翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# EventBridge を使用した自動応答と修復
<a name="securityhub-cloudwatch-events"></a>

Amazon EventBridge でルールを作成することで、 AWS Security Hub CSPM の検出結果に自動的に応答できます。Security Hub CSPM は、検出結果を*イベント*として EventBridge にほぼリアルタイムで送信します。簡単なルールを記述して、注目するイベントと、イベントがルールに一致した場合に自動的に実行するアクションを指定できます。自動的にトリガーできるオペレーションには、以下が含まれます。
+  AWS Lambda 関数の呼び出し
+ Amazon EC2 Run Command の呼び出し
+ Amazon Kinesis Data Streams へのイベントの中継
+  AWS Step Functions ステートマシンのアクティブ化
+ Amazon SNS トピックまたは Amazon SQS キューの通知
+ サードパーティーのチケット発行、チャット、SIEM、またはインシデント対応および管理ツールへの結果の送信

Security Hub CSPM は、すべての新しい結果と既存の結果のすべての更新を EventBridge イベントとして EventBridge に自動的に送信します。また、選択した結果とインサイト結果を EventBridge に送信できるカスタムアクションを作成することもできます。

次に、それぞれの種類のイベントに応答するように EventBridge ルールを設定します。

EventBridge の使用方法の詳細については、「[https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html)」を参照してください。

**注記**  
ベストプラクティスとして、EventBridge にアクセスするためにユーザーに付与されたアクセス許可が、必要なアクセス許可のみを付与する最小特権 AWS Identity and Access Management (IAM) ポリシーを使用していることを確認してください。  
詳細については、「[Amazon EventBridge でのアイデンティティとアクセス管理](https://docs.aws.amazon.com/eventbridge/latest/userguide/auth-and-access-control-eventbridge.html)」を参照してください。

クロスアカウント自動応答と修復用のテンプレートのセットは、 AWS ソリューションでも使用できます。このテンプレートでは、EventBridge イベントルールと Lambda 関数を利用します。 CloudFormation および を使用してソリューションをデプロイします AWS Systems Manager。このソリューションによって、完全に自動化された応答と修復のアクションが作成されます。また、Security Hub CSPM カスタムアクションを使用して、ユーザによってトリガーされる応答と修復のアクションを作成することもできます。ソリューションの設定方法と使用方法の詳細については、「[AWSでの自動化されたセキュリティ対応](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/)」ソリューションページを参照してください。

**Topics**
+ [EventBridge の Security Hub CSPM イベントタイプ](securityhub-cwe-integration-types.md)
+ [Security Hub CSPM の EventBridge イベント形式](securityhub-cwe-event-formats.md)
+ [Security Hub CSPM の検出結果の EventBridge ルールの設定](securityhub-cwe-all-findings.md)
+ [カスタムアクションを使用して結果とインサイト結果を EventBridge に送信する](securityhub-cwe-custom-actions.md)

# EventBridge の Security Hub CSPM イベントタイプ
<a name="securityhub-cwe-integration-types"></a>

Security Hub CSPM では、次の Amazon EventBridge イベントタイプを使用して、EventBridge と統合します。

Security Hub CSPM の EventBridge ダッシュボードの **[すべてのイベント]** には、これらのイベントタイプがすべて含まれています。

## すべての結果 (Security Hub Findings - Imported)
<a name="securityhub-cwe-integration-types-all-findings"></a>

 Security Hub CSPM は、すべての新しい検出結果と既存の検出結果のすべての更新を **Security Hub Findings - Imported** イベントとして EventBridge に自動的に送信します。各 **Security Hub Findings - Imported** イベントには 1 つの結果が含まれています。

どの [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) および [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) リクエストでも **Security Hub Findings - Imported** イベントがトリガーされます。

管理者アカウントの場合、EventBridge のイベントフィードには、管理者アカウントとメンバーアカウントの両方からの結果に関するイベントが含まれます。

集約リージョンでは、イベントフィードには、集約リージョンとリンクされたリージョンからの結果のイベントが含まれます。クロスリージョン結果は、ほぼリアルタイムでイベントフィードに追加されます。結果の集約を設定する方法については、「[Security Hub CSPM でのクロスリージョン集約について](finding-aggregation.md)」を参照してください。

