. Pour **le statut de la règle**, choisissez si vous souhaitez que la règle soit **activée** **ou désactivée** après sa création.
1. (Facultatif) Développez la section **Paramètres supplémentaires**. Sélectionnez **Ignorer les règles suivantes pour les résultats correspondant à ces critères** si vous souhaitez que cette règle soit la dernière à être appliquée aux résultats correspondant aux critères des règles.
1. (Facultatif) Pour les **balises**, ajoutez des balises sous forme de paires clé-valeur pour identifier facilement la règle.
1. Choisissez **Créer une règle**.
------
#### [ API ]
**Pour créer une règle d'automatisation personnalisée (API)**
1. Exécutez [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html)depuis le compte administrateur du Security Hub CSPM. Cette API crée une règle avec un Amazon Resource Name (ARN) spécifique.
1. Donnez un nom et une description à la règle.
1. Définissez le `IsTerminal` paramètre sur `true` si vous souhaitez que cette règle soit la dernière à être appliquée aux résultats correspondant aux critères de la règle.
1. Pour le `RuleOrder` paramètre, indiquez l'ordre de la règle. Security Hub CSPM applique d'abord les règles avec une valeur numérique inférieure pour ce paramètre.
1. Pour le `RuleStatus` paramètre, spécifiez si vous souhaitez que Security Hub CSPM active et commence à appliquer la règle aux résultats après sa création. La valeur par défaut est `ENABLED` si aucune valeur n'est spécifiée. La valeur de `DISABLED` signifie que la règle est suspendue après sa création.
1. Pour le `Criteria` paramètre, indiquez les critères que Security Hub CSPM doit utiliser pour filtrer vos résultats. L'action de la règle s'appliquera aux résultats correspondant aux critères. Pour obtenir la liste des critères pris en charge, consultez[Critères de règle et actions de règle disponibles](automation-rules.md#automation-rules-criteria-actions).
1. Pour le `Actions` paramètre, indiquez les actions que vous souhaitez que Security Hub CSPM entreprenne en cas de correspondance entre un résultat et les critères que vous avez définis. Pour obtenir la liste des actions prises en charge, consultez[Critères de règle et actions de règle disponibles](automation-rules.md#automation-rules-criteria-actions).
L'exemple de AWS CLI commande suivant crée une règle d'automatisation qui met à jour l'état du flux de travail et note les résultats correspondants. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.
```
$ aws securityhub create-automation-rule \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "HIGH"
},
"Note": {
"Text": "Known issue that is a risk. Updated by automation rules",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--criteria '{
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--description "A sample rule" \
--no-is-terminal \
--rule-name "sample rule" \
--rule-order 1 \
--rule-status "ENABLED" \
--region us-east-1
```
------
## Création d'une règle d'automatisation à partir d'un modèle (console uniquement)
Les modèles de règles reflètent les cas d'utilisation courants des règles d'automatisation. Actuellement, seule la console Security Hub CSPM prend en charge les modèles de règles. Procédez comme suit pour créer une règle d'automatisation à partir d'un modèle dans la console.
**Pour créer une règle d'automatisation à partir d'un modèle (console)**
1. À l'aide des informations d'identification de l'administrateur Security Hub CSPM, ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Dans le volet de navigation, choisissez **Automations.**
1. Choisissez **Créer une règle**. Pour **Type de règle**, choisissez **Créer une règle à partir d'un modèle**.
1. Sélectionnez un modèle de règle dans le menu déroulant.
1. (Facultatif) Si cela est nécessaire pour votre cas d'utilisation, modifiez les sections **Règle**, **Critères** et **Actions automatisées**. Vous devez spécifier au moins un critère de règle et une action de règle.
Si les critères que vous avez sélectionnés sont pris en charge, la console affiche une version bêta des résultats correspondant à vos critères.
1. Pour **le statut de la règle**, choisissez si vous souhaitez que la règle soit **activée** **ou désactivée** après sa création.
1. (Facultatif) Développez la section **Paramètres supplémentaires**. Sélectionnez **Ignorer les règles suivantes pour les résultats correspondant à ces critères** si vous souhaitez que cette règle soit la dernière à être appliquée aux résultats correspondant aux critères des règles.
1. (Facultatif) Pour les **balises**, ajoutez des balises sous forme de paires clé-valeur pour identifier facilement la règle.
1. Choisissez **Créer une règle**.
# Afficher les règles d'automatisation
Une règle d'automatisation peut être utilisée pour mettre à jour automatiquement les résultats dans AWS Security Hub CSPM. Pour obtenir des informations générales sur le fonctionnement des règles d'automatisation, consultez[Comprendre les règles d'automatisation dans Security Hub CSPM](automation-rules.md).
Choisissez votre méthode préférée et suivez les étapes pour afficher vos règles d'automatisation existantes et les détails de chaque règle.
Pour consulter un historique de la façon dont les règles d'automatisation ont modifié vos résultats, voir[Révision des informations et de l'historique des recherches dans Security Hub CSPM](securityhub-findings-viewing.md).
