Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Utilisation EventBridge pour une réponse et une correction automatisées
En créant des règles dans Amazon EventBridge, vous pouvez répondre automatiquement aux conclusions du AWS Security Hub CSPM. Security Hub CSPM envoie les résultats sous forme d'*événements* EventBridge en temps quasi réel. Vous pouvez rédiger des règles simples pour indiquer les événements qui vous intéressent et les actions automatisées à effectuer lorsqu'un événement correspond à une règle. Les actions pouvant être déclenchées automatiquement sont les suivantes :
+ Invoquer une fonction AWS Lambda
+ Invocation de la commande d'exécution Amazon EC2
+ Relais de l’événement à Amazon Kinesis Data Streams
+ Activation d'une machine à AWS Step Functions états
+ Notification d’une rubrique Amazon SNS ou d’une file d’attente Amazon SQS
+ Envoi d'un résultat à un service de billetterie tiers, de conversation instantané, de gestion des informations et des événements de sécurité (SIEM) ou à un outil de réponse aux incidents et de gestion des incidents
Security Hub CSPM envoie automatiquement tous les nouveaux résultats et toutes les mises à jour des résultats existants EventBridge sous forme EventBridge d'événements. Vous pouvez également créer des actions personnalisées qui vous permettent d'envoyer des résultats sélectionnés et des informations sur les résultats à EventBridge.
Vous configurez ensuite EventBridge des règles pour répondre à chaque type d'événement.
Pour plus d'informations sur l'utilisation EventBridge, consultez le [https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html).
**Note**
Il est recommandé de veiller à ce que les autorisations d'accès accordées à vos utilisateurs EventBridge utilisent des politiques de moindre privilège Gestion des identités et des accès AWS (IAM) qui n'accordent que les autorisations requises.
Pour plus d'informations, consultez la section [Gestion des identités et des accès sur Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/auth-and-access-control-eventbridge.html).
Un ensemble de modèles de réponse automatique et de correction entre comptes est également disponible dans AWS Solutions. Les modèles exploitent les règles relatives aux EventBridge événements et les fonctions Lambda. Vous déployez la solution à l'aide CloudFormation de et AWS Systems Manager. La solution peut créer des actions de réponse et de correction entièrement automatisées. Il peut également utiliser les actions personnalisées CSPM de Security Hub pour créer des actions de réponse et de correction déclenchées par l'utilisateur. Pour plus de détails sur la configuration et l'utilisation de la solution, consultez la page [Réponse de sécurité automatisée sur](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/) la AWS solution.
**Topics**
+ [Types d'événements Security Hub CSPM dans EventBridge](securityhub-cwe-integration-types.md)
+ [EventBridge formats d'événements pour Security Hub CSPM](securityhub-cwe-event-formats.md)
+ [Configuration d'une EventBridge règle pour les résultats du Security Hub CSPM](securityhub-cwe-all-findings.md)
+ [Utilisation d'actions personnalisées pour envoyer des résultats et des informations sur les résultats à EventBridge](securityhub-cwe-custom-actions.md)
# Types d'événements Security Hub CSPM dans EventBridge
Security Hub CSPM utilise les types d' EventBridge événements Amazon suivants pour s'intégrer. EventBridge
Sur le EventBridge tableau de bord de Security Hub CSPM, **All Events** inclut tous ces types d'événements.
## Tous les résultats (Security Hub Findings - Imported)
Security Hub CSPM envoie automatiquement tous les nouveaux résultats et toutes les mises à jour des résultats existants EventBridge sous forme **Security Hub Findings - Imported**d'événements. Chaque **Security Hub Findings - Imported**événement contient une seule constatation.
Chaque [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)demande [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)et déclenche un **Security Hub Findings - Imported**événement.
Pour les comptes administrateurs, le flux d'événements EventBridge inclut des événements contenant des informations provenant à la fois de leur compte et de leurs comptes de membres.
Dans une région d'agrégation, le flux d'événements inclut les événements relatifs aux résultats de la région d'agrégation et des régions associées. Les résultats interrégionaux sont inclus dans le fil des événements en temps quasi réel. Pour plus d'informations sur la configuration de l'agrégation des résultats de recherche, consultez[Comprendre l'agrégation entre régions dans Security Hub CSPM](finding-aggregation.md).