検出結果を自動的に修復ワークフロー、サードパーティーツール、または[その他のサポートされている EventBridge ターゲット](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html)にルーティングするルールを EventBridge で定義できます。ルールでは、結果に特定の属性値が含まれている場合にのみルールを適用するフィルターを指定できます。

このメソッドを使用して、すべての結果、または固有の特徴を持つすべての結果を応答または修復ワークフローに自動的に送信します。

「[Security Hub CSPM の検出結果の EventBridge ルールの設定](securityhub-cwe-all-findings.md)」を参照してください。

## カスタムアクションの結果 (Security Hub Findings - Custom Action)
<a name="securityhub-cwe-integration-types-finding-custom-action"></a>

Security Hub CSPM では、カスタムアクションに関連付けられた結果も **Security Hub Findings - Custom Action**イベントとして EventBridge に送信します。

これは、Security Hub CSPM コンソールを操作し、特定の検出結果、または少数の一連の検出結果を応答または修復ワークフローに送信するアナリストの役に立ちます。一度に最大 20 件の結果のカスタムアクションを選択できます。各結果は、個別の EventBridge イベントとして EventBridge に送信されます。

カスタムアクションを作成したら、カスタムアクションにカスタムアクション ID を割り当てます。この ID を使用すると、そのカスタムアクション ID に関連付けられた結果を受け取った後、指定されたアクションを実行する EventBridge ルールを作成できます。

「[カスタムアクションを使用して結果とインサイト結果を EventBridge に送信する](securityhub-cwe-custom-actions.md)」を参照してください。

例えば、Security Hub CSPM で `send_to_ticketing` というカスタムアクションを作成するとします。次に EventBridge で、`send_to_ticketing` カスタムアクション ID を含む結果を EventBridge が受信したときにトリガーされるルールを作成します。ルールには、結果をチケット発行システムに送信するロジックが含まれています。次に、Security Hub CSPM 内で結果を選択して Security Hub CSPM のカスタムアクションを使用して、手動で結果をチケット発行システムに送信できます。

さらなる処理のために Security Hub CSPM の検出結果を EventBridge に送信する方法の例については、 AWS パートナーネットワーク (APN) ブログの[AWS 「Security Hub CSPM カスタムアクションを PagerDuty と統合](https://aws.amazon.com/blogs/apn/how-to-integrate-aws-security-hub-custom-actions-with-pagerduty/)する方法」および[AWS 「Security Hub CSPM でカスタムアクションを有効にする方法](https://aws.amazon.com/blogs/apn/how-to-enable-custom-actions-in-aws-security-hub/)」を参照してください。

## カスタムアクションのインサイト結果 (Security Hub Insight Results)
<a name="securityhub-cwe-integration-types-insight-custom-action"></a>

カスタムアクションを使用すると、インサイト結果のセットも **Security Hub Insight Results** イベントとして EventBridge に送信できます。インサイト結果は、インサイトに一致するリソースです。インサイト結果を EventBridge に送信するとき、結果を EventBridge に送信しているわけではないことに注意してください。インサイト結果に関連付けられたリソース識別子を送信しているだけです。最大 100 個のリソース識別子を一度に送信できます。

検出結果に対するカスタムアクションと同様に、Security Hub CSPM でカスタムアクションを作成してから、EventBridge でルールを作成します。

「[カスタムアクションを使用して結果とインサイト結果を EventBridge に送信する](securityhub-cwe-custom-actions.md)」を参照してください。

例えば、同僚と共有する必要がある特定のインサイト結果があるとします。この場合、カスタムアクションを使用して、チャットまたはチケット発行システム経由で、そのインサイト結果を同僚に送信できます。

# Security Hub CSPM の EventBridge イベント形式
<a name="securityhub-cwe-event-formats"></a>

**Security Hub Findings - Imported**、**Security Findings - Custom Action**、および **Security Hub Insight Results** イベントタイプでは、次のイベント形式を使用します。

イベント形式は、Security Hub CSPM が EventBridge にイベントを送信するときに使用される形式です。

## Security Hub Findings - Imported
<a name="securityhub-cwe-event-formats-findings-imported"></a>

Security Hub CSPM から EventBridge に送信される **Security Hub Findings - Imported** イベントには、次の形式が使用されます。

```
{
   "version":"0",
   "id":"CWE-event-id",
   "detail-type":"Security Hub Findings - Imported",
   "source":"aws.securityhub",
   "account":"111122223333",
   "time":"2019-04-11T21:52:17Z",
   "region":"us-west-2",
   "resources":[
      "arn:aws:securityhub:us-west-2::product/aws/macie/arn:aws:macie:us-west-2:111122223333:integtest/trigger/6294d71b927c41cbab915159a8f326a3/alert/f2893b211841"
   ],
   "detail":{
      "findings": [{
         <finding content>
       }]
   }
}
```