------
#### [ Console ]
**Pour afficher les règles d'automatisation (console)**
1. À l'aide des informations d'identification de l'administrateur Security Hub CSPM, ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Dans le volet de navigation, choisissez **Automations.**
1. Choisissez un nom de règle. Vous pouvez également sélectionner une règle.
1. Choisissez **Actions** et **Afficher**.
------
#### [ API ]
**Pour consulter les règles d'automatisation (API)**
1. Pour consulter les règles d'automatisation de votre compte, lancez-le [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html)depuis le compte administrateur du Security Hub CSPM. Cette API renvoie la règle ARNs et les autres métadonnées associées à vos règles. Aucun paramètre d'entrée n'est requis pour cette API, mais vous pouvez éventuellement le fournir `MaxResults` pour limiter le nombre de résultats et `NextToken` en tant que paramètre de pagination. La valeur initiale de `NextToken` doit être`NULL`.
1. Pour plus de détails sur les règles, y compris les critères et les actions d'une règle, exécutez [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html)depuis le compte administrateur Security Hub CSPM. Indiquez les règles ARNs d'automatisation pour lesquelles vous souhaitez obtenir des détails.
L'exemple suivant permet de récupérer les détails des règles d'automatisation spécifiées. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.
```
$ aws securityhub batch-get-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222"]' \
--region us-east-1
```
------
# Modification des règles d'automatisation
Une règle d'automatisation peut être utilisée pour mettre à jour automatiquement les résultats dans AWS Security Hub CSPM. Pour obtenir des informations générales sur le fonctionnement des règles d'automatisation, consultez[Comprendre les règles d'automatisation dans Security Hub CSPM](automation-rules.md).
Après avoir créé une règle d'automatisation, l'administrateur délégué du Security Hub CSPM peut modifier la règle. Lorsque vous modifiez une règle d'automatisation, les modifications s'appliquent aux résultats nouveaux et mis à jour que Security Hub CSPM génère ou ingère après la modification de la règle.
Choisissez votre méthode préférée et suivez les étapes pour modifier le contenu d'une règle d'automatisation. Vous pouvez modifier une ou plusieurs règles à l'aide d'une seule demande. Pour obtenir des instructions sur la modification de l'ordre des règles, voir[Modification de l'ordre des règles d'automatisation](edit-rule-order.md).
------
#### [ Console ]
**Pour modifier les règles d'automatisation (console)**
1. À l'aide des informations d'identification de l'administrateur Security Hub CSPM, ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Dans le volet de navigation, choisissez **Automations.**
1. Sélectionnez la règle que vous souhaitez modifier. Choisissez **Action** et **Modifier**.
1. Modifiez la règle comme vous le souhaitez, puis choisissez **Enregistrer les modifications**.
------
#### [ API ]
**Pour modifier les règles d'automatisation (API)**
1. Exécutez [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html)depuis le compte administrateur du Security Hub CSPM.
1. Pour le `RuleArn` paramètre, indiquez l'ARN de la ou des règles que vous souhaitez modifier.
1. Fournissez les nouvelles valeurs pour les paramètres que vous souhaitez modifier. Vous pouvez modifier n'importe quel paramètre sauf`RuleArn`.
L’exemple suivant met à jour la règle d’automatisation spécifiée. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.
```
$ aws securityhub batch-update-automation-rules \
--update-automation-rules-request-items '[
{
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Note": {
"Text": "Known issue that is a risk",
"UpdatedBy": "sechub-automation"
},
"Workflow": {
"Status": "NEW"
}
}
}],
"Criteria": {
"SeverityLabel": [{
"Value": "LOW",
"Comparison": "EQUALS"
}]
},
"RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"RuleOrder": 14,
"RuleStatus": "DISABLED",
}
]' \
--region us-east-1
```
------
# Modification de l'ordre des règles d'automatisation
Une règle d'automatisation peut être utilisée pour mettre à jour automatiquement les résultats dans AWS Security Hub CSPM. Pour obtenir des informations générales sur le fonctionnement des règles d'automatisation, consultez[Comprendre les règles d'automatisation dans Security Hub CSPM](automation-rules.md).
Après avoir créé une règle d'automatisation, l'administrateur délégué du Security Hub CSPM peut modifier la règle.
Si vous souhaitez conserver les mêmes critères et actions, mais modifier l'ordre dans lequel Security Hub CSPM applique une règle d'automatisation, vous pouvez modifier uniquement l'ordre des règles. Choisissez votre méthode préférée et suivez les étapes pour modifier l'ordre des règles.
Pour obtenir des instructions sur la modification des critères ou des actions d'une règle d'automatisation, consultez[Modification des règles d'automatisation](edit-automation-rules.md).
------
#### [ Console ]
**Pour modifier l'ordre des règles d'automatisation (console)**
1. À l'aide des informations d'identification de l'administrateur Security Hub CSPM, ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Dans le volet de navigation, choisissez **Automations.**
1. Sélectionnez la règle dont vous souhaitez modifier l'ordre. Choisissez **Modifier la priorité**.
1. Choisissez **Déplacer vers le haut** pour augmenter la priorité de la règle d'une unité. Choisissez **Déplacer vers le bas** pour diminuer la priorité des règles d'une unité. Choisissez **Déplacer vers le haut** pour attribuer à la règle un ordre de **1** (cela lui donne la priorité sur les autres règles existantes).
