Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Types d'événements Security Hub dans EventBridge
Security Hub utilise les types d' EventBridge événements Amazon suivants pour s'intégrer EventBridge.
Sur le EventBridge tableau de bord de Security Hub, All Events inclut tous ces types d'événements.
Tous les résultats (Security Hub Findings - Imported)
Security Hub envoie automatiquement toutes les nouvelles découvertes et toutes les mises à jour des découvertes existantes EventBridge à Security Hub Findings - Importedévénements. Chaque Security Hub Findings - Importedl'événement contient une seule constatation.
Chaque BatchUpdateFindingsdemande BatchImportFindingsde sable déclenche un Security Hub Findings - Imported event.
Pour les comptes administrateurs, le flux d'événements EventBridge inclut des événements contenant des informations provenant à la fois de leur compte et de leurs comptes de membres.
Dans une région d'agrégation, le flux d'événements inclut les événements relatifs aux résultats de la région d'agrégation et des régions associées. Les résultats interrégionaux sont inclus dans le fil des événements en temps quasi réel. Pour plus d'informations sur la configuration de l'agrégation des résultats de recherche, consultezComprendre l'agrégation entre régions dans Security Hub.
Vous pouvez définir des règles EventBridge qui acheminent automatiquement les résultats vers un flux de travail de correction, un outil tiers ou une autre EventBridge cible prise en charge. Les règles peuvent inclure des filtres qui n'appliquent la règle que si le résultat comporte des valeurs d'attribut spécifiques.
Vous utilisez cette méthode pour envoyer automatiquement tous les résultats, ou tous les résultats présentant des caractéristiques spécifiques, à un flux de travail de réponse ou de correction.
Consultez Configuration d'une EventBridge règle pour les résultats du Security Hub.
Résultats relatifs aux actions personnalisées (Security Hub Findings - Custom Action)
Security Hub envoie également les résultats associés à des actions personnalisées EventBridge à Security Hub Findings - Custom Actionévénements.
Cela est utile pour les analystes travaillant avec la console Security Hub qui souhaitent envoyer un résultat spécifique, ou un petit ensemble de résultats, à un flux de travail de réponse ou de correction. Vous pouvez sélectionner une action personnalisée pour un maximum de 20 résultats à la fois. Chaque résultat est envoyé EventBridge à un EventBridge événement distinct.
Lorsque vous créez une action personnalisée, vous lui attribuez un ID d'action personnalisé. Vous pouvez utiliser cet ID pour créer une EventBridge règle qui exécute une action spécifiée après avoir reçu un résultat associé à cet ID d'action personnalisé.
Par exemple, vous pouvez créer une action personnalisée dans Security Hub appeléesend_to_ticketing. Ensuite EventBridge, vous créez une règle qui est déclenchée lorsque vous EventBridge recevez un résultat incluant l'ID d'action send_to_ticketing personnalisé. La règle inclut la logique qui permet d'envoyer le résultat à votre système de tickets. Vous pouvez ensuite sélectionner les résultats dans Security Hub et utiliser l'action personnalisée de Security Hub pour envoyer manuellement les résultats à votre système de billetterie.
Pour des exemples sur la manière d'envoyer les résultats de Security Hub à des EventBridge fins de traitement ultérieur, consultez le blog How to Integrate AWS Security Hub Custom Actions with PagerDuty
Aperçu des résultats pour les actions personnalisées (Security Hub Insight Results)
Vous pouvez également utiliser des actions personnalisées pour envoyer des ensembles de résultats informatifs EventBridge sous la forme Security Hub Insight Resultsévénements. Les résultats d'analyse sont les ressources qui correspondent à une information. Notez que lorsque vous envoyez des résultats d'analyse à EventBridge, vous ne les envoyez pas à EventBridge. Vous envoyez uniquement les identifiants de ressources associés aux résultats d'analyse. Vous pouvez envoyer jusqu'à 100 identifiants de ressource à la fois.
Comme pour les actions personnalisées pour les résultats, vous devez d'abord créer l'action personnalisée dans Security Hub, puis créer une règle dans EventBridge.
Supposons, par exemple, que vous observiez un résultat d'analyse particulier qui vous intéresse et que vous souhaitez partager avec un collègue. Dans ce cas, vous pouvez utiliser une action personnalisée pour envoyer ce résultat informatif au collègue par le biais d'un chat ou d'un système de billetterie.
