翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# カスタムアクションを使用して結果とインサイト結果を EventBridge に送信する
<a name="securityhub-cwe-custom-actions"></a>

 AWS Security Hub CSPM カスタムアクションを使用して検出結果またはインサイト結果を Amazon EventBridge に送信するには、まず Security Hub CSPM でカスタムアクションを作成します。次に、EventBridge でカスタムアクションに適用されるルールを定義できます。

最大 50 個のカスタムアクションを作成できます。

クロスリージョン集約を有効にし、集約リージョンの結果を管理する場合は、集約リージョンでカスタムアクションを作成します。

EventBridge のルールでは、カスタムアクションの Amazon リソースネーム (ARN)が使用されます。

# カスタムアクションを作成する
<a name="securityhub-cwe-configure"></a>

 AWS Security Hub CSPM でカスタムアクションを作成するときは、その名前、説明、一意の識別子を指定します。

カスタムアクションは、EventBridge イベントが EventBridge ルールと一致するときに実行するアクションを指定します。Security Hub CSPM は、各検出結果をイベントとして EventBridge に送信します。

ご希望の方法を選択し、次の手順を従ってカスタムアクションを作成します。

------
#### [ Console ]

**Security Hub CSPM (コンソール) でカスタムアクションを作成するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで、**[Settings]** (設定) を選択して、**[Custom actions]** (カスタムアクション) を選択します。

1. **[Create custom action]** (カスタムアクションの作成) を選択します。

1. アクションの **[Name]** (名前)、**[Description]** (説明)、および **[Custom action ID]** (カスタムアクション ID) を指定します。

   **[Name]** (名前) は 20 文字未満で指定する必要があります。

   **[Custom action ID]** (カスタムアクション ID) は AWS アカウントごとに一意にする必要があります。

1. **[Create custom action]** (カスタムアクションの作成) を選択します。

1. **[Custom action ARN]** (カスタムアクション ARN) を書き留めます。この ARN は、EventBridge でルールを作成してこのアクションに関連付けるときに使用する必要があります。

------
#### [ API ]

**カスタムアクションを作成するには (API)**

[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html) 操作を使用します。を使用している場合は AWS CLI、[create-action-target](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-action-target.html) コマンドを実行します。

次の例では、カスタムアクションを作成して、検出結果を修復ツールに送信します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws securityhub create-action-target --name "Send to remediation" --description "Action to send the finding for remediation tracking" --id "Remediation"
```

------

# EventBridge でルールを定義する
<a name="securityhub-cwe-define-rule"></a>

Amazon EventBridge でカスタムアクションをトリガーするには、EventBridge で対応するルールを作成する必要があります。ルールの定義には、カスタムアクションの Amazon リソースネーム (ARN) が含まれます。

**Security Hub Findings - Custom Action** イベントのイベントパターンの形式は次のとおりです。

```
{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Findings - Custom Action"
  ],
  "resources": [ "<custom action ARN>" ]
}
```

**Security Hub Insight Results** イベントのイベントパターンの形式は次のとおりです。