**Note**
Lorsque vous créez une règle dans la console Security Hub CSPM, Security Hub CSPM attribue automatiquement l'ordre des règles en fonction de l'ordre de création des règles. La dernière règle créée possède la valeur numérique la plus faible pour l'ordre des règles et s'applique donc en premier.
------
#### [ API ]
**Pour modifier l'ordre des règles d'automatisation (API)**
1. Utilisez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html)opération depuis le compte administrateur du Security Hub CSPM.
1. Pour le `RuleArn` paramètre, indiquez l'ARN de la ou des règles dont vous souhaitez modifier l'ordre.
1. Modifiez la valeur du `RuleOrder` champ.
**Note**
Si plusieurs règles sont identiques`RuleOrder`, Security Hub CSPM applique une règle avec une valeur antérieure pour le `UpdatedAt` champ en premier (c'est-à-dire que la règle la plus récemment modifiée s'applique en dernier lieu).
------
# Supprimer ou désactiver les règles d'automatisation
Une règle d'automatisation peut être utilisée pour mettre à jour automatiquement les résultats dans AWS Security Hub CSPM. Pour obtenir des informations générales sur le fonctionnement des règles d'automatisation, consultez[Comprendre les règles d'automatisation dans Security Hub CSPM](automation-rules.md).
Lorsque vous supprimez une règle d'automatisation, Security Hub CSPM la supprime de votre compte et ne l'applique plus aux résultats. Au lieu de supprimer une règle, vous pouvez *désactiver* une règle. Cela permet de conserver la règle pour une utilisation future, mais Security Hub CSPM ne l'appliquera pas aux résultats correspondants tant que vous ne l'aurez pas activée.
Choisissez votre méthode préférée et suivez les étapes pour supprimer une règle d'automatisation. Vous pouvez supprimer une ou plusieurs règles en une seule demande.
------
#### [ Console ]
**Pour supprimer ou désactiver les règles d'automatisation (console)**
1. À l'aide des informations d'identification de l'administrateur Security Hub CSPM, ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Dans le volet de navigation, choisissez **Automations.**
1. Sélectionnez la ou les règles que vous souhaitez supprimer. Choisissez **Action** et **Supprimer** (pour conserver une règle, mais la désactiver temporairement, choisissez **Désactiver**).
1. Confirmez votre choix et choisissez **Delete (Supprimer)**.
------
#### [ API ]
**Pour supprimer ou désactiver les règles d'automatisation (API)**
1. Utilisez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html)opération depuis le compte administrateur du Security Hub CSPM.
1. Pour le `AutomationRulesArns` paramètre, indiquez l'ARN de la ou des règles que vous souhaitez supprimer (pour conserver une règle, mais la désactiver temporairement, fournissez `DISABLED` le `RuleStatus` paramètre).
L’exemple suivant supprime la règle d’automatisation spécifiée. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.
```
$ aws securityhub batch-delete-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]' \
--region us-east-1
```
------
# Exemples de règles d'automatisation
Cette section fournit des exemples de règles d'automatisation pour les cas d'utilisation courants de Security Hub CSPM. Ces exemples correspondent à des modèles de règles disponibles sur la console Security Hub CSPM.
## Atteignez le niveau de gravité à Critique lorsqu'une ressource spécifique, telle qu'un compartiment S3, est menacée
Dans cet exemple, les critères des règles sont mis `ResourceId` en correspondance lorsque le résultat correspond à un compartiment Amazon Simple Storage Service (Amazon S3) spécifique. L'action de la règle consiste à modifier la gravité des résultats correspondants en`CRITICAL`. Vous pouvez modifier ce modèle pour l'appliquer à d'autres ressources.
**Exemple de demande d'API** :
```
{
"IsTerminal": true,
"RuleName": "Elevate severity of findings that relate to important resources",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk",
"Criteria": {
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**Exemple de commande CLI :**
```
$
aws securityhub create-automation-rule \
--is-terminal \
--rule-name "Elevate severity of findings that relate to important resources" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
## Accroître la sévérité des constatations relatives aux ressources dans les comptes de production
Dans cet exemple, les critères des règles sont mis en correspondance lorsqu'un résultat de `HIGH` gravité est généré dans des comptes de production spécifiques. L'action de la règle consiste à modifier la gravité des résultats correspondants en`CRITICAL`.
**Exemple de demande d'API** :
```
{
"IsTerminal": false,
"RuleName": "Elevate severity for production accounts",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts",
"Criteria": {
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**Exemple de commande CLI** :
```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Elevate severity of findings that relate to resources in production accounts" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
## Supprimer les résultats informationnels
Dans cet exemple, les critères de règle correspondent aux résultats de `INFORMATIONAL` gravité envoyés à Security Hub CSPM par Amazon. GuardDuty L'action de la règle consiste à modifier le statut du flux de travail des résultats correspondants sur`SUPPRESSED`.
