Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Secara otomatis memodifikasi dan bertindak atas temuan di Security Hub CSPM
AWS Security Hub CSPM memiliki fitur yang secara otomatis memodifikasi dan mengambil tindakan atas temuan berdasarkan spesifikasi Anda.
Security Hub CSPM saat ini mendukung dua jenis otomatisasi:
+ **Aturan otomatisasi** — Secara otomatis memperbarui dan menekan temuan dalam waktu dekat berdasarkan kriteria yang Anda tentukan.
+ **Respons dan remediasi otomatis** — Buat EventBridge aturan Amazon khusus yang menentukan tindakan otomatis yang harus diambil terhadap temuan dan wawasan tertentu.
Aturan otomatisasi sangat membantu saat Anda ingin memperbarui bidang pencarian secara otomatis di AWS Security Finding Format (ASFF). Misalnya, Anda dapat menggunakan aturan otomatisasi untuk memperbarui tingkat keparahan atau status alur kerja temuan dari integrasi pihak ketiga tertentu. Menggunakan aturan otomatisasi menghilangkan kebutuhan untuk memperbarui tingkat keparahan atau status alur kerja secara manual dari setiap temuan dari produk pihak ketiga ini.
EventBridge aturan sangat membantu ketika Anda ingin mengambil tindakan di luar CSPM Security Hub sehubungan dengan temuan spesifik atau mengirimkan temuan spesifik ke alat pihak ketiga untuk remediasi atau penyelidikan tambahan. Aturan dapat digunakan untuk memicu tindakan yang didukung, seperti menjalankan AWS Lambda fungsi atau memberi tahu topik Amazon Simple Notification Service (Amazon SNS) tentang temuan tertentu.
Aturan otomatisasi berlaku sebelum EventBridge aturan diterapkan. Artinya, aturan otomatisasi dipicu dan memperbarui temuan sebelum EventBridge menerima temuan. EventBridge aturan kemudian berlaku untuk temuan yang diperbarui.
Saat menyiapkan otomatisasi untuk kontrol keamanan, sebaiknya filter berdasarkan ID kontrol daripada judul atau deskripsi. Sedangkan Security Hub CSPM terkadang memperbarui judul dan deskripsi kontrol, kontrol IDs tetap sama.
**Topics**
+ [Memahami aturan otomatisasi di Security Hub CSPM](automation-rules.md)
+ [Menggunakan EventBridge untuk respon otomatis dan remediasi](securityhub-cloudwatch-events.md)
# Memahami aturan otomatisasi di Security Hub CSPM
Anda dapat menggunakan aturan otomatisasi untuk memperbarui temuan secara otomatis di AWS Security Hub CSPM. Saat mencerna temuan, Security Hub CSPM dapat menerapkan berbagai tindakan aturan, seperti menekan temuan, mengubah tingkat keparahannya, dan menambahkan catatan. Tindakan aturan tersebut mengubah temuan yang sesuai dengan kriteria yang Anda tentukan.
Contoh kasus penggunaan untuk aturan otomatisasi meliputi:
+ Meningkatkan keparahan temuan `CRITICAL` jika ID sumber daya temuan mengacu pada sumber daya bisnis yang penting.
+ Meningkatkan keparahan temuan dari `HIGH` `CRITICAL` jika temuan tersebut memengaruhi sumber daya dalam akun produksi tertentu.
+ Menetapkan temuan spesifik yang memiliki tingkat keparahan status `INFORMATIONAL` `SUPPRESSED` alur kerja.
Anda dapat membuat dan mengelola aturan otomatisasi hanya dari akun administrator CSPM Security Hub.
Aturan berlaku untuk temuan baru dan temuan terbaru. Anda dapat membuat aturan kustom dari awal, atau menggunakan templat aturan yang disediakan oleh Security Hub CSPM. Anda juga dapat memulai dengan template dan memodifikasinya sesuai kebutuhan.
## Mendefinisikan kriteria aturan dan tindakan aturan
*Dari akun administrator CSPM Security Hub, Anda dapat membuat aturan otomatisasi dengan menentukan satu atau beberapa *kriteria* aturan dan satu atau beberapa tindakan aturan.* Ketika temuan cocok dengan kriteria yang ditentukan, Security Hub CSPM menerapkan tindakan aturan untuk itu. Untuk informasi selengkapnya tentang kriteria dan tindakan yang tersedia, lihat[Kriteria aturan dan tindakan aturan yang tersedia](#automation-rules-criteria-actions).
Security Hub CSPM saat ini mendukung maksimal 100 aturan otomatisasi untuk setiap akun administrator.
Akun administrator CSPM Security Hub juga dapat mengedit, melihat, dan menghapus aturan otomatisasi. Aturan berlaku untuk pencocokan temuan di akun administrator dan semua akun anggotanya. Dengan menyediakan akun anggota IDs sebagai kriteria aturan, administrator CSPM Security Hub juga dapat menggunakan aturan otomatisasi untuk memperbarui atau menekan temuan di akun anggota tertentu.
Aturan otomatisasi hanya berlaku Wilayah AWS di tempat pembuatannya. Untuk menerapkan aturan di beberapa Wilayah, administrator harus membuat aturan di setiap Wilayah. Ini dapat dilakukan melalui konsol CSPM Security Hub, Security Hub CSPM API, atau. [AWS CloudFormation](creating-resources-with-cloudformation.md) Anda juga dapat menggunakan skrip [penyebaran Multi-wilayah](https://github.com/awslabs/aws-securityhub-multiaccount-scripts/blob/master/automation_rules).
## Kriteria aturan dan tindakan aturan yang tersedia
Bidang AWS Security Finding Format (ASFF) berikut saat ini didukung sebagai kriteria untuk aturan otomatisasi:
| Kriteria aturan | Operator filter | Jenis bidang |
| --- | --- | --- |
| AwsAccountId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| AwsAccountName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| CompanyName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ComplianceAssociatedStandardsId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ComplianceSecurityControlId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ComplianceStatus | Is, Is Not | Pilih: [FAILED,NOT\$1AVAILABLE,PASSED,WARNING] |
| Confidence | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Bilangan |
| CreatedAt | Start, End, DateRange | Tanggal (diformat sebagai 2022-12-01T 21:47:39.269 Z) |
| Criticality | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Bilangan |
| Description | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| FirstObservedAt | Start, End, DateRange | Tanggal (diformat sebagai 2022-12-01T 21:47:39.269 Z) |
| GeneratorId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| Id | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| LastObservedAt | Start, End, DateRange | Tanggal (diformat sebagai 2022-12-01T 21:47:39.269 Z) |
| NoteText | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| NoteUpdatedAt | Start, End, DateRange | Tanggal (diformat sebagai 2022-12-01T 21:47:39.269 Z) |
| NoteUpdatedBy | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ProductArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ProductName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| RecordState | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| RelatedFindingsId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| RelatedFindingsProductArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ResourceApplicationArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ResourceApplicationName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ResourceDetailsOther | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Peta |
| ResourceId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ResourcePartition | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ResourceRegion | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ResourceTags | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Peta |
| ResourceType | Is, Is Not | Pilih (lihat [Sumber](https://docs.aws.amazon.com/securityhub/latest/userguide/asff-resources.html) yang didukung oleh ASFF) |
| SeverityLabel | Is, Is Not | Pilih: [CRITICAL,HIGH,MEDIUM,LOW,INFORMATIONAL] |
| SourceUrl | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| Title | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| Type | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| UpdatedAt | Start, End, DateRange | Tanggal (diformat sebagai 2022-12-01T 21:47:39.269 Z) |
| UserDefinedFields | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Peta |
| VerificationState | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| WorkflowStatus | Is, Is Not | Pilih: [NEW,NOTIFIED,RESOLVED,SUPPRESSED] |
Untuk kriteria yang diberi label sebagai bidang string, menggunakan operator filter yang berbeda pada bidang yang sama memengaruhi logika evaluasi. Untuk informasi selengkapnya, lihat [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html)di Referensi *API CSPM AWS Security Hub*.