Vous pouvez définir des règles EventBridge qui acheminent automatiquement les résultats vers un flux de travail de correction, un outil tiers ou une [autre EventBridge cible prise en charge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html). Les règles peuvent inclure des filtres qui n'appliquent la règle que si le résultat comporte des valeurs d'attribut spécifiques.
Vous utilisez cette méthode pour envoyer automatiquement tous les résultats, ou tous les résultats présentant des caractéristiques spécifiques, à un flux de travail de réponse ou de correction.
Consultez [Configuration d'une EventBridge règle pour les résultats du Security Hub CSPM](securityhub-cwe-all-findings.md).
## Résultats pour les actions personnalisées (Security Hub Findings - Custom Action)
Security Hub CSPM envoie également les résultats associés à des actions personnalisées EventBridge sous forme **Security Hub Findings - Custom Action**d'événements.
Cela est utile pour les analystes travaillant avec la console Security Hub CSPM qui souhaitent envoyer un résultat spécifique, ou un petit ensemble de résultats, à un flux de travail de réponse ou de correction. Vous pouvez sélectionner une action personnalisée pour un maximum de 20 résultats à la fois. Chaque résultat est envoyé EventBridge à un EventBridge événement distinct.
Lorsque vous créez une action personnalisée, vous lui attribuez un ID d'action personnalisé. Vous pouvez utiliser cet ID pour créer une EventBridge règle qui exécute une action spécifiée après avoir reçu un résultat associé à cet ID d'action personnalisé.
Consultez [Utilisation d'actions personnalisées pour envoyer des résultats et des informations sur les résultats à EventBridge](securityhub-cwe-custom-actions.md).
Par exemple, vous pouvez créer une action personnalisée dans Security Hub CSPM appelée. `send_to_ticketing` Ensuite EventBridge, vous créez une règle qui est déclenchée lorsque vous EventBridge recevez un résultat incluant l'ID d'action `send_to_ticketing` personnalisé. La règle inclut la logique qui permet d'envoyer le résultat à votre système de tickets. Vous pouvez ensuite sélectionner les résultats dans Security Hub CSPM et utiliser l'action personnalisée dans Security Hub CSPM pour envoyer manuellement les résultats à votre système de billetterie.
Pour des exemples de la manière d'envoyer les résultats du Security Hub CSPM à des EventBridge fins de traitement ultérieur, consultez les sections [How to Integrate AWS Security Hub CSPM Custom Actions with the Security Hub CSPM PagerDuty](https://aws.amazon.com/blogs/apn/how-to-integrate-aws-security-hub-custom-actions-with-pagerduty/) and [How to Enable Custom Actions in AWS Security Hub CSPM](https://aws.amazon.com/blogs/apn/how-to-enable-custom-actions-in-aws-security-hub/) sur le blog AWS Partner Network (APN).
## Résultats d'analyse pour les actions personnalisées (Security Hub Insight Results)
Vous pouvez également utiliser des actions personnalisées pour envoyer des ensembles de résultats d'analyse EventBridge sous forme d'**Security Hub Insight Results**événements. Les résultats d'analyse sont les ressources qui correspondent à une information. Notez que lorsque vous envoyez des résultats d'analyse à EventBridge, vous ne les envoyez pas à EventBridge. Vous envoyez uniquement les identifiants de ressources associés aux résultats d'analyse. Vous pouvez envoyer jusqu'à 100 identifiants de ressource à la fois.
Comme pour les actions personnalisées pour les résultats, vous devez d'abord créer l'action personnalisée dans Security Hub CSPM, puis créer une règle dans. EventBridge
Consultez [Utilisation d'actions personnalisées pour envoyer des résultats et des informations sur les résultats à EventBridge](securityhub-cwe-custom-actions.md).
Supposons, par exemple, que vous observiez un résultat d'analyse particulier qui vous intéresse et que vous souhaitez partager avec un collègue. Dans ce cas, vous pouvez utiliser une action personnalisée pour envoyer ce résultat informatif au collègue par le biais d'un chat ou d'un système de billetterie.
# EventBridge formats d'événements pour Security Hub CSPM
Les types d'**Security Hub Insight Results**événements **Security Hub Findings - Imported**Security Findings - Custom Action****, et utilisent les formats d'événements suivants.
Le format d'événement est le format utilisé lorsque Security Hub CSPM envoie un événement à. EventBridge
## Security Hub Findings - Imported
**Security Hub Findings - Imported**les événements envoyés depuis Security Hub CSPM doivent EventBridge utiliser le format suivant.