**Exemple de demande d'API** :
```
{
"IsTerminal": false,
"RuleName": "Suppress informational findings",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Suppress GuardDuty findings with INFORMATIONAL severity",
"Criteria": {
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**Exemple de commande CLI** :
```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Suppress informational findings" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Suppress GuardDuty findings with INFORMATIONAL severity" \
--criteria '{
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
# Utilisation EventBridge pour une réponse et une correction automatisées
En créant des règles dans Amazon EventBridge, vous pouvez répondre automatiquement aux conclusions du AWS Security Hub CSPM. Security Hub CSPM envoie les résultats sous forme d'*événements* EventBridge en temps quasi réel. Vous pouvez rédiger des règles simples pour indiquer les événements qui vous intéressent et les actions automatisées à effectuer lorsqu'un événement correspond à une règle. Les actions pouvant être déclenchées automatiquement sont les suivantes :
+ Invoquer une fonction AWS Lambda
+ Invocation de la commande d'exécution Amazon EC2
+ Relais de l’événement à Amazon Kinesis Data Streams
+ Activation d'une machine à AWS Step Functions états
+ Notification d’une rubrique Amazon SNS ou d’une file d’attente Amazon SQS
+ Envoi d'un résultat à un service de billetterie tiers, de conversation instantané, de gestion des informations et des événements de sécurité (SIEM) ou à un outil de réponse aux incidents et de gestion des incidents
Security Hub CSPM envoie automatiquement tous les nouveaux résultats et toutes les mises à jour des résultats existants EventBridge sous forme EventBridge d'événements. Vous pouvez également créer des actions personnalisées qui vous permettent d'envoyer des résultats sélectionnés et des informations sur les résultats à EventBridge.
Vous configurez ensuite EventBridge des règles pour répondre à chaque type d'événement.
Pour plus d'informations sur l'utilisation EventBridge, consultez le [https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html).
**Note**
Il est recommandé de veiller à ce que les autorisations d'accès accordées à vos utilisateurs EventBridge utilisent des politiques de moindre privilège Gestion des identités et des accès AWS (IAM) qui n'accordent que les autorisations requises.
Pour plus d'informations, consultez la section [Gestion des identités et des accès sur Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/auth-and-access-control-eventbridge.html).
Un ensemble de modèles de réponse automatique et de correction entre comptes est également disponible dans AWS Solutions. Les modèles exploitent les règles relatives aux EventBridge événements et les fonctions Lambda. Vous déployez la solution à l'aide CloudFormation de et AWS Systems Manager. La solution peut créer des actions de réponse et de correction entièrement automatisées. Il peut également utiliser les actions personnalisées CSPM de Security Hub pour créer des actions de réponse et de correction déclenchées par l'utilisateur. Pour plus de détails sur la configuration et l'utilisation de la solution, consultez la page [Réponse de sécurité automatisée sur](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/) la AWS solution.
**Topics**
+ [Types d'événements Security Hub CSPM dans EventBridge](securityhub-cwe-integration-types.md)
+ [EventBridge formats d'événements pour Security Hub CSPM](securityhub-cwe-event-formats.md)
+ [Configuration d'une EventBridge règle pour les résultats du Security Hub CSPM](securityhub-cwe-all-findings.md)
+ [Utilisation d'actions personnalisées pour envoyer des résultats et des informations sur les résultats à EventBridge](securityhub-cwe-custom-actions.md)
# Types d'événements Security Hub CSPM dans EventBridge
Security Hub CSPM utilise les types d' EventBridge événements Amazon suivants pour s'intégrer. EventBridge
Sur le EventBridge tableau de bord de Security Hub CSPM, **All Events** inclut tous ces types d'événements.
## Tous les résultats (Security Hub Findings - Imported)
Security Hub CSPM envoie automatiquement tous les nouveaux résultats et toutes les mises à jour des résultats existants EventBridge sous forme **Security Hub Findings - Imported**d'événements. Chaque **Security Hub Findings - Imported**événement contient une seule constatation.
Chaque [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)demande [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)et déclenche un **Security Hub Findings - Imported**événement.
Pour les comptes administrateurs, le flux d'événements EventBridge inclut des événements contenant des informations provenant à la fois de leur compte et de leurs comptes de membres.
Dans une région d'agrégation, le flux d'événements inclut les événements relatifs aux résultats de la région d'agrégation et des régions associées. Les résultats interrégionaux sont inclus dans le fil des événements en temps quasi réel. Pour plus d'informations sur la configuration de l'agrégation des résultats de recherche, consultez[Comprendre l'agrégation entre régions dans Security Hub CSPM](finding-aggregation.md).
Vous pouvez définir des règles EventBridge qui acheminent automatiquement les résultats vers un flux de travail de correction, un outil tiers ou une [autre EventBridge cible prise en charge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html). Les règles peuvent inclure des filtres qui n'appliquent la règle que si le résultat comporte des valeurs d'attribut spécifiques.
Vous utilisez cette méthode pour envoyer automatiquement tous les résultats, ou tous les résultats présentant des caractéristiques spécifiques, à un flux de travail de réponse ou de correction.
Consultez [Configuration d'une EventBridge règle pour les résultats du Security Hub CSPM](securityhub-cwe-all-findings.md).
## Résultats pour les actions personnalisées (Security Hub Findings - Custom Action)
Security Hub CSPM envoie également les résultats associés à des actions personnalisées EventBridge sous forme **Security Hub Findings - Custom Action**d'événements.
