Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengonfigurasi EventBridge aturan untuk temuan Security Hub
Anda dapat membuat aturan di Amazon EventBridge yang mendefinisikan tindakan yang harus diambil saat Security Hub Findings - Importedacara diterima. Security Hub Findings - Importedperistiwa dipicu oleh pembaruan dari kedua BatchImportFindingsdan BatchUpdateFindingsoperasi.
Setiap aturan berisi pola peristiwa, yang mengidentifikasi peristiwa yang memicu aturan. Pola acara selalu berisi sumber peristiwa (aws.securityhub) dan jenis acara (Temuan Security Hub - Imported). Pola peristiwa juga dapat menentukan filter untuk mengidentifikasi temuan yang berlaku aturan tersebut.
Aturan acara kemudian mengidentifikasi target aturan. Targetnya adalah tindakan yang harus diambil saat EventBridge menerima Temuan Security Hub - Acara yang diimpor dan temuannya cocok dengan filter.
Instruksi yang diberikan di sini menggunakan EventBridge konsol. Saat Anda menggunakan konsol, EventBridge secara otomatis membuat kebijakan berbasis sumber daya yang diperlukan yang memungkinkan untuk EventBridge menulis ke Amazon Logs. CloudWatch
Anda juga dapat menggunakan PutRulepengoperasian EventBridge API. Namun, jika Anda menggunakan EventBridge API, maka Anda harus membuat kebijakan berbasis sumber daya. Untuk informasi tentang kebijakan yang diperlukan, lihat Izin CloudWatch log di Panduan EventBridge Pengguna Amazon.
Format pola acara
Format pola acara untuk Temuan Security Hub - Peristiwa yang diimpor adalah sebagai berikut:
{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Imported" ], "detail": { "findings": {<attribute filter values>} } }
-
sourcemengidentifikasi Security Hub sebagai layanan yang menghasilkan acara. -
detail-typemengidentifikasi jenis acara. -
detailbersifat opsional dan memberikan nilai filter untuk pola acara. Jika pola peristiwa tidak mengandungdetailbidang, maka semua temuan memicu aturan.
Anda dapat memfilter temuan berdasarkan atribut temuan apa pun. Untuk setiap atribut, Anda menyediakan array dipisahkan koma dari satu atau lebih nilai.
"<attribute name>": [ "<value1>", "<value2>"]
Jika Anda memberikan lebih dari satu nilai untuk atribut, maka nilai-nilai tersebut digabungkan olehOR. Temuan cocok dengan filter untuk atribut individual jika temuan memiliki salah satu nilai yang terdaftar. Misalnya, jika Anda memberikan keduanya INFORMATIONAL dan LOW sebagai nilai untukSeverity.Label, maka temuan tersebut cocok jika memiliki label keparahan salah satu INFORMATIONAL atauLOW.
Atribut bergabung denganAND. Temuan cocok jika cocok dengan kriteria filter untuk semua atribut yang disediakan.
Ketika Anda memberikan nilai atribut, itu harus mencerminkan lokasi atribut tersebut dalam struktur AWS Security Finding Format (ASFF).
Tip
Saat memfilter temuan kontrol, sebaiknya gunakan SecurityControlArn ASFFbidang SecurityControlId or sebagai filter, bukan Title atauDescription. Bidang yang terakhir dapat berubah sesekali, sedangkan ID kontrol dan ARN merupakan pengidentifikasi statis.
Dalam contoh berikut, pola peristiwa memberikan nilai filter untuk ProductArn danSeverity.Label, sehingga temuan cocok jika dihasilkan oleh Amazon Inspector dan memiliki label keparahan salah satu atauINFORMATIONAL. LOW
{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Imported" ], "detail": { "findings": { "ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"], "Severity": { "Label": ["INFORMATIONAL", "LOW"] } } } }
Membuat aturan acara
Anda dapat menggunakan pola peristiwa yang telah ditentukan atau pola acara khusus untuk membuat aturan. EventBridge Jika Anda memilih pola yang telah ditentukan, EventBridge secara otomatis mengisi dan. source detail-type EventBridge juga menyediakan bidang untuk menentukan nilai filter untuk atribut temuan berikut:
-
AwsAccountId -
Compliance.Status -
Criticality -
ProductArn -
RecordState -
ResourceId -
ResourceType -
Severity.Label -
Types -
Workflow.Status
Untuk membuat EventBridge aturan (konsol)
Buka EventBridge konsol Amazon di https://console.aws.amazon.com/events/
. -
Dengan menggunakan nilai berikut, buat EventBridge aturan yang memantau penemuan peristiwa:
-
Untuk Tipe aturan, pilih Aturan dengan pola peristiwa.
-
Pilih cara membangun pola acara.
Untuk membangun pola acara dengan... Lakukan ini... Template
Di bagian Pola acara, pilih opsi berikut:
-
Untuk Sumber peristiwa, pilih Layanan AWS .
-
Untuk AWS layanan, pilih Security Hub.
-
Untuk jenis Acara, pilih Temuan Security Hub - Imported.
-
(Opsional) Untuk membuat aturan lebih spesifik, tambahkan nilai filter. Misalnya, untuk membatasi aturan pada temuan dengan status rekaman aktif, untuk status Rekaman Khusus, pilih Aktif.
Pola acara khusus
(Gunakan pola kustom jika Anda ingin memfilter temuan berdasarkan atribut yang tidak muncul di EventBridge konsol.)
-
Di bagian Pola acara, pilih Pola kustom (JSONeditor), lalu tempelkan pola acara berikut ke area teks:
{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Imported" ], "detail": { "findings": { "<attribute name>": [ "<value1>", "<value2>"] } } }
-
Perbarui pola acara untuk menyertakan atribut dan nilai atribut yang ingin Anda gunakan sebagai filter.
Misalnya, untuk menerapkan aturan pada temuan yang memiliki status verifikasi
TRUE_POSITIVE, gunakan contoh pola berikut:{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Imported" ], "detail": { "findings": { "VerificationState": ["TRUE_POSITIVE"] } } }
-
-
Untuk jenis Target, pilih AWS layanan, dan untuk Pilih target, pilih target seperti SNS topik atau AWS Lambda fungsi Amazon. Target terpicu saat peristiwa diterima yang sesuai dengan pola peristiwa yang ditentukan dalam aturan.
Untuk detail tentang membuat aturan, lihat Membuat EventBridge aturan Amazon yang bereaksi terhadap peristiwa di Panduan EventBridge Pengguna Amazon.
-
