

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Configuration d'une EventBridge règle pour les résultats du Security Hub CSPM
<a name="securityhub-cwe-all-findings"></a>

Vous pouvez créer une règle dans Amazon EventBridge qui définit une action à effectuer lors de la réception d'un **Security Hub Findings - Imported**événement. **Security Hub Findings - Imported**les événements sont déclenchés par des mises à jour provenant à la fois [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)des opérations [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)et.

Chaque règle contient un modèle d'événements qui identifie les événements qui déclenchent la règle. Le modèle d'événement contient toujours la source de l'événement (`aws.securityhub`) et le type d'événement (**Security Hub Findings - Imported**). Le modèle d'événement peut également spécifier des filtres pour identifier les résultats auxquels s'applique la règle.

La règle d'événement identifie ensuite les cibles de la règle. Les cibles sont les actions à entreprendre lorsque vous recevez EventBridge un événement **Security Hub Findings - Imported** et que le résultat correspond aux filtres.

Les instructions fournies ici utilisent la EventBridge console. Lorsque vous utilisez la console, elle crée EventBridge automatiquement la politique basée sur les ressources requise qui permet d' EventBridge écrire sur Amazon CloudWatch Logs.

Vous pouvez également utiliser le [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html)fonctionnement de l' EventBridge API. Toutefois, si vous utilisez l' EventBridge API, vous devez créer la politique basée sur les ressources. Pour plus d'informations sur la politique requise, consultez la section [Autorisations relatives CloudWatch aux journaux](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions) dans le *guide de EventBridge l'utilisateur Amazon*.

## Format du modèle d'événement
<a name="securityhub-cwe-all-findings-rule-format"></a>

Le format du modèle d'événement pour **Security Hub Findings - Imported** events est le suivant :

```
{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Findings - Imported"
  ],
  "detail": {
    "findings": {
      <attribute filter values>
    }
  }
}
```
+ `source`identifie Security Hub CSPM comme le service qui génère l'événement.
+ `detail-type`identifie le type d'événement.
+ `detail`est facultatif et fournit les valeurs de filtre pour le modèle d'événement. Si le modèle d'événement ne contient aucun `detail` champ, tous les résultats déclenchent la règle.

Vous pouvez filtrer les résultats en fonction de n'importe quel attribut de recherche. Pour chaque attribut, vous fournissez un tableau séparé par des virgules contenant une ou plusieurs valeurs.

```
"<attribute name>": [ "<value1>", "<value2>"]
```

Si vous fournissez plusieurs valeurs pour un attribut, ces valeurs sont jointes par`OR`. Une recherche correspond au filtre d'un attribut individuel si la recherche contient l'une des valeurs répertoriées. Par exemple, si vous fournissez les deux `INFORMATIONAL` et `LOW` en tant que valeurs pour`Severity.Label`, le résultat correspond s'il possède une étiquette de gravité égale à `INFORMATIONAL` ou`LOW`.

Les attributs sont joints par`AND`. Un résultat correspond s'il correspond aux critères de filtre pour tous les attributs fournis.

Lorsque vous fournissez une valeur d'attribut, elle doit refléter l'emplacement de cet attribut dans la structure ASFF ( AWS Security Finding Format).

**Astuce**  
Lorsque vous filtrez les résultats des contrôles, nous vous recommandons d'utiliser les [champs `SecurityControlId` ou `SecurityControlArn` ASFF](securityhub-findings-format.md) comme filtres, plutôt que `Title` ou`Description`. Ces derniers champs peuvent changer de temps en temps, tandis que l'ID de contrôle et l'ARN sont des identifiants statiques.

Dans l'exemple suivant, le modèle d'événement fournit des valeurs de filtre pour `ProductArn` et`Severity.Label`, par conséquent, un résultat correspond s'il est généré par Amazon Inspector et s'il possède une étiquette de gravité égale à `INFORMATIONAL` ou`LOW`.

```
{
    "source": [
        "aws.securityhub"
     ],
    "detail-type": [
        "Security Hub Findings - Imported"
    ],
    "detail": {
        "findings": {
            "ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"],
            "Severity": {
                "Label": ["INFORMATIONAL", "LOW"]
            }
        }
    }
}
```

## Création d'une règle d'événement
<a name="securityhub-cwe-all-findings-predefined-pattern"></a>

Vous pouvez utiliser un modèle d'événement prédéfini ou un modèle d'événement personnalisé pour créer une règle dans EventBridge. Si vous sélectionnez un modèle prédéfini, les champs `source` et EventBridge sont automatiquement renseignés`detail-type`. EventBridge fournit également des champs permettant de spécifier les valeurs de filtre pour les attributs de recherche suivants :
+ `AwsAccountId`
+ `Compliance.Status`
+ `Criticality`
+ `ProductArn`
+ `RecordState`
+ `ResourceId`
+ `ResourceType`
+ `Severity.Label`
+ `Types`
+ `Workflow.Status`

**Pour créer une EventBridge règle (console)**

1. Ouvrez la EventBridge console Amazon à l'adresse [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).

1. À l'aide des valeurs suivantes, créez une EventBridge règle qui surveille les événements de recherche :
   + Pour **Type de règle**, choisissez **Règle avec un modèle d’événement**.
   + Choisissez le mode de création du modèle d'événement.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/securityhub-cwe-all-findings.html)
   + Pour les **types de cibles**, choisissez un **AWS service**, et pour **Sélectionner une cible**, choisissez une cible telle qu'un sujet ou AWS Lambda une fonction Amazon SNS. La cible est déclenchée lorsqu'un événement correspond au modèle d'événement défini dans la règle est reçu.

   Pour en savoir plus sur la création de règles, consultez [la section Création de EventBridge règles Amazon qui réagissent aux événements](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) dans le *guide de EventBridge l'utilisateur Amazon*.