Cela est utile pour les analystes travaillant avec la console Security Hub CSPM qui souhaitent envoyer un résultat spécifique, ou un petit ensemble de résultats, à un flux de travail de réponse ou de correction. Vous pouvez sélectionner une action personnalisée pour un maximum de 20 résultats à la fois. Chaque résultat est envoyé EventBridge à un EventBridge événement distinct.
Lorsque vous créez une action personnalisée, vous lui attribuez un ID d'action personnalisé. Vous pouvez utiliser cet ID pour créer une EventBridge règle qui exécute une action spécifiée après avoir reçu un résultat associé à cet ID d'action personnalisé.
Consultez [Utilisation d'actions personnalisées pour envoyer des résultats et des informations sur les résultats à EventBridge](securityhub-cwe-custom-actions.md).
Par exemple, vous pouvez créer une action personnalisée dans Security Hub CSPM appelée. `send_to_ticketing` Ensuite EventBridge, vous créez une règle qui est déclenchée lorsque vous EventBridge recevez un résultat incluant l'ID d'action `send_to_ticketing` personnalisé. La règle inclut la logique qui permet d'envoyer le résultat à votre système de tickets. Vous pouvez ensuite sélectionner les résultats dans Security Hub CSPM et utiliser l'action personnalisée dans Security Hub CSPM pour envoyer manuellement les résultats à votre système de billetterie.
Pour des exemples de la manière d'envoyer les résultats du Security Hub CSPM à des EventBridge fins de traitement ultérieur, consultez les sections [How to Integrate AWS Security Hub CSPM Custom Actions with the Security Hub CSPM PagerDuty](https://aws.amazon.com/blogs/apn/how-to-integrate-aws-security-hub-custom-actions-with-pagerduty/) and [How to Enable Custom Actions in AWS Security Hub CSPM](https://aws.amazon.com/blogs/apn/how-to-enable-custom-actions-in-aws-security-hub/) sur le blog AWS Partner Network (APN).
## Résultats d'analyse pour les actions personnalisées (Security Hub Insight Results)
Vous pouvez également utiliser des actions personnalisées pour envoyer des ensembles de résultats d'analyse EventBridge sous forme d'**Security Hub Insight Results**événements. Les résultats d'analyse sont les ressources qui correspondent à une information. Notez que lorsque vous envoyez des résultats d'analyse à EventBridge, vous ne les envoyez pas à EventBridge. Vous envoyez uniquement les identifiants de ressources associés aux résultats d'analyse. Vous pouvez envoyer jusqu'à 100 identifiants de ressource à la fois.
Comme pour les actions personnalisées pour les résultats, vous devez d'abord créer l'action personnalisée dans Security Hub CSPM, puis créer une règle dans. EventBridge
Consultez [Utilisation d'actions personnalisées pour envoyer des résultats et des informations sur les résultats à EventBridge](securityhub-cwe-custom-actions.md).
Supposons, par exemple, que vous observiez un résultat d'analyse particulier qui vous intéresse et que vous souhaitez partager avec un collègue. Dans ce cas, vous pouvez utiliser une action personnalisée pour envoyer ce résultat informatif au collègue par le biais d'un chat ou d'un système de billetterie.
# EventBridge formats d'événements pour Security Hub CSPM
Les types d'**Security Hub Insight Results**événements **Security Hub Findings - Imported**Security Findings - Custom Action****, et utilisent les formats d'événements suivants.
Le format d'événement est le format utilisé lorsque Security Hub CSPM envoie un événement à. EventBridge
## Security Hub Findings - Imported
**Security Hub Findings - Imported**les événements envoyés depuis Security Hub CSPM doivent EventBridge utiliser le format suivant.
```
{
"version":"0",
"id":"CWE-event-id",
"detail-type":"Security Hub Findings - Imported",
"source":"aws.securityhub",
"account":"111122223333",
"time":"2019-04-11T21:52:17Z",
"region":"us-west-2",
"resources":[
"arn:aws:securityhub:us-west-2::product/aws/macie/arn:aws:macie:us-west-2:111122223333:integtest/trigger/6294d71b927c41cbab915159a8f326a3/alert/f2893b211841"
],
"detail":{
"findings": [{
}]
}
}
```
``est le contenu, au format JSON, du résultat envoyé par l'événement. Chaque événement envoie un résultat unique.
Pour obtenir la liste complète des attributs de recherche, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
Pour plus d'informations sur la façon de configurer les EventBridge règles déclenchées par ces événements, consultez[Configuration d'une EventBridge règle pour les résultats du Security Hub CSPM](securityhub-cwe-all-findings.md).
## Security Hub Findings - Custom Action
**Security Hub Findings - Custom Action**les événements envoyés depuis Security Hub CSPM doivent EventBridge utiliser le format suivant. Chaque résultat est envoyé dans le cadre d'un événement distinct.
```
{
"version": "0",
"id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
"detail-type": "Security Hub Findings - Custom Action",
"source": "aws.securityhub",
"account": "111122223333",
"time": "2019-04-11T18:43:48Z",
"region": "us-west-1",
"resources": [
"arn:aws:securityhub:us-west-1:111122223333:action/custom/custom-action-name"
],
"detail": {
"actionName":"custom-action-name",
"actionDescription": "description of the action",
"findings": [
{
}
]
}
}
```
``est le contenu, au format JSON, du résultat envoyé par l'événement. Chaque événement envoie un résultat unique.