Setiap kriteria mendukung jumlah maksimum nilai yang dapat digunakan untuk menyaring temuan yang cocok. Untuk batasan pada setiap kriteria, lihat [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html)di Referensi API *CSPM AWS Security Hub*.
Bidang ASFF berikut saat ini didukung sebagai tindakan untuk aturan otomatisasi:
+ `Confidence`
+ `Criticality`
+ `Note`
+ `RelatedFindings`
+ `Severity`
+ `Types`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`
Untuk informasi selengkapnya tentang bidang ASFF tertentu, lihat sintaks [AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html).
**Tip**
Jika Anda ingin Security Hub CSPM berhenti menghasilkan temuan untuk kontrol tertentu, sebaiknya nonaktifkan kontrol daripada menggunakan aturan otomatisasi. Ketika Anda menonaktifkan kontrol, Security Hub CSPM berhenti menjalankan pemeriksaan keamanan di atasnya dan berhenti menghasilkan temuan untuk itu, sehingga Anda tidak akan dikenakan biaya untuk kontrol itu. Sebaiknya gunakan aturan otomatisasi untuk mengubah nilai bidang ASFF tertentu untuk temuan yang sesuai dengan kriteria yang ditentukan. Untuk informasi selengkapnya tentang menonaktifkan kontrol, lihat. [Menonaktifkan kontrol di Security Hub CSPM](disable-controls-overview.md)
## Temuan yang dievaluasi oleh aturan otomatisasi
Aturan otomatisasi mengevaluasi temuan baru dan terbaru yang dihasilkan atau dicerna oleh Security Hub CSPM melalui [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html)operasi *setelah* Anda membuat aturan. Security Hub CSPM memperbarui temuan kontrol setiap 12-24 jam atau ketika sumber daya terkait berubah status. Untuk informasi selengkapnya, lihat [Jadwal untuk menjalankan pemeriksaan keamanan](securityhub-standards-schedule.md).
Aturan otomatisasi mengevaluasi temuan asli yang disediakan penyedia. Penyedia dapat menyediakan temuan baru dan memperbarui temuan yang ada dengan menggunakan `BatchImportFindings` pengoperasian Security Hub CSPM API. Jika bidang berikut tidak ada dalam temuan asli, Security Hub CSPM secara otomatis mengisi bidang dan kemudian menggunakan nilai yang diisi dalam evaluasi dengan aturan otomatisasi:
+ `AwsAccountName`
+ `CompanyName`
+ `ProductName`
+ `Resource.Tags`
+ `Workflow.Status`
Setelah Anda membuat satu atau beberapa aturan otomatisasi, aturan tidak akan dipicu jika Anda memperbarui bidang pencarian menggunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html)operasi. Jika Anda membuat aturan otomatisasi dan membuat `BatchUpdateFindings` pembaruan yang memengaruhi bidang temuan yang sama, pembaruan terakhir akan menetapkan nilai untuk bidang tersebut. Ambil contoh berikut:
1. Anda menggunakan `BatchUpdateFindings` operasi untuk mengubah nilai `Workflow.Status` bidang temuan dari `NEW` ke`NOTIFIED`.
1. Jika Anda menelepon`GetFindings`, `Workflow.Status` bidang sekarang memiliki nilai`NOTIFIED`.
1. Anda membuat aturan otomatisasi yang mengubah `Workflow.Status` bidang temuan dari `NEW` ke`SUPPRESSED`. (Ingat bahwa aturan mengabaikan pembaruan yang dibuat menggunakan `BatchUpdateFindings` operasi.)
1. Penyedia temuan menggunakan `BatchImportFindings` operasi untuk memperbarui temuan dan mengubah nilai untuk `Workflow.Status` bidang temuan ke`NEW`.
1. Jika Anda menelepon`GetFindings`, `Workflow.Status` bidang sekarang memiliki nilai`SUPPRESSED`. Ini adalah kasus karena aturan otomatisasi diterapkan, dan aturan adalah tindakan terakhir yang diambil pada temuan tersebut.
Saat Anda membuat atau mengedit aturan di konsol CSPM Security Hub, konsol akan menampilkan beta temuan yang sesuai dengan kriteria aturan. Sementara aturan otomatisasi mengevaluasi temuan asli yang dikirim oleh penyedia temuan, beta konsol mencerminkan temuan dalam keadaan akhir mereka karena akan ditampilkan dalam respons terhadap [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html)operasi (yaitu, setelah tindakan aturan atau pembaruan lain diterapkan pada temuan).
## Cara kerja urutan aturan
Saat membuat aturan otomatisasi, Anda menetapkan setiap aturan pesanan. Ini menentukan urutan di mana Security Hub CSPM menerapkan aturan otomatisasi Anda, dan menjadi penting ketika beberapa aturan terkait dengan bidang temuan atau pencarian yang sama.
Ketika beberapa tindakan aturan berhubungan dengan bidang temuan atau pencarian yang sama, aturan dengan nilai numerik tertinggi untuk urutan aturan berlaku terakhir dan memiliki efek akhir.
Saat Anda membuat aturan di konsol CSPM Security Hub, Security Hub CSPM secara otomatis menetapkan urutan aturan berdasarkan urutan pembuatan aturan. Aturan yang paling baru dibuat memiliki nilai numerik terendah untuk urutan aturan dan oleh karena itu berlaku terlebih dahulu. Security Hub CSPM menerapkan aturan berikutnya dalam urutan menaik.
Bila Anda membuat aturan melalui Security Hub CSPM API atau AWS CLI, Security Hub CSPM menerapkan aturan dengan nilai numerik terendah untuk pertama. `RuleOrder` Ini kemudian menerapkan aturan selanjutnya dalam urutan menaik. Jika beberapa temuan memiliki hal yang sama`RuleOrder`, Security Hub CSPM menerapkan aturan dengan nilai sebelumnya untuk `UpdatedAt` bidang terlebih dahulu (yaitu, aturan yang terakhir diedit berlaku terakhir).
Anda dapat mengubah urutan aturan kapan saja.
**Contoh urutan aturan**:
**Aturan A (urutan aturan adalah`1`)**:
+ Kriteria Aturan A
+ `ProductName` = `Security Hub CSPM`
+ `Resources.Type`adalah `S3 Bucket`
+ `Compliance.Status` = `FAILED`
+ `RecordState`adalah `NEW`
+ `Workflow.Status` = `ACTIVE`
+ Aturan A tindakan
+ Perbarui `Confidence` ke `95`
+ Perbarui `Severity` ke `CRITICAL`
**Aturan B (urutan aturan adalah`2`)**:
+ Kriteria aturan B
+ `AwsAccountId` = `123456789012`
+ Tindakan aturan B
+ Perbarui `Severity` ke `INFORMATIONAL`
Aturan Tindakan diterapkan terlebih dahulu pada temuan CSPM Security Hub yang cocok dengan kriteria Aturan A. Selanjutnya, tindakan Aturan B berlaku untuk temuan CSPM Security Hub dengan ID akun yang ditentukan. Dalam contoh ini, karena Aturan B berlaku terakhir, nilai akhir `Severity` dalam temuan dari ID akun yang ditentukan adalah`INFORMATIONAL`. Berdasarkan tindakan Aturan A, nilai akhir dari temuan `Confidence` yang cocok adalah`95`.
