기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 자동 응답 및 문제 해결을 위해 EventBridge 사용
Amazon EventBridge에서 규칙을 생성하면 AWS Security Hub CSPM 결과에 자동으로 응답할 수 있습니다. Security Hub CSPM은 거의 실시간으로 조사 결과를 EventBridge에 *이벤트*로 전송합니다. 원하는 이벤트만 표시하도록 간단한 규칙을 작성한 후 규칙과 일치하는 이벤트 발생 시 실행할 자동화 작업을 지정할 수 있습니다. 자동으로 트리거할 수 있는 태스크는 다음과 같습니다.
+ AWS Lambda 함수 호출
+ Amazon EC2 실행 명령 간접 호출
+ Amazon Kinesis Data Streams로 이벤트 릴레이
+ AWS Step Functions 상태 시스템 활성화
+ SNS 주제 또는 Amazon SQS 대기열 알림
+ 타사 티켓팅, 채팅, SIEM 또는 인시던트 대응 및 관리 도구에 조사 결과 전송
Security Hub CSPM은 모든 새로운 조사 결과와 기존 조사 결과의 모든 업데이트를 EventBridge에 EventBridge 이벤트로 자동 전송합니다. 선택한 조사 결과와 인사이트 조사 결과를 EventBridge로 전송할 수 있게 하는 사용자 지정 작업을 생성할 수도 있습니다.
그러면 각 유형의 이벤트에 대응하도록 EventBridge 규칙을 구성합니다.
EventBridge 사용에 대한 자세한 내용은 [https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html)를 참조하세요.
**참고**
가장 좋은 방법은 EventBridge에 액세스할 수 있도록 사용자에게 부여된 권한이 필요한 권한만 부여하는 최소 권한 AWS Identity and Access Management (IAM) 정책을 사용하는지 확인하는 것입니다.
자세한 내용은 [Amazon EventBridge의 Identity and Access Management](https://docs.aws.amazon.com/eventbridge/latest/userguide/auth-and-access-control-eventbridge.html)를 참조하세요.
교차 계정 자동 응답 및 문제 해결을 위한 템플릿 세트는 AWS 솔루션에서도 사용할 수 있습니다. 템플릿은 EventBridge 이벤트 규칙 및 Lambda 함수를 활용합니다. CloudFormation 및를 사용하여 솔루션을 배포합니다 AWS Systems Manager. 이 솔루션은 완전 자동 응답 및 해결 조치를 생성할 수 있습니다. 또한 Security Hub CSPM 사용자 지정 작업을 사용하여 사용자가 트리거하는 응답 및 해결 조치를 생성할 수 있습니다. 솔루션을 구성하고 사용하는 방법에 대한 자세한 내용은 AWS솔루션 페이지의 [자동 보안 대응](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/)을 참조하세요.
**Topics**
+ [EventBridge의 Security Hub CSPM 이벤트 유형](securityhub-cwe-integration-types.md)
+ [Security Hub CSPM용 EventBridge 이벤트 형식](securityhub-cwe-event-formats.md)
+ [Security Hub CSPM 조사 결과에 대한 EventBridge 규칙 구성](securityhub-cwe-all-findings.md)
+ [사용자 지정 작업을 사용하여 조사 결과 및 인사이트 조사 결과를 EventBridge로 전송](securityhub-cwe-custom-actions.md)
# EventBridge의 Security Hub CSPM 이벤트 유형
Security Hub CSPM은 다음과 같은 Amazon EventBridge 이벤트 유형을 사용하여 EventBridge와 통합합니다.
Security Hub CSPM의 EventBridge 대시보드에서 **모든 이벤트**에는 이러한 이벤트 유형이 모두 포함됩니다.
## 모든 조사 결과(Security Hub Findings - Imported)
Security Hub CSPM은 모든 새로운 조사 결과와 기존 조사 결과의 모든 업데이트를 EventBridge에 **Security Hub Findings - Imported** 이벤트로 자동 전송합니다. 각 **Security Hub Findings - Imported** 이벤트에는 단일 조사 결과가 포함됩니다.
모든 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) 및 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) 요청은 **Security Hub Findings - Imported** 이벤트를 트리거합니다.
관리자 계정의 경우, EventBridge의 이벤트 피드에는 관리자 계정과 회원 계정 모두에서 찾은 조사 결과에 대한 이벤트가 포함됩니다.