`<finding content>` は、イベントによって送信される結果の JSON 形式のコンテンツです。各イベントは 1 つの結果を送信します。

結果の属性の詳細なリストについては、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

このようなイベントによってトリガーされる EventBridge ルールを設定する方法については、「[Security Hub CSPM の検出結果の EventBridge ルールの設定](securityhub-cwe-all-findings.md)」を参照してください。

## Security Hub Findings - Custom Action
<a name="securityhub-cwe-event-formats-findings-custom-action"></a>

Security Hub CSPM から EventBridge に送信される **Security Hub Findings - Custom Action** イベントには、次の形式が使用されます。各結果は個別のイベントで送信されます。

```
{
  "version": "0",
  "id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
  "detail-type": "Security Hub Findings - Custom Action",
  "source": "aws.securityhub",
  "account": "111122223333",
  "time": "2019-04-11T18:43:48Z",
  "region": "us-west-1",
  "resources": [
    "arn:aws:securityhub:us-west-1:111122223333:action/custom/custom-action-name"
  ],
  "detail": {
    "actionName":"custom-action-name",
    "actionDescription": "description of the action",
    "findings": [
      {
        <finding content>
      }
    ]
  }
}
```

`<finding content>` は、イベントによって送信される結果の JSON 形式のコンテンツです。各イベントは 1 つの結果を送信します。

結果の属性の詳細なリストについては、「[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md)」を参照してください。

このようなイベントによってトリガーされる EventBridge ルールを設定する方法については、「[カスタムアクションを使用して結果とインサイト結果を EventBridge に送信する](securityhub-cwe-custom-actions.md)」を参照してください。

## Security Hub Insight Results
<a name="securityhub-cwe-event-formats-insight-results"></a>

Security Hub CSPM から EventBridge に送信される **Security Hub Insight Results** イベントには、次の形式が使用されます。

```
{ 
  "version": "0",
  "id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
  "detail-type": "Security Hub Insight Results",
  "source": "aws.securityhub",
  "account": "111122223333",
  "time": "2017-12-22T18:43:48Z",
  "region": "us-west-1",
  "resources": [
      "arn:aws:securityhub:us-west-1:111122223333::product/aws/macie:us-west-1:222233334444:test/trigger/1ec9cf700ef6be062b19584e0b7d84ec/alert/f2893b211841"
  ],
  "detail": {
    "actionName":"name of the action",
    "actionDescription":"description of the action",
    "insightArn":"ARN of the insight",
    "insightName":"Name of the insight",
    "resultType":"ResourceAwsIamAccessKeyUserName",
    "number of results":"number of results, max of 100",
    "insightResults": [
        {"result 1": 5},
        {"result 2": 6}
    ]
  }
}
```

このようなイベントによってトリガーされる EventBridge ルールを作成する方法については、「[カスタムアクションを使用して結果とインサイト結果を EventBridge に送信する](securityhub-cwe-custom-actions.md)」を参照してください。

# Security Hub CSPM の検出結果の EventBridge ルールの設定
<a name="securityhub-cwe-all-findings"></a>

**Security Hub Findings - Imported** イベントの受信時に実行するアクションを定義するルールを Amazon EventBridge で作成できます。**Security Hub Findings - Imported** イベントは、[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) オペレーションと [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) オペレーションの両方による更新によってトリガーされます。

各ルールには、ルールをトリガーするイベントを識別するイベントパターンが含まれています。イベントパターンにはイベントソース (`aws.securityhub`) とイベントタイプ (**Security Hub Findings - Imported**) が必ず含まれています。イベントパターンでは、ルールが適用される結果を識別するためのフィルターを指定することもできます。

次に、イベントルールによってルールターゲットが識別されます。ターゲットは、EventBridge が **Security Hub Findings - Imported** イベントを受信し、検索条件がフィルターと一致したときに実行されるアクションです。