# Membuat aturan otomatisasi
Aturan otomatisasi dapat digunakan untuk memperbarui temuan secara otomatis di AWS Security Hub CSPM. Anda dapat membuat aturan otomatisasi kustom dari awal atau, di konsol CSPM Security Hub, gunakan templat aturan yang telah diisi sebelumnya. Untuk informasi latar belakang tentang cara kerja aturan otomatisasi, lihat[Memahami aturan otomatisasi di Security Hub CSPM](automation-rules.md).
Anda hanya dapat membuat satu aturan otomatisasi pada satu waktu. Untuk membuat beberapa aturan otomatisasi, ikuti prosedur konsol beberapa kali, atau panggil API atau perintah beberapa kali dengan parameter yang Anda inginkan.
Anda harus membuat aturan otomatisasi di setiap Wilayah dan akun di mana Anda ingin aturan tersebut diterapkan pada temuan.
Saat Anda membuat aturan otomatisasi di konsol CSPM Security Hub, Security Hub CSPM menunjukkan versi beta dari temuan yang diterapkan aturan Anda. Beta saat ini tidak didukung jika kriteria aturan Anda menyertakan filter CONTAINS atau NOT\$1CONTAINS. Anda dapat memilih filter ini untuk jenis bidang peta dan string.
**penting**
AWS merekomendasikan agar Anda tidak menyertakan informasi identitas pribadi, rahasia, atau sensitif dalam nama aturan, deskripsi, atau bidang lainnya.
## Membuat aturan otomatisasi khusus
Pilih metode pilihan Anda, dan selesaikan langkah-langkah berikut untuk membuat aturan otomatisasi kustom.
------
#### [ Console ]
**Untuk membuat aturan otomatisasi kustom (konsol)**
1. Menggunakan kredensi administrator CSPM Security Hub, buka konsol CSPM Security Hub AWS di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Di panel navigasi, pilih **Otomatisasi**.
1. Pilih **Buat aturan**. Untuk **Jenis Aturan**, pilih **Buat aturan kustom**.
1. Di bagian **Aturan**, berikan nama aturan unik dan deskripsi untuk aturan Anda.
1. Untuk **Kriteria**, gunakan menu drop-down **Kunci**, **Operator**, dan **Nilai** untuk menentukan kriteria aturan Anda. Anda harus menentukan setidaknya satu kriteria aturan.
Jika didukung untuk kriteria yang Anda pilih, konsol akan menampilkan beta temuan yang sesuai dengan kriteria Anda.
1. Untuk **tindakan Otomatis**, gunakan menu tarik-turun untuk menentukan bidang pencarian mana yang akan diperbarui saat temuan cocok dengan kriteria aturan Anda. Anda harus menentukan setidaknya satu tindakan aturan.
1. Untuk **status Aturan**, pilih apakah Anda ingin aturan **Diaktifkan** atau **Dinonaktifkan** setelah dibuat.
1. (Opsional) Perluas bagian **Pengaturan tambahan**. Pilih **Abaikan aturan berikutnya untuk temuan yang cocok dengan kriteria ini** jika Anda ingin aturan ini menjadi aturan terakhir yang diterapkan pada temuan yang cocok dengan kriteria aturan.
1. (Opsional) Untuk **Tag**, tambahkan tag sebagai pasangan nilai kunci untuk membantu Anda mengidentifikasi aturan dengan mudah.
1. Pilih **Buat aturan**.
------
#### [ API ]
**Untuk membuat aturan otomatisasi kustom (API)**
1. Jalankan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html)dari akun administrator CSPM Security Hub. API ini membuat aturan dengan Amazon Resource Name (ARN) tertentu.
1. Sediakan nama dan deskripsi untuk aturan.
1. Tetapkan `IsTerminal` parameter ke `true` jika Anda ingin aturan ini menjadi aturan terakhir yang diterapkan pada temuan yang cocok dengan kriteria aturan.
1. Untuk `RuleOrder` parameter, berikan urutan aturan. Security Hub CSPM menerapkan aturan dengan nilai numerik yang lebih rendah untuk parameter ini terlebih dahulu.
1. Untuk `RuleStatus` parameter, tentukan apakah Anda ingin CSPM Security Hub mengaktifkan dan mulai menerapkan aturan ke temuan setelah pembuatan. Jika tidak ada nilai yang ditentukan, nilai defaultnya adalah `ENABLED`. Nilai `DISABLED` berarti bahwa aturan dijeda setelah penciptaan.
1. Untuk `Criteria` parameternya, berikan kriteria yang ingin digunakan CSPM Security Hub untuk memfilter temuan Anda. Tindakan aturan akan berlaku untuk temuan yang sesuai dengan kriteria. Untuk daftar kriteria yang didukung, lihat[Kriteria aturan dan tindakan aturan yang tersedia](automation-rules.md#automation-rules-criteria-actions).
1. Untuk `Actions` parameternya, berikan tindakan yang ingin dilakukan CSPM Security Hub saat ada kecocokan antara temuan dan kriteria yang ditentukan. Untuk daftar tindakan yang didukung, lihat[Kriteria aturan dan tindakan aturan yang tersedia](automation-rules.md#automation-rules-criteria-actions).
Contoh AWS CLI perintah berikut membuat aturan otomatisasi memperbarui status alur kerja dan catatan temuan yang cocok. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.
```
$ aws securityhub create-automation-rule \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "HIGH"
},
"Note": {
"Text": "Known issue that is a risk. Updated by automation rules",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--criteria '{
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--description "A sample rule" \
--no-is-terminal \
--rule-name "sample rule" \
--rule-order 1 \
--rule-status "ENABLED" \
--region us-east-1
```
------
## Membuat aturan otomatisasi dari template (hanya konsol)
Template aturan mencerminkan kasus penggunaan umum untuk aturan otomatisasi. Saat ini, hanya konsol CSPM Security Hub yang mendukung template aturan. Selesaikan langkah-langkah berikut untuk membuat aturan otomatisasi dari templat di konsol.
**Untuk membuat aturan otomatisasi dari template (konsol)**
1. Menggunakan kredensi administrator CSPM Security Hub, buka konsol CSPM Security Hub AWS di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Di panel navigasi, pilih **Otomatisasi**.
1. Pilih **Buat aturan**. Untuk **Jenis Aturan**, pilih **Buat aturan dari templat**.
1. Pilih template aturan dari menu drop-down.
1. (Opsional) Jika perlu untuk kasus penggunaan Anda, ubah bagian **Aturan**, **Kriteria**, dan **Tindakan Otomatis**. Anda harus menentukan setidaknya satu kriteria aturan dan satu tindakan aturan.
Jika didukung untuk kriteria yang Anda pilih, konsol akan menampilkan beta temuan yang sesuai dengan kriteria Anda.
1. Untuk **status Aturan**, pilih apakah Anda ingin aturan **Diaktifkan** atau **Dinonaktifkan** setelah dibuat.
1. (Opsional) Perluas bagian **Pengaturan tambahan**. Pilih **Abaikan aturan berikutnya untuk temuan yang cocok dengan kriteria ini** jika Anda ingin aturan ini menjadi aturan terakhir yang diterapkan pada temuan yang cocok dengan kriteria aturan.
1. (Opsional) Untuk **Tag**, tambahkan tag sebagai pasangan nilai kunci untuk membantu Anda mengidentifikasi aturan dengan mudah.