```
{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Insight Results"
  ],
  "resources": [ "<custom action ARN>" ]
}
```

どちらのパターンでも、`<custom action ARN>` がカスタムアクションの ARN です。したがって、複数のカスタムアクションに適用されるルールを構成できます。

ここで説明する手順では、EventBridge コンソールを使用します。このコンソールを使用すると、EventBridge による CloudWatch Logs への書き込みを有効にする必要なリソースベースポリシーが EventBridge によって自動的に作成されます。

また、EventBridge API の [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html) API オペレーションを使用することもできます。ただし、EventBridge API を使用する場合は、リソースベースのポリシーを作成する必要があります。必要なポリシーの詳細については、「*Amazon EventBridge ユーザーガイド*」の「[CloudWatch Logs permissions](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions)」を参照してください。

**EventBridge でルールを定義するには (EventBridge コンソール)**

1. Amazon EventBridge コンソール ([https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/)) を開きます。

1. ナビゲーションペインで **[ルール]** を選択します。

1. **[ルールの作成]** を選択します。

1. ルールの名前と説明を入力します。

1. **[イベントバス]** では、このルールに関連付けるイベントバスを選択します。このルールをアカウントからのイベントと一致させるには、**[default]** (デフォルト) を選択します。アカウントの AWS サービスがイベントを発行すると、常にアカウントのデフォルトのイベントバスに移動します。

1. **[Rule type]** (ルールタイプ) では、**[Rule with an event pattern]** (イベントパターンを持つルール) を選択します。

1. **[Next]** (次へ) を選択します。

1. **[Event source]** (イベントソース) で、**[AWS events]** (イベント) を選択します。

1. **[イベントパターン]** で、**[イベントパターンフォーム]** を選択します。

1. **[イベントパターンフォーム]** では、**AWS [サービス]** を選択します。

1. **[AWS のサービス]** で、**[Security Hub]** を選択します。

1. [**イベントタイプ**] の場合は、次のいずれかの操作を実行します。
   + 結果をカスタムアクションに送信するときに適用するルールを作成するには、**[Security Hub Findings - Custom Action]** (Security Hub 結果 - カスタムアクション) を選択します。
   + インサイト結果をカスタムアクションに送信するときに適用するルールを作成するには、**[Security Hub Insight Results]** (Security Hub インサイト結果) を選択します。

1. **[Specific custom action ARNs]** (特定のカスタムアクション ARN) を選択し、カスタムアクション ARN を追加します。

   このルールを複数のカスタムアクションに適用する場合は、**[Add]** (追加) を選択し、カスタムアクション ARN をさらに追加します。

1. [**次へ**] を選択します。

1. **[Select targets]** (ターゲットの選択) で、このルールが一致した場合に呼び出すターゲットを選択し設定します。

1. [**次へ**] を選択します。

1. (オプション) ルールに 1 つ以上のタグを入力します。詳細については、*Amazon EventBridge ユーザーガイド*の[Amazon EventBridge のタグ](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html)を参照してください。

1. **次へ**をクリックします。

1. ルールの詳細を確認し、**ルールの作成** を選択します。

   アカウントで、結果またはインサイト結果に対してカスタムアクションを実行すると、EventBridge でイベントが生成されます。

# 結果とインサイト結果のカスタムアクションを選択する
<a name="securityhub-cwe-send"></a>

 AWS Security Hub CSPM カスタムアクションと Amazon EventBridge ルールを作成したら、検出結果とインサイト結果を EventBridge に送信して、自動管理と処理を行うことができます。

イベントは、そのイベントが表示されているアカウントでのみ、EventBridge に送信されます。管理者アカウントを使用して結果を表示すると、イベントは管理者アカウントで EventBridge に送信されます。

 AWS API コールを有効にするには、ターゲットコードの実装でロールをメンバーアカウントに切り替える必要があります。つまり、切り替えるロールは、アクションが必要な各メンバーにもデプロイされる必要があります。

**検出結果を EventBridge に送信するには (コンソール)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. 結果のリストを表示します。
   + **[Findings]** (結果) では、有効になっているすべての製品の統合とコントロールの結果を表示できます。
   + **[セキュリティ標準]** では、特定のコントロールから生成された検出結果のリストに移動できます。詳細については、「[Security Hub CSPM でのコントロールの詳細の確認](securityhub-standards-control-details.md)」を参照してください。
   + **[Integrations]** (統合) では、有効にした統合によって生成された結果のリストに移動できます。詳細については、「[Security Hub CSPM 統合からの検出結果の表示](securityhub-integration-view-findings.md)」を参照してください。
   + **[Insights]** (インサイト) では、インサイト結果のリストに移動できます。詳細については、「[Security Hub CSPM でのインサイトの確認と対応](securityhub-insights-view-take-action.md)」を参照してください。

1. 結果を選択して、EventBridge に送信します。一度に最大 20 件の結果を選択できます。

1. **[Actions]** (アクション) ドロップダウンから、適用する EventBridge ルールと一致するカスタムアクションを選択します。

   Security Hub CSPM によって、検出結果ごとに個別の **Security Hub Findings – Custom Action** イベントが送信されます。

**インサイト結果を EventBridge に送信するには (コンソール)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで、**[Insights]** (インサイト) を選択します。

1. **[Insights]** (インサイト) ページで、EventBridge に送信する結果が含まれているインサイトを選択します。

1. EventBridge に送信するインサイト結果を選択します。一度に最大 20 件の結果を選択できます。

1. **[Actions]** (アクション) ドロップダウンから、適用する EventBridge ルールと一致するカスタムアクションを選択します。