ここで説明する手順では、EventBridge コンソールを使用します。このコンソールを使用すると、EventBridge による Amazon CloudWatch Logs への書き込みを有効にする必要なリソースベースポリシーが EventBridge によって自動的に作成されます。

また、EventBridge API の [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html) オペレーションを使用することもできます。ただし、EventBridge API を使用する場合は、リソースベースのポリシーを作成する必要があります。必要なポリシーの詳細については、「*Amazon EventBridge ユーザーガイド*」の「[CloudWatch Logs の許可](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions)」を参照してください。

## イベントパターンの形式
<a name="securityhub-cwe-all-findings-rule-format"></a>

**Security Hub Findings - Imported** イベントのイベントパターンの形式は次のとおりです。

```
{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Findings - Imported"
  ],
  "detail": {
    "findings": {
      <attribute filter values>
    }
  }
}
```
+ `source` は、イベントを生成するサービスとして Security Hub CSPM を識別します。
+ `detail-type` は、イベントのタイプを示します。
+ `detail` はオプションで、イベントパターンのフィルター値を提供します。イベントパターンに `detail` フィールドが含まれていない場合、すべての結果でルールがトリガーされます。

結果は、どの結果属性に基づいてもフィルタリングできます。属性ごとに、1 つ以上の値のカンマ区切りの配列を指定します。

```
"<attribute name>": [ "<value1>", "<value2>"]
```

属性に複数の値を指定すると、それらの値は `OR` で結合されます。結果にリストされている値が含まれている場合、結果は個々の属性のフィルターと一致しています。例えば、`Severity.Label` の値として `INFORMATIONAL` と `LOW` の両方を指定した場合、結果に `INFORMATIONAL` または `LOW` の重要度ラベルが含まれていると、結果は一致となります。

属性が `AND` で結合されている場合、結果が、指定されたすべての属性のフィルター条件に一致すると、その結果は一致となります。

属性値を指定するときは、 AWS Security Finding Format (ASFF) 構造内のその属性の場所を反映する必要があります。

**ヒント**  
コントロールの検出結果をフィルタリングする場合は、`Title` または `Description` ではなく、`SecurityControlId` または `SecurityControlArn` [ASFF フィールド](securityhub-findings-format.md)をフィルターとして使用することをお勧めします。前者のフィールドは変更される可能性がありますが、コントロール ID と ARN は静的な識別子です。

次の例では、イベントパターンによって `ProductArn` と `Severity.Label` のフィルタ値が提供されています。したがって、Amazon Inspector が生成し、その重要度のラベルが `INFORMATIONAL` または `LOW` である場合は、結果が一致します。

```
{
    "source": [
        "aws.securityhub"
     ],
    "detail-type": [
        "Security Hub Findings - Imported"
    ],
    "detail": {
        "findings": {
            "ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"],
            "Severity": {
                "Label": ["INFORMATIONAL", "LOW"]
            }
        }
    }
}
```

## イベントルールの作成
<a name="securityhub-cwe-all-findings-predefined-pattern"></a>

定義済みのイベントパターンまたはカスタムのイベントパターンを使用して、EventBridge でルールを作成することができます。定義済みのパターンを選択した場合、EventBridge で `source` と `detail-type` が自動的に入力されます。EventBridge には、次の結果の属性のフィルター値を指定するフィールドもあります。
+ `AwsAccountId`
+ `Compliance.Status`
+ `Criticality`
+ `ProductArn`
+ `RecordState`
+ `ResourceId`
+ `ResourceType`
+ `Severity.Label`
+ `Types`
+ `Workflow.Status`

**EventBridge ルールを作成する (コンソール)**

1. Amazon EventBridge コンソールの [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/) を開いてください。

1. 次の値を使用して、検索イベントをモニタリングする EventBridge ルールを作成します。
   + **[ルールタイプ]** で、**[イベントパターンを持つルール]** を選択してください。
   + イベントパターンの作成方法を選択します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-cwe-all-findings.html)
   + **ターゲットタイプ**で**AWS サービス**を選択し、**ターゲットの選択**で Amazon SNS トピックや AWS Lambda 関数などのターゲットを選択します。ターゲットは、ルールで定義したイベントパターンに一致するイベントが返されたときにトリガーされます。

   ルールの作成に関する詳細については、「*Amazon EventBridge ユーザーガイド*」の「[イベントに反応する Amazon EventBridge ルールの作成](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html)」を参照してください。