```
{
"version":"0",
"id":"CWE-event-id",
"detail-type":"Security Hub Findings - Imported",
"source":"aws.securityhub",
"account":"111122223333",
"time":"2019-04-11T21:52:17Z",
"region":"us-west-2",
"resources":[
"arn:aws:securityhub:us-west-2::product/aws/macie/arn:aws:macie:us-west-2:111122223333:integtest/trigger/6294d71b927c41cbab915159a8f326a3/alert/f2893b211841"
],
"detail":{
"findings": [{
}]
}
}
```
``est le contenu, au format JSON, du résultat envoyé par l'événement. Chaque événement envoie un résultat unique.
Pour obtenir la liste complète des attributs de recherche, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
Pour plus d'informations sur la façon de configurer les EventBridge règles déclenchées par ces événements, consultez[Configuration d'une EventBridge règle pour les résultats du Security Hub CSPM](securityhub-cwe-all-findings.md).
## Security Hub Findings - Custom Action
**Security Hub Findings - Custom Action**les événements envoyés depuis Security Hub CSPM doivent EventBridge utiliser le format suivant. Chaque résultat est envoyé dans le cadre d'un événement distinct.
```
{
"version": "0",
"id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
"detail-type": "Security Hub Findings - Custom Action",
"source": "aws.securityhub",
"account": "111122223333",
"time": "2019-04-11T18:43:48Z",
"region": "us-west-1",
"resources": [
"arn:aws:securityhub:us-west-1:111122223333:action/custom/custom-action-name"
],
"detail": {
"actionName":"custom-action-name",
"actionDescription": "description of the action",
"findings": [
{
}
]
}
}
```
``est le contenu, au format JSON, du résultat envoyé par l'événement. Chaque événement envoie un résultat unique.
Pour obtenir la liste complète des attributs de recherche, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
Pour plus d'informations sur la façon de configurer les EventBridge règles déclenchées par ces événements, consultez[Utilisation d'actions personnalisées pour envoyer des résultats et des informations sur les résultats à EventBridge](securityhub-cwe-custom-actions.md).
## Security Hub Insight Results
**Security Hub Insight Results**les événements envoyés depuis Security Hub CSPM doivent EventBridge utiliser le format suivant.
```
{
"version": "0",
"id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
"detail-type": "Security Hub Insight Results",
"source": "aws.securityhub",
"account": "111122223333",
"time": "2017-12-22T18:43:48Z",
"region": "us-west-1",
"resources": [
"arn:aws:securityhub:us-west-1:111122223333::product/aws/macie:us-west-1:222233334444:test/trigger/1ec9cf700ef6be062b19584e0b7d84ec/alert/f2893b211841"
],
"detail": {
"actionName":"name of the action",
"actionDescription":"description of the action",
"insightArn":"ARN of the insight",
"insightName":"Name of the insight",
"resultType":"ResourceAwsIamAccessKeyUserName",
"number of results":"number of results, max of 100",
"insightResults": [
{"result 1": 5},
{"result 2": 6}
]
}
}
```
Pour plus d'informations sur la création d'une EventBridge règle déclenchée par ces événements, consultez[Utilisation d'actions personnalisées pour envoyer des résultats et des informations sur les résultats à EventBridge](securityhub-cwe-custom-actions.md).
# Configuration d'une EventBridge règle pour les résultats du Security Hub CSPM
Vous pouvez créer une règle dans Amazon EventBridge qui définit une action à effectuer lors de la réception d'un **Security Hub Findings - Imported**événement. **Security Hub Findings - Imported**les événements sont déclenchés par des mises à jour provenant à la fois [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)des opérations [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)et.
Chaque règle contient un modèle d'événements qui identifie les événements qui déclenchent la règle. Le modèle d'événement contient toujours la source de l'événement (`aws.securityhub`) et le type d'événement (**Security Hub Findings - Imported**). Le modèle d'événement peut également spécifier des filtres pour identifier les résultats auxquels s'applique la règle.
La règle d'événement identifie ensuite les cibles de la règle. Les cibles sont les actions à entreprendre lorsque vous recevez EventBridge un événement **Security Hub Findings - Imported** et que le résultat correspond aux filtres.
Les instructions fournies ici utilisent la EventBridge console. Lorsque vous utilisez la console, elle crée EventBridge automatiquement la politique basée sur les ressources requise qui permet d' EventBridge écrire sur Amazon CloudWatch Logs.