집계 지역의 이벤트 피드에는 집계 지역 및 연결 지역의 조사 결과에 대한 이벤트가 포함됩니다. 지역 간 조사 결과는 거의 실시간으로 이벤트 피드에 포함됩니다. 조사 결과 집계를 구성하는 방법에 대한 자세한 내용은 [Security Hub CSPM의 교차 리전 집계 이해](finding-aggregation.md) 섹션을 참조하세요.
조사 결과를 문제 해결 워크플로, 타사 도구, 또는 [기타 지원되는 EventBridge 대상](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html)으로 자동 라우팅하는 규칙을 정의할 수 있습니다. 조사 결과에 특정 속성 값이 있는 경우에만 규칙을 적용하는 필터가 규칙에 포함될 수 있습니다.
이 방법을 사용하여 모든 조사 결과 또는 특정한 특성이 있는 모든 조사 결과를 자동으로 응답 또는 문제 해결 워크플로우로 보냅니다.
[Security Hub CSPM 조사 결과에 대한 EventBridge 규칙 구성](securityhub-cwe-all-findings.md) 섹션을 참조하세요.
## 사용자 지정 작업에 대한 조사 결과(Security Hub Findings - Custom Action)
또한 Security Hub CSPM은 사용자 지정 작업과 연결된 조사 결과를 EventBridge에 **Security Hub Findings - Custom Action** 이벤트로 전송합니다.
이는 Security Hub CSPM 콘솔을 사용해 특정 조사 결과나 작은 조사 결과 세트를 응답 또는 문제 해결 워크플로로 보내려는 분석가에게 유용합니다. 한 번에 최대 20개의 조사 결과에 대해 사용자 지정 작업을 선택할 수 있습니다. 각 조사 결과는 별도의 EventBridge 이벤트로 EventBridge에 전송됩니다.
사용자 지정 작업을 생성할 때 사용자 지정 작업 ID를 할당합니다. 이 ID를 사용하여 사용자 지정 작업 ID와 관련된 조사 결과를 수신한 후 지정된 작업을 수행하는 EventBridge 규칙을 생성할 수 있습니다.
[사용자 지정 작업을 사용하여 조사 결과 및 인사이트 조사 결과를 EventBridge로 전송](securityhub-cwe-custom-actions.md)을(를) 참조하세요.
예를 들어, Security Hub CSPM에서 `send_to_ticketing`이라는 사용자 지정 작업을 생성할 수 있습니다. 그런 다음, EventBridge에서 `send_to_ticketing` 사용자 지정 작업 ID가 포함된 조사 결과를 EventBridge가 수신할 때 트리거되는 규칙을 생성합니다. 이 규칙에는 조사 결과를 티켓팅 시스템에 전송하는 로직이 포함됩니다. 그런 다음 Security Hub CSPM 내에서 조사 결과를 선택하고 Security Hub CSPM의 사용자 지정 작업을 사용하여 조사 결과를 티켓팅 시스템에 수동으로 전송할 수 있습니다.
추가 처리를 위해 Security Hub CSPM 조사 결과를 EventBridge로 보내는 방법의 예는 [AWS Security Hub CSPM 사용자 지정 작업을 PagerDuty와 통합하는 방법](https://aws.amazon.com/blogs/apn/how-to-integrate-aws-security-hub-custom-actions-with-pagerduty/) 및 AWS 파트너 네트워크(APN) 블로그의 [AWS Security Hub CSPM에서 사용자 지정 작업을 활성화하는 방법을](https://aws.amazon.com/blogs/apn/how-to-enable-custom-actions-in-aws-security-hub/) 참조하세요.
## 사용자 지정 작업에 대한 인사이트 결과(Security Hub Insight Results)
또한 사용자 지정 작업을 사용하여 인사이트 결과 집합을 EventBridge에 **Security Hub Insight Results** 이벤트로 전송할 수 있습니다. 인사이트 결과는 인사이트와 일치하는 리소스입니다. 인사이트 조사 결과를 EventBridge에 전송할 때는 조사 결과를 EventBridge에 전송하는 것이 아닙니다. 인사이트 결과와 연결된 리소스 식별자만 전송합니다. 한 번에 최대 100개의 리소스 식별자를 전송할 수 있습니다.
조사 결과에 대한 사용자 지정 작업과 마찬가지로, 먼저 Security Hub CSPM에서 사용자 지정 작업을 생성한 다음, EventBridge에서 규칙을 생성합니다.