1. Pilih **Buat aturan**.
# Melihat aturan otomatisasi
Aturan otomatisasi dapat digunakan untuk memperbarui temuan secara otomatis di AWS Security Hub CSPM. Untuk informasi latar belakang tentang cara kerja aturan otomatisasi, lihat[Memahami aturan otomatisasi di Security Hub CSPM](automation-rules.md).
Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk melihat aturan otomatisasi yang ada dan detail setiap aturan.
Untuk melihat riwayat bagaimana aturan otomatisasi telah mengubah temuan Anda, lihat[Meninjau detail dan riwayat penemuan di Security Hub CSPM](securityhub-findings-viewing.md).
------
#### [ Console ]
**Untuk melihat aturan otomatisasi (konsol)**
1. Menggunakan kredensi administrator CSPM Security Hub, buka konsol CSPM Security Hub AWS di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Di panel navigasi, pilih **Otomatisasi**.
1. Pilih nama aturan. Atau, pilih aturan.
1. Pilih **Tindakan** dan **Tampilan**.
------
#### [ API ]
**Untuk melihat aturan otomatisasi (API)**
1. Untuk melihat aturan otomatisasi akun Anda, jalankan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html)dari akun administrator CSPM Security Hub. API ini mengembalikan aturan ARNs dan metadata lainnya untuk aturan Anda. Tidak ada parameter input yang diperlukan untuk API ini, tetapi Anda dapat secara opsional menyediakan `MaxResults` untuk membatasi jumlah hasil dan `NextToken` sebagai parameter pagination. Nilai awal `NextToken` harus`NULL`.
1. Untuk detail aturan tambahan, termasuk kriteria dan tindakan untuk aturan, jalankan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html)dari akun administrator CSPM Security Hub. Berikan aturan ARNs otomatisasi yang Anda inginkan detailnya.
Contoh berikut mengambil rincian untuk aturan otomatisasi yang ditentukan. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.
```
$ aws securityhub batch-get-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222"]' \
--region us-east-1
```
------
# Mengedit aturan otomatisasi
Aturan otomatisasi dapat digunakan untuk memperbarui temuan secara otomatis di AWS Security Hub CSPM. Untuk informasi latar belakang tentang cara kerja aturan otomatisasi, lihat[Memahami aturan otomatisasi di Security Hub CSPM](automation-rules.md).
Setelah membuat aturan otomatisasi, administrator CSPM Security Hub yang didelegasikan dapat mengedit aturan. Saat Anda mengedit aturan otomatisasi, perubahan tersebut berlaku untuk temuan baru dan terbaru yang dihasilkan atau dikonsumsi CSPM Security Hub setelah aturan diedit.
Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk mengedit konten aturan otomatisasi. Anda dapat mengedit satu atau beberapa aturan dengan satu permintaan. Untuk petunjuk tentang urutan aturan pengeditan, lihat[Mengedit urutan aturan otomatisasi](edit-rule-order.md).
------
#### [ Console ]
**Untuk mengedit aturan otomatisasi (konsol)**
1. Menggunakan kredensi administrator CSPM Security Hub, buka konsol CSPM Security Hub AWS di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Di panel navigasi, pilih **Otomatisasi**.
1. Pilih aturan yang ingin Anda edit. Pilih **Tindakan** dan **Edit**.
1. Ubah aturan sesuai keinginan, dan pilih **Simpan perubahan**.
------
#### [ API ]
**Untuk mengedit aturan otomatisasi (API)**
1. Jalankan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html)dari akun administrator CSPM Security Hub.
1. Untuk `RuleArn` parameternya, berikan ARN dari aturan yang ingin Anda edit.
1. Berikan nilai baru untuk parameter yang ingin Anda edit. Anda dapat mengedit parameter apa pun kecuali`RuleArn`.
Contoh berikut memperbarui aturan otomatisasi yang ditentukan. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.
```
$ aws securityhub batch-update-automation-rules \
--update-automation-rules-request-items '[
{
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Note": {
"Text": "Known issue that is a risk",
"UpdatedBy": "sechub-automation"
},
"Workflow": {
"Status": "NEW"
}
}
}],
"Criteria": {
"SeverityLabel": [{
"Value": "LOW",
"Comparison": "EQUALS"
}]
},
"RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"RuleOrder": 14,
"RuleStatus": "DISABLED",
}
]' \
--region us-east-1
```
------
# Mengedit urutan aturan otomatisasi
Aturan otomatisasi dapat digunakan untuk memperbarui temuan secara otomatis di AWS Security Hub CSPM. Untuk informasi latar belakang tentang cara kerja aturan otomatisasi, lihat[Memahami aturan otomatisasi di Security Hub CSPM](automation-rules.md).
Setelah membuat aturan otomatisasi, administrator CSPM Security Hub yang didelegasikan dapat mengedit aturan.
Jika Anda ingin menjaga kriteria aturan dan tindakan tetap sama, tetapi mengubah urutan di mana Security Hub CSPM menerapkan aturan otomatisasi, Anda dapat mengedit hanya urutan aturan. Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk mengedit urutan aturan.
Untuk petunjuk tentang mengedit kriteria atau tindakan aturan otomatisasi, lihat[Mengedit aturan otomatisasi](edit-automation-rules.md).
------
#### [ Console ]
**Untuk mengedit urutan aturan otomatisasi (konsol)**
1. Menggunakan kredensi administrator CSPM Security Hub, buka konsol CSPM Security Hub AWS di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Di panel navigasi, pilih **Otomatisasi**.
1. Pilih aturan yang urutannya ingin Anda ubah. Pilih **Edit prioritas**.
1. Pilih **Pindah ke atas** untuk meningkatkan prioritas aturan dengan satu unit. Pilih **Pindah ke bawah** untuk mengurangi prioritas aturan sebanyak satu unit. Pilih **Pindah ke atas** untuk menetapkan aturan urutan **1** (ini memberikan aturan lebih diutamakan daripada aturan lain yang ada).
**catatan**
Saat Anda membuat aturan di konsol CSPM Security Hub, Security Hub CSPM secara otomatis menetapkan urutan aturan berdasarkan urutan pembuatan aturan. Aturan yang paling baru dibuat memiliki nilai numerik terendah untuk urutan aturan dan oleh karena itu berlaku terlebih dahulu.
------
#### [ API ]
**Untuk mengedit urutan aturan otomatisasi (API)**
1. Gunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html)operasi dari akun administrator CSPM Security Hub.
1. Untuk `RuleArn` parameternya, berikan ARN dari aturan yang urutannya ingin Anda edit.
1. Ubah nilai `RuleOrder` bidang.
**catatan**
Jika beberapa aturan memiliki hal yang sama`RuleOrder`, Security Hub CSPM menerapkan aturan dengan nilai sebelumnya untuk `UpdatedAt` bidang terlebih dahulu (yaitu, aturan yang terakhir diedit berlaku terakhir).
------
# Menghapus atau menonaktifkan aturan otomatisasi
Aturan otomatisasi dapat digunakan untuk memperbarui temuan secara otomatis di AWS Security Hub CSPM. Untuk informasi latar belakang tentang cara kerja aturan otomatisasi, lihat[Memahami aturan otomatisasi di Security Hub CSPM](automation-rules.md).
Saat Anda menghapus aturan otomatisasi, Security Hub CSPM menghapusnya dari akun Anda dan tidak lagi menerapkan aturan tersebut pada temuan. Sebagai alternatif untuk penghapusan, Anda dapat *menonaktifkan aturan*. Ini mempertahankan aturan untuk penggunaan di masa mendatang, tetapi CSPM Security Hub tidak akan menerapkan aturan tersebut pada temuan yang cocok sampai Anda mengaktifkannya.
Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk menghapus aturan otomatisasi. Anda dapat menghapus satu atau beberapa aturan dalam satu permintaan.
------
#### [ Console ]
**Untuk menghapus atau menonaktifkan aturan otomatisasi (konsol)**
1. Menggunakan kredensi administrator CSPM Security Hub, buka konsol CSPM Security Hub AWS di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Di panel navigasi, pilih **Otomatisasi**.
1. Pilih aturan yang ingin Anda hapus. Pilih **Tindakan** dan **Hapus** (untuk mempertahankan aturan, tetapi nonaktifkan sementara, pilih **Nonaktifkan**).
1. Konfirmasikan pilihan Anda, dan pilih **Hapus**.
------
#### [ API ]
**Untuk menghapus atau menonaktifkan aturan otomatisasi (API)**
1. Gunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html)operasi dari akun administrator CSPM Security Hub.
1. Untuk `AutomationRulesArns` parameter, berikan ARN dari aturan yang ingin Anda hapus (untuk mempertahankan aturan, tetapi nonaktifkan sementara, sediakan `DISABLED` `RuleStatus` parameternya).
Contoh berikut menghapus aturan otomatisasi yang ditentukan. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.
```
$ aws securityhub batch-delete-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]' \
--region us-east-1
```
------
# Contoh aturan otomatisasi
Bagian ini memberikan contoh aturan otomatisasi untuk kasus penggunaan CSPM Security Hub umum. Contoh-contoh ini sesuai dengan template aturan yang tersedia di konsol CSPM Security Hub.
## Tingkatkan tingkat keparahan menjadi Kritis saat sumber daya tertentu seperti bucket S3 berisiko
Dalam contoh ini, kriteria aturan dicocokkan ketika `ResourceId` dalam temuan adalah bucket Amazon Simple Storage Service (Amazon S3) tertentu. Tindakan aturannya adalah mengubah tingkat keparahan temuan yang cocok menjadi`CRITICAL`. Anda dapat memodifikasi template ini untuk diterapkan ke sumber daya lain.
**Contoh permintaan API**:
```
{
"IsTerminal": true,
"RuleName": "Elevate severity of findings that relate to important resources",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk",
"Criteria": {
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**Contoh perintah CLI:**
```
$
aws securityhub create-automation-rule \
--is-terminal \
--rule-name "Elevate severity of findings that relate to important resources" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
## Meningkatkan keparahan temuan yang berhubungan dengan sumber daya dalam akun produksi
Dalam contoh ini, kriteria aturan dicocokkan ketika temuan `HIGH` tingkat keparahan dihasilkan di akun produksi tertentu. Tindakan aturannya adalah mengubah tingkat keparahan temuan yang cocok menjadi`CRITICAL`.
**Contoh permintaan API**:
```
{
"IsTerminal": false,
"RuleName": "Elevate severity for production accounts",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts",
"Criteria": {
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**Contoh perintah CLI**:
```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Elevate severity of findings that relate to resources in production accounts" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
## Menekan temuan informasi
Dalam contoh ini, kriteria aturan dicocokkan untuk temuan `INFORMATIONAL` tingkat keparahan yang dikirim ke Security Hub CSPM dari Amazon. GuardDuty Tindakan aturannya adalah mengubah status alur kerja dari temuan yang cocok menjadi. `SUPPRESSED`
**Contoh permintaan API**:
```
{
"IsTerminal": false,
"RuleName": "Suppress informational findings",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Suppress GuardDuty findings with INFORMATIONAL severity",
"Criteria": {
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**Contoh perintah CLI**:
```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Suppress informational findings" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Suppress GuardDuty findings with INFORMATIONAL severity" \
--criteria '{
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
# Menggunakan EventBridge untuk respon otomatis dan remediasi
Dengan membuat aturan di Amazon EventBridge, Anda dapat merespons temuan CSPM AWS Security Hub secara otomatis. Security Hub CSPM mengirimkan temuan sebagai *peristiwa* EventBridge dalam waktu nyaris nyata. Anda dapat menulis aturan sederhana untuk menunjukkan acara mana yang Anda minati dan tindakan otomatis apa yang harus diambil ketika suatu acara cocok dengan aturan. Tindakan yang dapat dipicu secara otomatis meliputi hal-hal berikut:
+ Memanggil fungsi AWS Lambda
+ Memanggil perintah Amazon EC2 run
+ Mengirim peristiwa ke Amazon Kinesis Data Streams
+ Mengaktifkan mesin AWS Step Functions negara
+ Memberi tahu topik Amazon SNS atau antrean Amazon SQS
+ Mengirim temuan ke tiket pihak ketiga, obrolan, SIEM, atau alat manajemen dan respons insiden
Security Hub CSPM secara otomatis mengirimkan semua temuan baru dan semua pembaruan temuan yang ada ke EventBridge sebagai EventBridge peristiwa. Anda juga dapat membuat tindakan kustom yang memungkinkan Anda mengirim temuan dan hasil wawasan yang dipilih EventBridge.
Anda kemudian mengonfigurasi EventBridge aturan untuk merespons setiap jenis acara.
Untuk informasi selengkapnya tentang penggunaan EventBridge, lihat [https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html).
**catatan**
Sebagai praktik terbaik, pastikan bahwa izin yang diberikan kepada pengguna Anda untuk mengakses EventBridge menggunakan kebijakan least-privilege AWS Identity and Access Management (IAM) yang hanya memberikan izin yang diperlukan.
Untuk informasi selengkapnya, lihat [Identitas dan manajemen akses di Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/auth-and-access-control-eventbridge.html).
Satu set templat untuk respons dan remediasi otomatis lintas akun juga tersedia di AWS Solusi. Template memanfaatkan aturan EventBridge acara dan fungsi Lambda. Anda menggunakan solusi menggunakan CloudFormation dan AWS Systems Manager. Solusinya dapat membuat respons dan tindakan remediasi yang sepenuhnya otomatis. Hal ini juga dapat menggunakan Security Hub CSPM tindakan kustom untuk membuat respon yang dipicu pengguna dan tindakan remediasi. Untuk detail tentang cara mengonfigurasi dan menggunakan solusi, lihat [halaman AWS Solusi Respons Keamanan Otomatis](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/).
**Topics**
+ [Jenis acara CSPM Security Hub di EventBridge](securityhub-cwe-integration-types.md)
+ [EventBridge format acara untuk Security Hub CSPM](securityhub-cwe-event-formats.md)
+ [Mengkonfigurasi EventBridge aturan untuk temuan CSPM Security Hub](securityhub-cwe-all-findings.md)
+ [Menggunakan tindakan khusus untuk mengirim temuan dan hasil wawasan ke EventBridge](securityhub-cwe-custom-actions.md)
# Jenis acara CSPM Security Hub di EventBridge
Security Hub CSPM menggunakan jenis EventBridge acara Amazon berikut untuk diintegrasikan. EventBridge
Di EventBridge dasbor untuk Security Hub CSPM, **Semua Acara** mencakup semua jenis acara ini.
## Semua temuan (Security Hub Findings - Imported)
Security Hub CSPM secara otomatis mengirimkan semua temuan baru dan semua pembaruan temuan yang ada ke EventBridge sebagai **Security Hub Findings - Imported**peristiwa. Setiap **Security Hub Findings - Imported**peristiwa berisi satu temuan.