Vous pouvez également utiliser le [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html)fonctionnement de l' EventBridge API. Toutefois, si vous utilisez l' EventBridge API, vous devez créer la politique basée sur les ressources. Pour plus d'informations sur la politique requise, consultez la section [Autorisations relatives CloudWatch aux journaux](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions) dans le *guide de EventBridge l'utilisateur Amazon*.
## Format du modèle d'événement
Le format du modèle d'événement pour **Security Hub Findings - Imported** events est le suivant :
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Imported"
],
"detail": {
"findings": {
}
}
}
```
+ `source`identifie Security Hub CSPM comme le service qui génère l'événement.
+ `detail-type`identifie le type d'événement.
+ `detail`est facultatif et fournit les valeurs de filtre pour le modèle d'événement. Si le modèle d'événement ne contient aucun `detail` champ, tous les résultats déclenchent la règle.
Vous pouvez filtrer les résultats en fonction de n'importe quel attribut de recherche. Pour chaque attribut, vous fournissez un tableau séparé par des virgules contenant une ou plusieurs valeurs.
```
"": [ "", ""]
```
Si vous fournissez plusieurs valeurs pour un attribut, ces valeurs sont jointes par`OR`. Une recherche correspond au filtre d'un attribut individuel si la recherche contient l'une des valeurs répertoriées. Par exemple, si vous fournissez les deux `INFORMATIONAL` et `LOW` en tant que valeurs pour`Severity.Label`, le résultat correspond s'il possède une étiquette de gravité égale à `INFORMATIONAL` ou`LOW`.
Les attributs sont joints par`AND`. Un résultat correspond s'il correspond aux critères de filtre pour tous les attributs fournis.
Lorsque vous fournissez une valeur d'attribut, elle doit refléter l'emplacement de cet attribut dans la structure ASFF ( AWS Security Finding Format).
**Astuce**
Lorsque vous filtrez les résultats des contrôles, nous vous recommandons d'utiliser les [champs `SecurityControlId` ou `SecurityControlArn` ASFF](securityhub-findings-format.md) comme filtres, plutôt que `Title` ou`Description`. Ces derniers champs peuvent changer de temps en temps, tandis que l'ID de contrôle et l'ARN sont des identifiants statiques.
Dans l'exemple suivant, le modèle d'événement fournit des valeurs de filtre pour `ProductArn` et`Severity.Label`, par conséquent, un résultat correspond s'il est généré par Amazon Inspector et s'il possède une étiquette de gravité égale à `INFORMATIONAL` ou`LOW`.
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Imported"
],
"detail": {
"findings": {
"ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"],
"Severity": {
"Label": ["INFORMATIONAL", "LOW"]
}
}
}
}
```
## Création d'une règle d'événement
Vous pouvez utiliser un modèle d'événement prédéfini ou un modèle d'événement personnalisé pour créer une règle dans EventBridge. Si vous sélectionnez un modèle prédéfini, les champs `source` et EventBridge sont automatiquement renseignés`detail-type`. EventBridge fournit également des champs permettant de spécifier les valeurs de filtre pour les attributs de recherche suivants :
+ `AwsAccountId`
+ `Compliance.Status`
+ `Criticality`
+ `ProductArn`
+ `RecordState`
+ `ResourceId`
+ `ResourceType`
+ `Severity.Label`
+ `Types`
+ `Workflow.Status`
**Pour créer une EventBridge règle (console)**
1. Ouvrez la EventBridge console Amazon à l'adresse [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. À l'aide des valeurs suivantes, créez une EventBridge règle qui surveille les événements de recherche :
+ Pour **Type de règle**, choisissez **Règle avec un modèle d’événement**.
+ Choisissez le mode de création du modèle d'événement.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/securityhub-cwe-all-findings.html)
+ Pour les **types de cibles**, choisissez un **AWS service**, et pour **Sélectionner une cible**, choisissez une cible telle qu'un sujet ou AWS Lambda une fonction Amazon SNS. La cible est déclenchée lorsqu'un événement correspond au modèle d'événement défini dans la règle est reçu.
Pour en savoir plus sur la création de règles, consultez [la section Création de EventBridge règles Amazon qui réagissent aux événements](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) dans le *guide de EventBridge l'utilisateur Amazon*.