# カスタムアクションを使用して結果とインサイト結果を EventBridge に送信する
<a name="securityhub-cwe-custom-actions"></a>

 AWS Security Hub CSPM カスタムアクションを使用して検出結果またはインサイト結果を Amazon EventBridge に送信するには、まず Security Hub CSPM でカスタムアクションを作成します。次に、EventBridge でカスタムアクションに適用されるルールを定義できます。

最大 50 個のカスタムアクションを作成できます。

クロスリージョン集約を有効にし、集約リージョンの結果を管理する場合は、集約リージョンでカスタムアクションを作成します。

EventBridge のルールでは、カスタムアクションの Amazon リソースネーム (ARN)が使用されます。

# カスタムアクションを作成する
<a name="securityhub-cwe-configure"></a>

 AWS Security Hub CSPM でカスタムアクションを作成するときは、その名前、説明、一意の識別子を指定します。

カスタムアクションは、EventBridge イベントが EventBridge ルールと一致するときに実行するアクションを指定します。Security Hub CSPM は、各検出結果をイベントとして EventBridge に送信します。

ご希望の方法を選択し、次の手順を従ってカスタムアクションを作成します。

------
#### [ Console ]

**Security Hub CSPM (コンソール) でカスタムアクションを作成するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで、**[Settings]** (設定) を選択して、**[Custom actions]** (カスタムアクション) を選択します。

1. **[Create custom action]** (カスタムアクションの作成) を選択します。

1. アクションの **[Name]** (名前)、**[Description]** (説明)、および **[Custom action ID]** (カスタムアクション ID) を指定します。

   **[Name]** (名前) は 20 文字未満で指定する必要があります。

   **[Custom action ID]** (カスタムアクション ID) は AWS アカウントごとに一意にする必要があります。

1. **[Create custom action]** (カスタムアクションの作成) を選択します。

1. **[Custom action ARN]** (カスタムアクション ARN) を書き留めます。この ARN は、EventBridge でルールを作成してこのアクションに関連付けるときに使用する必要があります。

------
#### [ API ]

**カスタムアクションを作成するには (API)**

[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html) 操作を使用します。を使用している場合は AWS CLI、[create-action-target](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-action-target.html) コマンドを実行します。

次の例では、カスタムアクションを作成して、検出結果を修復ツールに送信します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws securityhub create-action-target --name "Send to remediation" --description "Action to send the finding for remediation tracking" --id "Remediation"
```

------

# EventBridge でルールを定義する
<a name="securityhub-cwe-define-rule"></a>

Amazon EventBridge でカスタムアクションをトリガーするには、EventBridge で対応するルールを作成する必要があります。ルールの定義には、カスタムアクションの Amazon リソースネーム (ARN) が含まれます。

**Security Hub Findings - Custom Action** イベントのイベントパターンの形式は次のとおりです。

```
{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Findings - Custom Action"
  ],
  "resources": [ "<custom action ARN>" ]
}
```

**Security Hub Insight Results** イベントのイベントパターンの形式は次のとおりです。