Pour obtenir la liste complète des attributs de recherche, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
Pour plus d'informations sur la façon de configurer les EventBridge règles déclenchées par ces événements, consultez[Utilisation d'actions personnalisées pour envoyer des résultats et des informations sur les résultats à EventBridge](securityhub-cwe-custom-actions.md).
## Security Hub Insight Results
**Security Hub Insight Results**les événements envoyés depuis Security Hub CSPM doivent EventBridge utiliser le format suivant.
```
{
"version": "0",
"id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
"detail-type": "Security Hub Insight Results",
"source": "aws.securityhub",
"account": "111122223333",
"time": "2017-12-22T18:43:48Z",
"region": "us-west-1",
"resources": [
"arn:aws:securityhub:us-west-1:111122223333::product/aws/macie:us-west-1:222233334444:test/trigger/1ec9cf700ef6be062b19584e0b7d84ec/alert/f2893b211841"
],
"detail": {
"actionName":"name of the action",
"actionDescription":"description of the action",
"insightArn":"ARN of the insight",
"insightName":"Name of the insight",
"resultType":"ResourceAwsIamAccessKeyUserName",
"number of results":"number of results, max of 100",
"insightResults": [
{"result 1": 5},
{"result 2": 6}
]
}
}
```
Pour plus d'informations sur la création d'une EventBridge règle déclenchée par ces événements, consultez[Utilisation d'actions personnalisées pour envoyer des résultats et des informations sur les résultats à EventBridge](securityhub-cwe-custom-actions.md).
# Configuration d'une EventBridge règle pour les résultats du Security Hub CSPM
Vous pouvez créer une règle dans Amazon EventBridge qui définit une action à effectuer lors de la réception d'un **Security Hub Findings - Imported**événement. **Security Hub Findings - Imported**les événements sont déclenchés par des mises à jour provenant à la fois [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)des opérations [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)et.
Chaque règle contient un modèle d'événements qui identifie les événements qui déclenchent la règle. Le modèle d'événement contient toujours la source de l'événement (`aws.securityhub`) et le type d'événement (**Security Hub Findings - Imported**). Le modèle d'événement peut également spécifier des filtres pour identifier les résultats auxquels s'applique la règle.
La règle d'événement identifie ensuite les cibles de la règle. Les cibles sont les actions à entreprendre lorsque vous recevez EventBridge un événement **Security Hub Findings - Imported** et que le résultat correspond aux filtres.
Les instructions fournies ici utilisent la EventBridge console. Lorsque vous utilisez la console, elle crée EventBridge automatiquement la politique basée sur les ressources requise qui permet d' EventBridge écrire sur Amazon CloudWatch Logs.
Vous pouvez également utiliser le [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html)fonctionnement de l' EventBridge API. Toutefois, si vous utilisez l' EventBridge API, vous devez créer la politique basée sur les ressources. Pour plus d'informations sur la politique requise, consultez la section [Autorisations relatives CloudWatch aux journaux](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions) dans le *guide de EventBridge l'utilisateur Amazon*.
## Format du modèle d'événement
Le format du modèle d'événement pour **Security Hub Findings - Imported** events est le suivant :
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Imported"
],
"detail": {
"findings": {
}
}
}
```
+ `source`identifie Security Hub CSPM comme le service qui génère l'événement.
+ `detail-type`identifie le type d'événement.
+ `detail`est facultatif et fournit les valeurs de filtre pour le modèle d'événement. Si le modèle d'événement ne contient aucun `detail` champ, tous les résultats déclenchent la règle.
Vous pouvez filtrer les résultats en fonction de n'importe quel attribut de recherche. Pour chaque attribut, vous fournissez un tableau séparé par des virgules contenant une ou plusieurs valeurs.
```
"": [ "", ""]
```
Si vous fournissez plusieurs valeurs pour un attribut, ces valeurs sont jointes par`OR`. Une recherche correspond au filtre d'un attribut individuel si la recherche contient l'une des valeurs répertoriées. Par exemple, si vous fournissez les deux `INFORMATIONAL` et `LOW` en tant que valeurs pour`Severity.Label`, le résultat correspond s'il possède une étiquette de gravité égale à `INFORMATIONAL` ou`LOW`.
Les attributs sont joints par`AND`. Un résultat correspond s'il correspond aux critères de filtre pour tous les attributs fournis.
Lorsque vous fournissez une valeur d'attribut, elle doit refléter l'emplacement de cet attribut dans la structure ASFF ( AWS Security Finding Format).
**Astuce**
Lorsque vous filtrez les résultats des contrôles, nous vous recommandons d'utiliser les [champs `SecurityControlId` ou `SecurityControlArn` ASFF](securityhub-findings-format.md) comme filtres, plutôt que `Title` ou`Description`. Ces derniers champs peuvent changer de temps en temps, tandis que l'ID de contrôle et l'ARN sont des identifiants statiques.
Dans l'exemple suivant, le modèle d'événement fournit des valeurs de filtre pour `ProductArn` et`Severity.Label`, par conséquent, un résultat correspond s'il est généré par Amazon Inspector et s'il possède une étiquette de gravité égale à `INFORMATIONAL` ou`LOW`.