[사용자 지정 작업을 사용하여 조사 결과 및 인사이트 조사 결과를 EventBridge로 전송](securityhub-cwe-custom-actions.md)을(를) 참조하세요.
예를 들어, 동료와 공유하고 싶은 관심 대상 특정 인사이트 결과를 보았다고 가정해 보겠습니다. 이 경우, 사용자 지정 작업을 사용하여 채팅 또는 티켓 시스템을 통해 해당 인사이트 결과를 동료에게 보낼 수 있습니다.
# Security Hub CSPM용 EventBridge 이벤트 형식
**Security Hub Findings - Imported**, **Security Findings - Custom Action** 및 **Security Hub Insight Results** 이벤트 유형은 다음 이벤트 형식을 사용합니다.
이벤트 형식은 Security Hub CSPM이 EventBridge로 이벤트를 전송할 때 사용되는 형식입니다.
## Security Hub Findings - Imported
Security Hub CSPM에서 EventBridge로 전송되는 **Security Hub Findings - Imported** 이벤트는 다음 형식을 사용합니다.
```
{
"version":"0",
"id":"CWE-event-id",
"detail-type":"Security Hub Findings - Imported",
"source":"aws.securityhub",
"account":"111122223333",
"time":"2019-04-11T21:52:17Z",
"region":"us-west-2",
"resources":[
"arn:aws:securityhub:us-west-2::product/aws/macie/arn:aws:macie:us-west-2:111122223333:integtest/trigger/6294d71b927c41cbab915159a8f326a3/alert/f2893b211841"
],
"detail":{
"findings": [{
}]
}
}
```
``는 이벤트에서 전송한 조사 결과의 내용(JSON 형식)입니다. 각 이벤트는 단일 조사 결과를 전송합니다.
조사 결과의 전체 목록은 [AWS 보안 조사 결과 형식(ASFF)](securityhub-findings-format.md) 섹션을 참조하세요.
이러한 이벤트에 의해 트리거되는 EventBridge 규칙 구성 방법에 대한 자세한 내용은 [Security Hub CSPM 조사 결과에 대한 EventBridge 규칙 구성](securityhub-cwe-all-findings.md) 섹션을 참조하세요.
## Security Hub Findings - Custom Action
Security Hub CSPM에서 EventBridge로 전송되는 **Security Hub Findings - Custom Action** 이벤트는 다음 형식을 사용합니다. 각 조사 결과는 별도의 이벤트로 전송됩니다.
```
{
"version": "0",
"id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
"detail-type": "Security Hub Findings - Custom Action",
"source": "aws.securityhub",
"account": "111122223333",
"time": "2019-04-11T18:43:48Z",
"region": "us-west-1",
"resources": [
"arn:aws:securityhub:us-west-1:111122223333:action/custom/custom-action-name"
],
"detail": {
"actionName":"custom-action-name",
"actionDescription": "description of the action",
"findings": [
{
}
]
}
}
```
``는 이벤트에서 전송한 조사 결과의 내용(JSON 형식)입니다. 각 이벤트는 단일 조사 결과를 전송합니다.
조사 결과의 전체 목록은 [AWS 보안 조사 결과 형식(ASFF)](securityhub-findings-format.md) 섹션을 참조하세요.
이러한 이벤트에 의해 트리거되는 EventBridge 규칙 구성 방법에 대한 자세한 내용은 [사용자 지정 작업을 사용하여 조사 결과 및 인사이트 조사 결과를 EventBridge로 전송](securityhub-cwe-custom-actions.md) 섹션을 참조하세요.
## Security Hub Insight Results
Security Hub CSPM에서 EventBridge로 전송되는 **Security Hub Insight Results** 이벤트는 다음 형식을 사용합니다.
```
{
"version": "0",
"id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
"detail-type": "Security Hub Insight Results",
"source": "aws.securityhub",
"account": "111122223333",
"time": "2017-12-22T18:43:48Z",
"region": "us-west-1",
"resources": [
"arn:aws:securityhub:us-west-1:111122223333::product/aws/macie:us-west-1:222233334444:test/trigger/1ec9cf700ef6be062b19584e0b7d84ec/alert/f2893b211841"
],
"detail": {
"actionName":"name of the action",
"actionDescription":"description of the action",
"insightArn":"ARN of the insight",
"insightName":"Name of the insight",
"resultType":"ResourceAwsIamAccessKeyUserName",
"number of results":"number of results, max of 100",
"insightResults": [
{"result 1": 5},
{"result 2": 6}
]
}
}
```
이러한 이벤트에 의해 트리거되는 EventBridge 규칙 생성에 대한 자세한 내용은 [사용자 지정 작업을 사용하여 조사 결과 및 인사이트 조사 결과를 EventBridge로 전송](securityhub-cwe-custom-actions.md) 섹션을 참조하세요.