```
{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Insight Results"
  ],
  "resources": [ "<custom action ARN>" ]
}
```

どちらのパターンでも、`<custom action ARN>` がカスタムアクションの ARN です。したがって、複数のカスタムアクションに適用されるルールを構成できます。

ここで説明する手順では、EventBridge コンソールを使用します。このコンソールを使用すると、EventBridge による CloudWatch Logs への書き込みを有効にする必要なリソースベースポリシーが EventBridge によって自動的に作成されます。

また、EventBridge API の [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html) API オペレーションを使用することもできます。ただし、EventBridge API を使用する場合は、リソースベースのポリシーを作成する必要があります。必要なポリシーの詳細については、「*Amazon EventBridge ユーザーガイド*」の「[CloudWatch Logs permissions](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions)」を参照してください。

**EventBridge でルールを定義するには (EventBridge コンソール)**

1. Amazon EventBridge コンソール ([https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/)) を開きます。

1. ナビゲーションペインで **[ルール]** を選択します。

1. **[ルールの作成]** を選択します。

1. ルールの名前と説明を入力します。

1. **[イベントバス]** では、このルールに関連付けるイベントバスを選択します。このルールをアカウントからのイベントと一致させるには、**[default]** (デフォルト) を選択します。アカウントの AWS サービスがイベントを発行すると、常にアカウントのデフォルトのイベントバスに移動します。

1. **[Rule type]** (ルールタイプ) では、**[Rule with an event pattern]** (イベントパターンを持つルール) を選択します。

1. **[Next]** (次へ) を選択します。

1. **[Event source]** (イベントソース) で、**[AWS events]** (イベント) を選択します。

1. **[イベントパターン]** で、**[イベントパターンフォーム]** を選択します。

1. **[イベントパターンフォーム]** では、**AWS [サービス]** を選択します。

1. **[AWS のサービス]** で、**[Security Hub]** を選択します。

1. [**イベントタイプ**] の場合は、次のいずれかの操作を実行します。
   + 結果をカスタムアクションに送信するときに適用するルールを作成するには、**[Security Hub Findings - Custom Action]** (Security Hub 結果 - カスタムアクション) を選択します。
   + インサイト結果をカスタムアクションに送信するときに適用するルールを作成するには、**[Security Hub Insight Results]** (Security Hub インサイト結果) を選択します。

1. **[Specific custom action ARNs]** (特定のカスタムアクション ARN) を選択し、カスタムアクション ARN を追加します。

   このルールを複数のカスタムアクションに適用する場合は、**[Add]** (追加) を選択し、カスタムアクション ARN をさらに追加します。

1. [**次へ**] を選択します。

1. **[Select targets]** (ターゲットの選択) で、このルールが一致した場合に呼び出すターゲットを選択し設定します。

1. [**次へ**] を選択します。

1. (オプション) ルールに 1 つ以上のタグを入力します。詳細については、*Amazon EventBridge ユーザーガイド*の[Amazon EventBridge のタグ](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html)を参照してください。

1. **次へ**をクリックします。

1. ルールの詳細を確認し、**ルールの作成** を選択します。

   アカウントで、結果またはインサイト結果に対してカスタムアクションを実行すると、EventBridge でイベントが生成されます。

# 結果とインサイト結果のカスタムアクションを選択する
<a name="securityhub-cwe-send"></a>

 AWS Security Hub CSPM カスタムアクションと Amazon EventBridge ルールを作成したら、検出結果とインサイト結果を EventBridge に送信して、自動管理と処理を行うことができます。

イベントは、そのイベントが表示されているアカウントでのみ、EventBridge に送信されます。管理者アカウントを使用して結果を表示すると、イベントは管理者アカウントで EventBridge に送信されます。

 AWS API コールを有効にするには、ターゲットコードの実装でロールをメンバーアカウントに切り替える必要があります。つまり、切り替えるロールは、アクションが必要な各メンバーにもデプロイされる必要があります。

**検出結果を EventBridge に送信するには (コンソール)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. 結果のリストを表示します。
   + **[Findings]** (結果) では、有効になっているすべての製品の統合とコントロールの結果を表示できます。
   + **[セキュリティ標準]** では、特定のコントロールから生成された検出結果のリストに移動できます。詳細については、「[Security Hub CSPM でのコントロールの詳細の確認](securityhub-standards-control-details.md)」を参照してください。
   + **[Integrations]** (統合) では、有効にした統合によって生成された結果のリストに移動できます。詳細については、「[Security Hub CSPM 統合からの検出結果の表示](securityhub-integration-view-findings.md)」を参照してください。
   + **[Insights]** (インサイト) では、インサイト結果のリストに移動できます。詳細については、「[Security Hub CSPM でのインサイトの確認と対応](securityhub-insights-view-take-action.md)」を参照してください。

1. 結果を選択して、EventBridge に送信します。一度に最大 20 件の結果を選択できます。

1. **[Actions]** (アクション) ドロップダウンから、適用する EventBridge ルールと一致するカスタムアクションを選択します。

   Security Hub CSPM によって、検出結果ごとに個別の **Security Hub Findings – Custom Action** イベントが送信されます。

**インサイト結果を EventBridge に送信するには (コンソール)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで、**[Insights]** (インサイト) を選択します。

1. **[Insights]** (インサイト) ページで、EventBridge に送信する結果が含まれているインサイトを選択します。

1. EventBridge に送信するインサイト結果を選択します。一度に最大 20 件の結果を選択できます。

1. **[Actions]** (アクション) ドロップダウンから、適用する EventBridge ルールと一致するカスタムアクションを選択します。