Setiap [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)permintaan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)dan memicu suatu **Security Hub Findings - Imported**peristiwa.
Untuk akun administrator, feed acara EventBridge termasuk peristiwa untuk temuan dari akun mereka dan dari akun anggota mereka.
Di Wilayah agregasi, umpan acara mencakup peristiwa untuk temuan dari Wilayah agregasi dan Wilayah terkait. Temuan Lintas Wilayah dimasukkan dalam umpan acara dalam waktu dekat. Untuk informasi tentang cara mengonfigurasi agregasi pencarian, lihat[Memahami agregasi lintas wilayah di Security Hub CSPM](finding-aggregation.md).
Anda dapat menentukan aturan EventBridge yang secara otomatis merutekan temuan ke alur kerja remediasi, alat pihak ketiga, atau target [lain yang didukung EventBridge ](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html). Aturan dapat mencakup filter yang hanya menerapkan aturan jika temuan memiliki nilai atribut tertentu.
Anda menggunakan metode ini untuk secara otomatis mengirim semua temuan, atau semua temuan yang memiliki karakteristik spesifik, ke alur kerja respons atau remediasi.
Lihat [Mengkonfigurasi EventBridge aturan untuk temuan CSPM Security Hub](securityhub-cwe-all-findings.md).
## Temuan untuk tindakan kustom (Security Hub Findings - Custom Action)
Security Hub CSPM juga mengirimkan temuan yang terkait dengan tindakan kustom ke EventBridge as **Security Hub Findings - Custom Action**events.
Ini berguna bagi analis yang bekerja dengan konsol CSPM Security Hub yang ingin mengirim temuan tertentu, atau serangkaian kecil temuan, ke alur kerja respons atau remediasi. Anda dapat memilih tindakan kustom hingga 20 temuan sekaligus. Setiap temuan dikirim EventBridge sebagai EventBridge acara terpisah.
Saat membuat tindakan kustom, Anda menetapkannya ID tindakan kustom. Anda dapat menggunakan ID ini untuk membuat EventBridge aturan yang mengambil tindakan tertentu setelah menerima temuan yang terkait dengan ID tindakan kustom tersebut.
Lihat [Menggunakan tindakan khusus untuk mengirim temuan dan hasil wawasan ke EventBridge](securityhub-cwe-custom-actions.md).
Misalnya, Anda dapat membuat tindakan kustom di Security Hub CSPM yang dipanggil. `send_to_ticketing` Kemudian EventBridge, Anda membuat aturan yang dipicu saat EventBridge menerima temuan yang menyertakan ID tindakan `send_to_ticketing` kustom. Aturannya mencakup logika untuk mengirim temuan ke sistem tiket Anda. Anda kemudian dapat memilih temuan dalam Security Hub CSPM dan menggunakan tindakan kustom di Security Hub CSPM untuk mengirim temuan secara manual ke sistem tiket Anda.
Untuk contoh cara mengirim temuan CSPM Security Hub EventBridge untuk diproses lebih lanjut, lihat [Cara Mengintegrasikan AWS Security Hub CSPM Custom Actions dengan PagerDuty dan Cara Mengaktifkan Tindakan Kustom](https://aws.amazon.com/blogs/apn/how-to-integrate-aws-security-hub-custom-actions-with-pagerduty/) [di Security Hub CSPM di AWS Blog](https://aws.amazon.com/blogs/apn/how-to-enable-custom-actions-in-aws-security-hub/) AWS Partner Network (APN).
## Hasil wawasan untuk tindakan kustom (Security Hub Insight Results)
Anda juga dapat menggunakan tindakan kustom untuk mengirim kumpulan hasil wawasan ke EventBridge sebagai **Security Hub Insight Results**peristiwa. Hasil wawasan adalah sumber daya yang cocok dengan wawasan. Perhatikan bahwa ketika Anda mengirim hasil wawasan ke EventBridge, Anda tidak mengirimkan temuan ke EventBridge. Anda hanya mengirimkan pengenal sumber daya yang terkait dengan hasil wawasan. Anda dapat mengirim hingga 100 pengidentifikasi sumber daya sekaligus.
Mirip dengan tindakan kustom untuk temuan, pertama-tama Anda membuat tindakan kustom di Security Hub CSPM, lalu membuat aturan di. EventBridge
Lihat [Menggunakan tindakan khusus untuk mengirim temuan dan hasil wawasan ke EventBridge](securityhub-cwe-custom-actions.md).
Misalnya, Anda melihat hasil wawasan tertentu yang menarik yang ingin Anda bagikan dengan rekan kerja. Dalam hal ini, Anda dapat menggunakan tindakan khusus untuk mengirimkan hasil wawasan tersebut ke kolega melalui sistem obrolan atau tiket.
# EventBridge format acara untuk Security Hub CSPM
Jenis **Security Hub Findings - Imported**Security Findings - Custom Action****,, dan **Security Hub Insight Results**acara menggunakan format acara berikut.
Format acara adalah format yang digunakan saat Security Hub CSPM mengirimkan acara ke. EventBridge
## Security Hub Findings - Imported
**Security Hub Findings - Imported**peristiwa yang dikirim dari Security Hub CSPM untuk EventBridge menggunakan format berikut.
```
{
"version":"0",
"id":"CWE-event-id",
"detail-type":"Security Hub Findings - Imported",
"source":"aws.securityhub",
"account":"111122223333",
"time":"2019-04-11T21:52:17Z",
"region":"us-west-2",
"resources":[
"arn:aws:securityhub:us-west-2::product/aws/macie/arn:aws:macie:us-west-2:111122223333:integtest/trigger/6294d71b927c41cbab915159a8f326a3/alert/f2893b211841"
],
"detail":{
"findings": [{
}]
}
}
```
``adalah konten, dalam format JSON, dari temuan yang dikirim oleh acara. Setiap peristiwa mengirimkan satu temuan.
Untuk daftar lengkap menemukan atribut, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).
Untuk informasi tentang cara mengonfigurasi EventBridge aturan yang dipicu oleh peristiwa ini, lihat[Mengkonfigurasi EventBridge aturan untuk temuan CSPM Security Hub](securityhub-cwe-all-findings.md).
## Security Hub Findings - Custom Action
**Security Hub Findings - Custom Action**peristiwa yang dikirim dari Security Hub CSPM untuk EventBridge menggunakan format berikut. Setiap temuan dikirim dalam acara terpisah.
```
{
"version": "0",
"id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
"detail-type": "Security Hub Findings - Custom Action",
"source": "aws.securityhub",
"account": "111122223333",
"time": "2019-04-11T18:43:48Z",
"region": "us-west-1",
"resources": [
"arn:aws:securityhub:us-west-1:111122223333:action/custom/custom-action-name"
],
"detail": {
"actionName":"custom-action-name",
"actionDescription": "description of the action",
"findings": [
{
}
]
}
}
```
``adalah konten, dalam format JSON, dari temuan yang dikirim oleh acara. Setiap peristiwa mengirimkan satu temuan.
Untuk daftar lengkap menemukan atribut, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).
Untuk informasi tentang cara mengonfigurasi EventBridge aturan yang dipicu oleh peristiwa ini, lihat[Menggunakan tindakan khusus untuk mengirim temuan dan hasil wawasan ke EventBridge](securityhub-cwe-custom-actions.md).
## Security Hub Insight Results
**Security Hub Insight Results**peristiwa yang dikirim dari Security Hub CSPM untuk EventBridge menggunakan format berikut.