# Utilisation d'actions personnalisées pour envoyer des résultats et des informations sur les résultats à EventBridge
Pour utiliser les actions personnalisées AWS Security Hub CSPM afin d'envoyer des conclusions ou des résultats d'analyse à Amazon EventBridge, vous devez d'abord créer l'action personnalisée dans Security Hub CSPM. Vous pouvez ensuite définir des règles EventBridge qui s'appliquent à vos actions personnalisées.
Vous pouvez créer jusqu'à 50 actions personnalisées.
Si vous activez l'agrégation entre régions et gérez les résultats de la région d'agrégation, créez des actions personnalisées dans la région d'agrégation.
La règle EventBridge utilisée utilise l'Amazon Resource Name (ARN) issu de l'action personnalisée.
# Création d'une action personnalisée
Lorsque vous créez une action personnalisée dans AWS Security Hub CSPM, vous spécifiez son nom, sa description et un identifiant unique.
Une action personnalisée indique les actions à effectuer lorsqu'un EventBridge événement correspond à une EventBridge règle. Security Hub CSPM envoie chaque résultat EventBridge sous forme d'événement.
Choisissez votre méthode préférée et suivez les étapes pour créer une action personnalisée.
------
#### [ Console ]
**Pour créer une action personnalisée dans Security Hub CSPM (console)**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Dans le volet de navigation, choisissez **Settings (Paramètres)**, puis **Custom actions (Actions personnalisées)**.
1. Choisissez **Create custom action (Créer une action personnalisée)**.
1. Renseignez les champs **Name (Nom)**, **Description** et **Custom action ID (ID d'action personnalisé)** pour l'action.
La valeur du champ **Name (Nom)** doit comporter moins de 20 caractères.
L'**ID d'action personnalisé** doit être unique pour chaque AWS compte.
1. Choisissez **Create custom action (Créer une action personnalisée)**.
1. Notez la valeur de **Custom action ARN (ARN de l'action personnalisé)**. Vous devez utiliser l'ARN lorsque vous créez une règle à associer à cette action dans EventBridge.
------
#### [ API ]
**Pour créer une action personnalisée (API)**
Utilisez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html)opération. Si vous utilisez le AWS CLI, exécutez la [create-action-target](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-action-target.html)commande.
L'exemple suivant crée une action personnalisée pour envoyer les résultats à un outil de correction. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.
```
$ aws securityhub create-action-target --name "Send to remediation" --description "Action to send the finding for remediation tracking" --id "Remediation"
```
------
# Définition d'une règle dans EventBridge
Pour déclencher une action personnalisée dans Amazon EventBridge, vous devez créer une règle correspondante dans EventBridge. La définition de la règle inclut le Amazon Resource Name (ARN) de l'action personnalisée.
Le modèle d'événement d'un événement **Security Hub Findings - Custom Action** est au format suivant :
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Custom Action"
],
"resources": [ "" ]
}
```
Le modèle d'événement d'un événement **Security Hub Insight Results** est au format suivant :
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Insight Results"
],
"resources": [ "" ]
}
```
Dans les deux modèles, `` c'est l'ARN d'une action personnalisée. Vous pouvez configurer une règle qui s'applique à plusieurs actions personnalisées.
Les instructions fournies ici concernent la EventBridge console. Lorsque vous utilisez la console, crée EventBridge automatiquement la politique basée sur les ressources requise qui permet d'écrire dans EventBridge les CloudWatch journaux.
Vous pouvez également utiliser le [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html)fonctionnement de l' EventBridge API. Toutefois, si vous utilisez l' EventBridge API, vous devez créer la politique basée sur les ressources. Pour plus de détails sur la politique requise, consultez la section [Autorisations relatives CloudWatch aux journaux](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions) dans le *guide de EventBridge l'utilisateur Amazon*.
**Pour définir une règle dans EventBridge (EventBridge console)**
1. Ouvrez la EventBridge console Amazon à l'adresse [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Dans le panneau de navigation, choisissez **Rules**.
1. Choisissez **Créer une règle**.
1. Saisissez un nom et une description pour la règle.
1. Pour **Event bus** (Bus d'événement), sélectionnez le bus d'événement que vous souhaitez associer à cette règle. Si vous souhaitez que cette règle mette en correspondance les événements en provenance de votre compte, sélectionnez **Par défaut**. Lorsqu'un service AWS de votre compte émet un événement, il accède toujours au bus d'événement par défaut de votre compte.