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Imported"
],
"detail": {
"findings": {
"ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"],
"Severity": {
"Label": ["INFORMATIONAL", "LOW"]
}
}
}
}
```
## Création d'une règle d'événement
Vous pouvez utiliser un modèle d'événement prédéfini ou un modèle d'événement personnalisé pour créer une règle dans EventBridge. Si vous sélectionnez un modèle prédéfini, les champs `source` et EventBridge sont automatiquement renseignés`detail-type`. EventBridge fournit également des champs permettant de spécifier les valeurs de filtre pour les attributs de recherche suivants :
+ `AwsAccountId`
+ `Compliance.Status`
+ `Criticality`
+ `ProductArn`
+ `RecordState`
+ `ResourceId`
+ `ResourceType`
+ `Severity.Label`
+ `Types`
+ `Workflow.Status`
**Pour créer une EventBridge règle (console)**
1. Ouvrez la EventBridge console Amazon à l'adresse [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. À l'aide des valeurs suivantes, créez une EventBridge règle qui surveille les événements de recherche :
+ Pour **Type de règle**, choisissez **Règle avec un modèle d’événement**.
+ Choisissez le mode de création du modèle d'événement.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/securityhub-cwe-all-findings.html)
+ Pour les **types de cibles**, choisissez un **AWS service**, et pour **Sélectionner une cible**, choisissez une cible telle qu'un sujet ou AWS Lambda une fonction Amazon SNS. La cible est déclenchée lorsqu'un événement correspond au modèle d'événement défini dans la règle est reçu.
Pour en savoir plus sur la création de règles, consultez [la section Création de EventBridge règles Amazon qui réagissent aux événements](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) dans le *guide de EventBridge l'utilisateur Amazon*.
# Utilisation d'actions personnalisées pour envoyer des résultats et des informations sur les résultats à EventBridge
Pour utiliser les actions personnalisées AWS Security Hub CSPM afin d'envoyer des conclusions ou des résultats d'analyse à Amazon EventBridge, vous devez d'abord créer l'action personnalisée dans Security Hub CSPM. Vous pouvez ensuite définir des règles EventBridge qui s'appliquent à vos actions personnalisées.
Vous pouvez créer jusqu'à 50 actions personnalisées.
Si vous activez l'agrégation entre régions et gérez les résultats de la région d'agrégation, créez des actions personnalisées dans la région d'agrégation.
La règle EventBridge utilisée utilise l'Amazon Resource Name (ARN) issu de l'action personnalisée.
# Création d'une action personnalisée
Lorsque vous créez une action personnalisée dans AWS Security Hub CSPM, vous spécifiez son nom, sa description et un identifiant unique.
Une action personnalisée indique les actions à effectuer lorsqu'un EventBridge événement correspond à une EventBridge règle. Security Hub CSPM envoie chaque résultat EventBridge sous forme d'événement.
Choisissez votre méthode préférée et suivez les étapes pour créer une action personnalisée.
------
#### [ Console ]
**Pour créer une action personnalisée dans Security Hub CSPM (console)**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Dans le volet de navigation, choisissez **Settings (Paramètres)**, puis **Custom actions (Actions personnalisées)**.
1. Choisissez **Create custom action (Créer une action personnalisée)**.
1. Renseignez les champs **Name (Nom)**, **Description** et **Custom action ID (ID d'action personnalisé)** pour l'action.
La valeur du champ **Name (Nom)** doit comporter moins de 20 caractères.
L'**ID d'action personnalisé** doit être unique pour chaque AWS compte.
1. Choisissez **Create custom action (Créer une action personnalisée)**.
1. Notez la valeur de **Custom action ARN (ARN de l'action personnalisé)**. Vous devez utiliser l'ARN lorsque vous créez une règle à associer à cette action dans EventBridge.
------
#### [ API ]
**Pour créer une action personnalisée (API)**
Utilisez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html)opération. Si vous utilisez le AWS CLI, exécutez la [create-action-target](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-action-target.html)commande.
L'exemple suivant crée une action personnalisée pour envoyer les résultats à un outil de correction. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.
```
$ aws securityhub create-action-target --name "Send to remediation" --description "Action to send the finding for remediation tracking" --id "Remediation"
```
------
# Définition d'une règle dans EventBridge
Pour déclencher une action personnalisée dans Amazon EventBridge, vous devez créer une règle correspondante dans EventBridge. La définition de la règle inclut le Amazon Resource Name (ARN) de l'action personnalisée.
Le modèle d'événement d'un événement **Security Hub Findings - Custom Action** est au format suivant :
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Custom Action"
],
"resources": [ "" ]
}
```
Le modèle d'événement d'un événement **Security Hub Insight Results** est au format suivant :
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Insight Results"
],
"resources": [ "" ]
}
```
Dans les deux modèles, `` c'est l'ARN d'une action personnalisée. Vous pouvez configurer une règle qui s'applique à plusieurs actions personnalisées.
Les instructions fournies ici concernent la EventBridge console. Lorsque vous utilisez la console, crée EventBridge automatiquement la politique basée sur les ressources requise qui permet d'écrire dans EventBridge les CloudWatch journaux.