```
{
"version": "0",
"id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
"detail-type": "Security Hub Insight Results",
"source": "aws.securityhub",
"account": "111122223333",
"time": "2017-12-22T18:43:48Z",
"region": "us-west-1",
"resources": [
"arn:aws:securityhub:us-west-1:111122223333::product/aws/macie:us-west-1:222233334444:test/trigger/1ec9cf700ef6be062b19584e0b7d84ec/alert/f2893b211841"
],
"detail": {
"actionName":"name of the action",
"actionDescription":"description of the action",
"insightArn":"ARN of the insight",
"insightName":"Name of the insight",
"resultType":"ResourceAwsIamAccessKeyUserName",
"number of results":"number of results, max of 100",
"insightResults": [
{"result 1": 5},
{"result 2": 6}
]
}
}
```
Untuk informasi tentang cara membuat EventBridge aturan yang dipicu oleh peristiwa ini, lihat[Menggunakan tindakan khusus untuk mengirim temuan dan hasil wawasan ke EventBridge](securityhub-cwe-custom-actions.md).
# Mengkonfigurasi EventBridge aturan untuk temuan CSPM Security Hub
Anda dapat membuat aturan di Amazon EventBridge yang menentukan tindakan yang harus diambil saat **Security Hub Findings - Imported**acara diterima. **Security Hub Findings - Imported**peristiwa dipicu oleh pembaruan dari kedua [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)dan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)operasi.
Setiap aturan berisi pola peristiwa, yang mengidentifikasi peristiwa yang memicu aturan. Pola acara selalu berisi sumber peristiwa (`aws.securityhub`) dan jenis acara (**Temuan Security Hub - Imported**). Pola peristiwa juga dapat menentukan filter untuk mengidentifikasi temuan yang berlaku aturan tersebut.
Aturan acara kemudian mengidentifikasi target aturan. Targetnya adalah tindakan yang harus diambil saat EventBridge menerima **Temuan Security Hub - Acara yang diimpor** dan temuannya cocok dengan filter.
Instruksi yang diberikan di sini menggunakan EventBridge konsol. Saat Anda menggunakan konsol, EventBridge secara otomatis membuat kebijakan berbasis sumber daya yang diperlukan yang memungkinkan untuk EventBridge menulis ke Amazon Logs. CloudWatch
Anda juga dapat menggunakan [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html)pengoperasian EventBridge API. Namun, jika Anda menggunakan EventBridge API, Anda harus membuat kebijakan berbasis sumber daya. Untuk informasi tentang kebijakan yang diperlukan, lihat [Izin CloudWatch log](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions) di *Panduan EventBridge Pengguna Amazon*.
## Format pola acara
Format pola acara untuk **Temuan Security Hub - Peristiwa yang diimpor** adalah sebagai berikut:
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Imported"
],
"detail": {
"findings": {
}
}
}
```
+ `source`mengidentifikasi Security Hub CSPM sebagai layanan yang menghasilkan acara.
+ `detail-type`mengidentifikasi jenis acara.
+ `detail`bersifat opsional dan memberikan nilai filter untuk pola acara. Jika pola peristiwa tidak mengandung `detail` bidang, maka semua temuan memicu aturan.
Anda dapat memfilter temuan berdasarkan atribut temuan apa pun. Untuk setiap atribut, Anda menyediakan array dipisahkan koma dari satu atau lebih nilai.
```
"": [ "", ""]
```
Jika Anda memberikan lebih dari satu nilai untuk atribut, maka nilai-nilai tersebut digabungkan oleh`OR`. Temuan cocok dengan filter untuk atribut individual jika temuan memiliki salah satu nilai yang terdaftar. Misalnya, jika Anda memberikan keduanya `INFORMATIONAL` dan `LOW` sebagai nilai untuk`Severity.Label`, maka temuan tersebut cocok jika memiliki label keparahan salah satu `INFORMATIONAL` atau`LOW`.
Atribut bergabung dengan`AND`. Temuan cocok jika cocok dengan kriteria filter untuk semua atribut yang disediakan.
Ketika Anda memberikan nilai atribut, itu harus mencerminkan lokasi atribut tersebut dalam struktur AWS Security Finding Format (ASFF).
**Tip**
Saat memfilter temuan kontrol, sebaiknya gunakan [bidang `SecurityControlId` atau `SecurityControlArn` ASFF](securityhub-findings-format.md) sebagai filter, bukan `Title` atau. `Description` Bidang yang terakhir dapat berubah sesekali, sedangkan ID kontrol dan ARN adalah pengidentifikasi statis.
Dalam contoh berikut, pola peristiwa memberikan nilai filter untuk `ProductArn` dan`Severity.Label`, sehingga temuan cocok jika dihasilkan oleh Amazon Inspector dan memiliki label keparahan salah satu atau`INFORMATIONAL`. `LOW`
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Imported"
],
"detail": {
"findings": {
"ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"],
"Severity": {
"Label": ["INFORMATIONAL", "LOW"]
}
}
}
}
```
## Membuat aturan acara
Anda dapat menggunakan pola peristiwa yang telah ditentukan atau pola acara khusus untuk membuat aturan di EventBridge. Jika Anda memilih pola yang telah ditentukan, EventBridge secara otomatis mengisi dan. `source` `detail-type` EventBridge juga menyediakan bidang untuk menentukan nilai filter untuk atribut temuan berikut:
+ `AwsAccountId`
+ `Compliance.Status`
+ `Criticality`
+ `ProductArn`
+ `RecordState`
+ `ResourceId`
+ `ResourceType`
+ `Severity.Label`
+ `Types`
+ `Workflow.Status`
**Untuk membuat EventBridge aturan (konsol)**
1. Buka EventBridge konsol Amazon di [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Dengan menggunakan nilai berikut, buat EventBridge aturan yang memantau penemuan peristiwa:
+ Untuk **Tipe aturan**, pilih **Aturan dengan pola peristiwa**.
+ Pilih cara membangun pola acara.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/securityhub-cwe-all-findings.html)
+ Untuk **jenis Target**, pilih **AWS layanan**, dan untuk **Pilih target**, pilih target seperti topik atau AWS Lambda fungsi Amazon SNS. Target terpicu saat peristiwa diterima yang sesuai dengan pola peristiwa yang ditentukan dalam aturan.
Untuk detail tentang membuat aturan, lihat [Membuat EventBridge aturan Amazon yang bereaksi terhadap peristiwa](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) di *Panduan EventBridge Pengguna Amazon*.
# Menggunakan tindakan khusus untuk mengirim temuan dan hasil wawasan ke EventBridge
Untuk menggunakan tindakan kustom CSPM AWS Security Hub untuk mengirim temuan atau hasil wawasan ke Amazon EventBridge, Anda terlebih dahulu membuat tindakan kustom di Security Hub CSPM. Kemudian, Anda dapat menentukan aturan EventBridge yang berlaku untuk tindakan kustom Anda.
Anda dapat membuat hingga 50 tindakan kustom.
Jika Anda mengaktifkan agregasi lintas wilayah, dan mengelola temuan dari Wilayah agregasi, maka buat tindakan kustom di Wilayah agregasi.
Aturan dalam EventBridge menggunakan Amazon Resource Name (ARN) dari tindakan kustom.
# Membuat tindakan kustom
Saat membuat tindakan kustom di AWS Security Hub CSPM, Anda menentukan nama, deskripsi, dan pengenal uniknya.
Tindakan kustom menentukan tindakan mana yang harus diambil saat EventBridge acara cocok dengan EventBridge aturan. Security Hub CSPM mengirimkan setiap temuan EventBridge sebagai sebuah acara.
Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk membuat tindakan kustom.
