Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengkonfigurasi EventBridge aturan untuk temuan CSPM Security Hub
Anda dapat membuat aturan di Amazon EventBridge yang menentukan tindakan yang harus diambil saat **Security Hub Findings - Imported**acara diterima. **Security Hub Findings - Imported**peristiwa dipicu oleh pembaruan dari kedua [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)dan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)operasi.
Setiap aturan berisi pola peristiwa, yang mengidentifikasi peristiwa yang memicu aturan. Pola acara selalu berisi sumber peristiwa (`aws.securityhub`) dan jenis acara (**Temuan Security Hub - Imported**). Pola peristiwa juga dapat menentukan filter untuk mengidentifikasi temuan yang berlaku aturan tersebut.
Aturan acara kemudian mengidentifikasi target aturan. Targetnya adalah tindakan yang harus diambil saat EventBridge menerima **Temuan Security Hub - Acara yang diimpor** dan temuannya cocok dengan filter.
Instruksi yang diberikan di sini menggunakan EventBridge konsol. Saat Anda menggunakan konsol, EventBridge secara otomatis membuat kebijakan berbasis sumber daya yang diperlukan yang memungkinkan untuk EventBridge menulis ke Amazon Logs. CloudWatch
Anda juga dapat menggunakan [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html)pengoperasian EventBridge API. Namun, jika Anda menggunakan EventBridge API, Anda harus membuat kebijakan berbasis sumber daya. Untuk informasi tentang kebijakan yang diperlukan, lihat [Izin CloudWatch log](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions) di *Panduan EventBridge Pengguna Amazon*.
## Format pola acara
Format pola acara untuk **Temuan Security Hub - Peristiwa yang diimpor** adalah sebagai berikut:
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Imported"
],
"detail": {
"findings": {
}
}
}
```
+ `source`mengidentifikasi Security Hub CSPM sebagai layanan yang menghasilkan acara.
+ `detail-type`mengidentifikasi jenis acara.
+ `detail`bersifat opsional dan memberikan nilai filter untuk pola acara. Jika pola peristiwa tidak mengandung `detail` bidang, maka semua temuan memicu aturan.
Anda dapat memfilter temuan berdasarkan atribut temuan apa pun. Untuk setiap atribut, Anda menyediakan array dipisahkan koma dari satu atau lebih nilai.
```
"": [ "", ""]
```
Jika Anda memberikan lebih dari satu nilai untuk atribut, maka nilai-nilai tersebut digabungkan oleh`OR`. Temuan cocok dengan filter untuk atribut individual jika temuan memiliki salah satu nilai yang terdaftar. Misalnya, jika Anda memberikan keduanya `INFORMATIONAL` dan `LOW` sebagai nilai untuk`Severity.Label`, maka temuan tersebut cocok jika memiliki label keparahan salah satu `INFORMATIONAL` atau`LOW`.
Atribut bergabung dengan`AND`. Temuan cocok jika cocok dengan kriteria filter untuk semua atribut yang disediakan.
Ketika Anda memberikan nilai atribut, itu harus mencerminkan lokasi atribut tersebut dalam struktur AWS Security Finding Format (ASFF).
**Tip**
Saat memfilter temuan kontrol, sebaiknya gunakan [bidang `SecurityControlId` atau `SecurityControlArn` ASFF](securityhub-findings-format.md) sebagai filter, bukan `Title` atau. `Description` Bidang yang terakhir dapat berubah sesekali, sedangkan ID kontrol dan ARN adalah pengidentifikasi statis.
Dalam contoh berikut, pola peristiwa memberikan nilai filter untuk `ProductArn` dan`Severity.Label`, sehingga temuan cocok jika dihasilkan oleh Amazon Inspector dan memiliki label keparahan salah satu atau`INFORMATIONAL`. `LOW`
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Imported"
],
"detail": {
"findings": {
"ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"],
"Severity": {
"Label": ["INFORMATIONAL", "LOW"]
}
}
}
}
```
## Membuat aturan acara
Anda dapat menggunakan pola peristiwa yang telah ditentukan atau pola acara khusus untuk membuat aturan di EventBridge. Jika Anda memilih pola yang telah ditentukan, EventBridge secara otomatis mengisi dan. `source` `detail-type` EventBridge juga menyediakan bidang untuk menentukan nilai filter untuk atribut temuan berikut:
+ `AwsAccountId`
+ `Compliance.Status`
+ `Criticality`
+ `ProductArn`
+ `RecordState`
+ `ResourceId`
+ `ResourceType`
+ `Severity.Label`
+ `Types`
+ `Workflow.Status`
**Untuk membuat EventBridge aturan (konsol)**
1. Buka EventBridge konsol Amazon di [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Dengan menggunakan nilai berikut, buat EventBridge aturan yang memantau penemuan peristiwa:
+ Untuk **Tipe aturan**, pilih **Aturan dengan pola peristiwa**.
+ Pilih cara membangun pola acara.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/securityhub-cwe-all-findings.html)
+ Untuk **jenis Target**, pilih **AWS layanan**, dan untuk **Pilih target**, pilih target seperti topik atau AWS Lambda fungsi Amazon SNS. Target terpicu saat peristiwa diterima yang sesuai dengan pola peristiwa yang ditentukan dalam aturan.
Untuk detail tentang membuat aturan, lihat [Membuat EventBridge aturan Amazon yang bereaksi terhadap peristiwa](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) di *Panduan EventBridge Pengguna Amazon*.