1. Pour **Type de règle**, choisissez **Règle avec un modèle d’événement**.
1. Choisissez **Suivant**.
1. Pour **Event source** (Source de l'événement), choisissez **AWS events** (Événements).
1. Pour **Modèle d'événement**, choisissez **Formulaire de modèle d'événement**.
1. Pour **Source d'événement**, choisissez **Services AWS **.
1. Pour le **AWS service**, choisissez **Security Hub**.
1. Pour **Event type (Type d'événement)**, effectuez l'une des actions suivantes :
+ Pour créer une règle à appliquer lorsque vous envoyez des résultats à une action personnalisée, choisissez **Security Hub Findings - Custom Action**.
+ Pour créer une règle à appliquer lorsque vous envoyez des résultats d'analyse à une action personnalisée, choisissez **Security Hub Insight Results**.
1. Choisissez **Action personnalisée spécifique ARNs**, ajoutez un ARN d'action personnalisé.
Si la règle s'applique à plusieurs actions personnalisées, choisissez **Ajouter** pour ajouter d'autres actions personnalisées ARNs.
1. Choisissez **Suivant**.
1. Sous **Sélectionner les cibles**, choisissez et configurez la cible à invoquer lorsque cette règle correspond.
1. Choisissez **Suivant**.
1. (Facultatif) Saisissez une ou plusieurs balises pour la règle. Pour plus d'informations, consultez les [ EventBridge balises Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html) dans le *guide de EventBridge l'utilisateur Amazon*.
1. Choisissez **Suivant**.
1. Consultez les détails de la règle et choisissez **Create rule** (Créer une règle).
Lorsque vous effectuez une action personnalisée sur les résultats ou les informations de votre compte, des événements sont générés dans EventBridge.
# Sélection d'une action personnalisée pour les conclusions et les résultats d'analyse
Après avoir créé les actions personnalisées AWS Security Hub CSPM et les EventBridge règles Amazon, vous pouvez envoyer des résultats et des informations à des EventBridge fins de gestion et de traitement automatiques.
Les événements ne sont envoyés EventBridge que dans le compte sur lequel ils sont consultés. Si vous consultez un résultat à l'aide d'un compte administrateur, l'événement est envoyé EventBridge dans le compte administrateur.
Pour que les appels d' AWS API soient efficaces, les implémentations du code cible doivent transformer les rôles en comptes de membres. Cela signifie également que le rôle dans lequel vous passez doit être déployé auprès de chaque membre où une action est nécessaire.
**Pour envoyer les résultats à EventBridge (console)**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Afficher la liste des résultats :
+ À partir des **résultats**, vous pouvez consulter les résultats de toutes les intégrations de produits et de tous les contrôles activés.
+ À partir **des normes de sécurité**, vous pouvez accéder à une liste des résultats générés par un contrôle spécifique. Pour de plus amples informations, veuillez consulter [Examiner les détails des contrôles dans Security Hub CSPM](securityhub-standards-control-details.md).
+ Dans **Intégrations**, vous pouvez accéder à la liste des résultats générés par une intégration activée. Pour de plus amples informations, veuillez consulter [Afficher les résultats d'une intégration avec Security Hub CSPM](securityhub-integration-view-findings.md).
+ Dans **Insights**, vous pouvez accéder à une liste de résultats pour obtenir un aperçu des résultats. Pour de plus amples informations, veuillez consulter [Examen et prise en compte des informations contenues dans Security Hub CSPM](securityhub-insights-view-take-action.md).
1. Sélectionnez les résultats à envoyer EventBridge. Vous pouvez sélectionner jusqu'à 20 résultats à la fois.
1. Dans **Actions**, choisissez l'action personnalisée qui correspond à la EventBridge règle à appliquer.
Security Hub CSPM envoie un événement **Security Hub Findings - Custom Action** distinct pour chaque résultat.
**Pour envoyer les résultats d'analyse à EventBridge (console)**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Dans le panneau de navigation, choisissez **Insights**.
1. Sur la page **Insights**, choisissez l'aperçu qui inclut les résultats à envoyer EventBridge.
1. Sélectionnez les résultats d'analyse à envoyer EventBridge. Vous pouvez sélectionner jusqu'à 20 résultats à la fois.
1. Dans **Actions**, choisissez l'action personnalisée qui correspond à la EventBridge règle à appliquer.