------
#### [ Console ]
**Untuk membuat tindakan kustom di Security Hub CSPM (konsol)**
1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Di panel navigasi, pilih **Pengaturan** dan kemudian pilih **Tindakan kustom**.
1. Pilih **Buat tindakan kustom**.
1. Berikan **Nama**, **Deskripsi**, dan **ID tindakan Kustom** untuk tindakan tersebut.
**Nama** harus kurang dari 20 karakter.
**ID tindakan kustom** harus unik untuk setiap AWS akun.
1. Pilih **Buat tindakan kustom**.
1. Catat **ARN tindakan Kustom**. Anda perlu menggunakan ARN saat membuat aturan untuk dikaitkan dengan tindakan ini di. EventBridge
------
#### [ API ]
**Untuk membuat tindakan kustom (API)**
Gunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html)operasi. Jika Anda menggunakan AWS CLI, jalankan [create-action-target](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-action-target.html)perintah.
Contoh berikut membuat tindakan kustom untuk mengirim temuan ke alat remediasi. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.
```
$ aws securityhub create-action-target --name "Send to remediation" --description "Action to send the finding for remediation tracking" --id "Remediation"
```
------
# Mendefinisikan aturan di EventBridge
Untuk memicu tindakan kustom di Amazon EventBridge, Anda harus membuat aturan yang sesuai di EventBridge. Definisi aturan mencakup Nama Sumber Daya Amazon (ARN) dari tindakan kustom.
Pola acara untuk **Temuan Security Hub - peristiwa Tindakan Kustom** memiliki format berikut:
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Custom Action"
],
"resources": [ "" ]
}
```
Pola acara untuk acara **Hasil Wawasan Security Hub** memiliki format berikut:
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Insight Results"
],
"resources": [ "" ]
}
```
Dalam kedua pola, `` adalah ARN dari tindakan khusus. Anda dapat mengonfigurasi aturan yang berlaku untuk lebih dari satu tindakan kustom.
Instruksi yang diberikan di sini adalah untuk EventBridge konsol. Saat Anda menggunakan konsol, EventBridge secara otomatis membuat kebijakan berbasis sumber daya yang diperlukan yang memungkinkan EventBridge untuk menulis ke Log. CloudWatch
Anda juga dapat menggunakan operasi [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html)API EventBridge API. Namun, jika Anda menggunakan EventBridge API, Anda harus membuat kebijakan berbasis sumber daya. Untuk detail tentang kebijakan yang diperlukan, lihat [Izin CloudWatch log](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions) di *Panduan EventBridge Pengguna Amazon*.
**Untuk menentukan aturan di EventBridge (EventBridge konsol)**
1. Buka EventBridge konsol Amazon di [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Di panel navigasi, pilih **Aturan**.
1. Pilih **Buat aturan**.
1. Masukkan nama dan deskripsi aturan.
1. Untuk **bus acara**, pilih bus acara yang ingin Anda kaitkan dengan aturan ini. Jika Anda ingin aturan ini cocok dengan peristiwa yang berasal dari akun Anda, pilih **default**. Saat layanan AWS di akun Anda menghasilkan kejadian, layanan tersebut akan selalu masuk ke bus kejadian default akun Anda.
1. Untuk **Tipe aturan**, pilih **Aturan dengan pola peristiwa**.
1. Pilih **Selanjutnya**.
1. Untuk **sumber Acara**, pilih **AWS acara**.
1. Untuk **pola Acara**, pilih **Formulir pola acara**.
1. Untuk **Sumber peristiwa**, pilih **Layanan AWS **.
1. Untuk **AWS layanan**, pilih **Security Hub**.
1. Untuk **Jenis peristiwa**, lakukan salah satu hal berikut:
+ Untuk membuat aturan yang akan diterapkan saat Anda mengirim temuan ke tindakan kustom, pilih **Temuan Security Hub - Tindakan Kustom**.
+ Untuk membuat aturan yang akan diterapkan saat Anda mengirim hasil wawasan ke tindakan kustom, pilih **Hasil Wawasan Security Hub**.
1. Pilih **Tindakan khusus khusus ARNs**, tambahkan ARN tindakan kustom.
Jika aturan berlaku untuk beberapa tindakan kustom, pilih **Tambah untuk menambahkan** lebih banyak tindakan kustom ARNs.
1. Pilih **Berikutnya**.
1. Di bawah **Pilih target**, pilih dan konfigurasikan target yang akan dipanggil saat aturan ini cocok.
1. Pilih **Berikutnya**.
1. (Opsional) Masukkan satu atau lebih tanda untuk aturan. Untuk informasi selengkapnya, lihat [ EventBridge tag Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html) *di Panduan EventBridge Pengguna Amazon*.
1. Pilih **Berikutnya**.
1. Tinjau detail aturan dan pilih **Buat aturan**.
Saat Anda melakukan tindakan kustom pada hasil temuan atau wawasan di akun Anda, peristiwa akan dihasilkan EventBridge.
# Memilih tindakan khusus untuk temuan dan hasil wawasan
Setelah membuat tindakan kustom CSPM AWS Security Hub dan EventBridge aturan Amazon, Anda dapat mengirimkan hasil temuan dan wawasan EventBridge untuk pengelolaan dan pemrosesan otomatis.
Acara dikirim ke EventBridge hanya di akun di mana mereka dilihat. Jika Anda melihat temuan menggunakan akun administrator, acara dikirim ke EventBridge akun administrator.
Agar panggilan AWS API efektif, implementasi kode target harus beralih peran ke akun anggota. Ini juga berarti bahwa peran yang Anda alihkan harus diterapkan ke setiap anggota di mana tindakan diperlukan.
**Untuk mengirim temuan ke EventBridge (konsol)**
1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Menampilkan daftar temuan:
+ Dari **Temuan**, Anda dapat melihat temuan dari semua integrasi dan kontrol produk yang diaktifkan.
+ Dari **standar Keamanan**, Anda dapat menavigasi ke daftar temuan yang dihasilkan dari kontrol tertentu. Untuk informasi selengkapnya, lihat [Meninjau rincian kontrol di Security Hub CSPM](securityhub-standards-control-details.md).
+ Dari **Integrasi**, Anda dapat menavigasi ke daftar temuan yang dihasilkan oleh integrasi yang diaktifkan. Untuk informasi selengkapnya, lihat [Melihat temuan dari integrasi CSPM Security Hub](securityhub-integration-view-findings.md).
+ Dari **Wawasan**, Anda dapat menavigasi ke daftar temuan untuk hasil wawasan. Untuk informasi selengkapnya, lihat [Meninjau dan bertindak berdasarkan wawasan di Security Hub CSPM](securityhub-insights-view-take-action.md).
1. Pilih temuan untuk dikirim EventBridge. Anda dapat memilih hingga 20 temuan sekaligus.
1. Dari **Tindakan**, pilih tindakan kustom yang selaras dengan EventBridge aturan yang akan diterapkan.
Security Hub CSPM mengirimkan **temuan Security Hub terpisah - peristiwa Tindakan Kustom** untuk setiap temuan.
**Untuk mengirim hasil wawasan ke EventBridge (konsol)**
1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Pada panel navigasi, silakan pilih **Wawasan**.
1. Pada halaman **Insights**, pilih insight yang menyertakan hasil yang akan dikirimkan EventBridge.
1. Pilih hasil wawasan yang akan dikirim EventBridge. Anda dapat memilih hingga 20 hasil sekaligus.
1. Dari **Tindakan**, pilih tindakan kustom yang selaras dengan EventBridge aturan yang akan diterapkan.