Vous pouvez également utiliser le [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html)fonctionnement de l' EventBridge API. Toutefois, si vous utilisez l' EventBridge API, vous devez créer la politique basée sur les ressources. Pour plus de détails sur la politique requise, consultez la section [Autorisations relatives CloudWatch aux journaux](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions) dans le *guide de EventBridge l'utilisateur Amazon*.
**Pour définir une règle dans EventBridge (EventBridge console)**
1. Ouvrez la EventBridge console Amazon à l'adresse [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Dans le panneau de navigation, choisissez **Rules**.
1. Choisissez **Créer une règle**.
1. Saisissez un nom et une description pour la règle.
1. Pour **Event bus** (Bus d'événement), sélectionnez le bus d'événement que vous souhaitez associer à cette règle. Si vous souhaitez que cette règle mette en correspondance les événements en provenance de votre compte, sélectionnez **Par défaut**. Lorsqu'un service AWS de votre compte émet un événement, il accède toujours au bus d'événement par défaut de votre compte.
1. Pour **Type de règle**, choisissez **Règle avec un modèle d’événement**.
1. Choisissez **Suivant**.
1. Pour **Event source** (Source de l'événement), choisissez **AWS events** (Événements).
1. Pour **Modèle d'événement**, choisissez **Formulaire de modèle d'événement**.
1. Pour **Source d'événement**, choisissez **Services AWS **.
1. Pour le **AWS service**, choisissez **Security Hub**.
1. Pour **Event type (Type d'événement)**, effectuez l'une des actions suivantes :
+ Pour créer une règle à appliquer lorsque vous envoyez des résultats à une action personnalisée, choisissez **Security Hub Findings - Custom Action**.
+ Pour créer une règle à appliquer lorsque vous envoyez des résultats d'analyse à une action personnalisée, choisissez **Security Hub Insight Results**.
1. Choisissez **Action personnalisée spécifique ARNs**, ajoutez un ARN d'action personnalisé.
Si la règle s'applique à plusieurs actions personnalisées, choisissez **Ajouter** pour ajouter d'autres actions personnalisées ARNs.
1. Choisissez **Suivant**.
1. Sous **Sélectionner les cibles**, choisissez et configurez la cible à invoquer lorsque cette règle correspond.
1. Choisissez **Suivant**.
1. (Facultatif) Saisissez une ou plusieurs balises pour la règle. Pour plus d'informations, consultez les [ EventBridge balises Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html) dans le *guide de EventBridge l'utilisateur Amazon*.
1. Choisissez **Suivant**.
1. Consultez les détails de la règle et choisissez **Create rule** (Créer une règle).
Lorsque vous effectuez une action personnalisée sur les résultats ou les informations de votre compte, des événements sont générés dans EventBridge.
# Sélection d'une action personnalisée pour les conclusions et les résultats d'analyse
Après avoir créé les actions personnalisées AWS Security Hub CSPM et les EventBridge règles Amazon, vous pouvez envoyer des résultats et des informations à des EventBridge fins de gestion et de traitement automatiques.
Les événements ne sont envoyés EventBridge que dans le compte sur lequel ils sont consultés. Si vous consultez un résultat à l'aide d'un compte administrateur, l'événement est envoyé EventBridge dans le compte administrateur.
Pour que les appels d' AWS API soient efficaces, les implémentations du code cible doivent transformer les rôles en comptes de membres. Cela signifie également que le rôle dans lequel vous passez doit être déployé auprès de chaque membre où une action est nécessaire.
**Pour envoyer les résultats à EventBridge (console)**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Afficher la liste des résultats :
+ À partir des **résultats**, vous pouvez consulter les résultats de toutes les intégrations de produits et de tous les contrôles activés.
+ À partir **des normes de sécurité**, vous pouvez accéder à une liste des résultats générés par un contrôle spécifique. Pour de plus amples informations, veuillez consulter [Examiner les détails des contrôles dans Security Hub CSPM](securityhub-standards-control-details.md).
+ Dans **Intégrations**, vous pouvez accéder à la liste des résultats générés par une intégration activée. Pour de plus amples informations, veuillez consulter [Afficher les résultats d'une intégration avec Security Hub CSPM](securityhub-integration-view-findings.md).
+ Dans **Insights**, vous pouvez accéder à une liste de résultats pour obtenir un aperçu des résultats. Pour de plus amples informations, veuillez consulter [Examen et prise en compte des informations contenues dans Security Hub CSPM](securityhub-insights-view-take-action.md).
1. Sélectionnez les résultats à envoyer EventBridge. Vous pouvez sélectionner jusqu'à 20 résultats à la fois.
1. Dans **Actions**, choisissez l'action personnalisée qui correspond à la EventBridge règle à appliquer.
Security Hub CSPM envoie un événement **Security Hub Findings - Custom Action** distinct pour chaque résultat.
**Pour envoyer les résultats d'analyse à EventBridge (console)**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Dans le panneau de navigation, choisissez **Insights**.
1. Sur la page **Insights**, choisissez l'aperçu qui inclut les résultats à envoyer EventBridge.
1. Sélectionnez les résultats d'analyse à envoyer EventBridge. Vous pouvez sélectionner jusqu'à 20 résultats à la fois.
1. Dans **Actions**, choisissez l'action personnalisée qui correspond à la EventBridge règle à appliquer.