# Security Hub CSPM 조사 결과에 대한 EventBridge 규칙 구성
Amazon EventBridge에서 **Security Hub Findings - Imported** 이벤트를 수신할 때 수행할 작업을 정의하는 규칙을 생성할 수 있습니다. **Security Hub Findings - Imported** 이벤트는 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) 및 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) 작업으로부터의 업데이트에 의해 트리거됩니다.
각 규칙에는 규칙을 트리거하는 이벤트를 식별하는 이벤트 패턴이 포함되어 있습니다. 이벤트 패턴에는 항상 이벤트 소스(`aws.securityhub`)와 이벤트 유형(**Security Hub 조사 결과 - 가져옴**)이 포함됩니다. 이벤트 패턴은 규칙이 적용되는 조사 결과를 식별하는 필터를 지정할 수도 있습니다.
그러면 이벤트 규칙이 규칙 대상을 식별합니다. 대상은 EventBridge가 **Security Hub 조사 결과 - 가져옴** 이벤트를 수신하고 조사 결과가 필터와 일치할 때 취할 조치입니다.
여기에 제공된 지침은 EventBridge 콘솔을 사용합니다. 콘솔을 사용하면 EventBridge는 EventBridge가 Amazon CloudWatch Logs에 기록을 활성화할 수 있도록 필요한 리소스 기반 정책을 자동으로 생성합니다.
또한 EventBridge API의 [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html) 작업을 사용할 수도 있습니다. 하지만 EventBridge API를 사용하는 경우, 리소스 기반 정책을 생성해야 합니다. 필수 정책에 대한 자세한 내용은 *Amazon EventBridge 사용 설명서*의 [CloudWatch Logs 권한](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions)을 참조하세요.
## 이벤트 패턴 형식
**Security Hub 조사 결과 - 가져옴** 이벤트의 이벤트 패턴 형식은 다음과 같습니다.
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Imported"
],
"detail": {
"findings": {
}
}
}
```
+ `source`는 Security Hub CSPM을 이벤트를 생성하는 서비스로 식별합니다.
+ `detail-type`은(는) 이벤트 유형을 식별합니다.
+ `detail`은(는) 선택 사항이며 이벤트 패턴에 대한 필터 값을 제공합니다. 이벤트 패턴에 `detail` 필드가 없는 경우, 모든 조사 결과가 규칙을 트리거합니다.
모든 조사 결과 속성을 기준으로 조사 결과를 필터링할 수 있습니다. 각 값에 대해 하나 이상의 값을 쉼표로 구분한 배열을 제공합니다.
```
"": [ "", ""]
```
속성에 둘 이상의 값을 제공하면 해당 값이 `OR`로 결합됩니다. 조사 결과에 나열된 값 중 하나라도 있는 경우, 조사 결과는 개별 속성의 필터와 일치합니다. 예를 들어, `INFORMATIONAL`과 `LOW`를 모두 `Severity.Label` 값으로 제공하면 심각도 레이블이 `INFORMATIONAL` 또는 `LOW`일 경우, 조사 결과가 일치합니다.
속성은 `AND`로 결합됩니다. 제공된 모든 속성에 대한 필터 기준과 일치하면 조사 결과가 일치합니다.
속성 값을 제공할 때는 AWS Security Finding Format(ASFF) 구조 내에서 해당 속성의 위치를 반영해야 합니다.
**작은 정보**
제어 조사 결과를 필터링할 때는 `Title` 또는 `Description` 대신 `SecurityControlId` 또는 `SecurityControlArn` [ASFF 필드](securityhub-findings-format.md)를 필터로 사용하는 것이 좋습니다. 후자의 필드는 때때로 변경될 수 있지만 제어 ID 및 ARN은 정적 식별자입니다.
다음 예제에서 이벤트 패턴은 `ProductArn` 및 `Severity.Label`에 대한 필터 값을 제공하므로 Amazon Inspector에서 생성되고 심각도 레이블이 `INFORMATIONAL` 또는 `LOW`인 경우, 조사 결과가 일치합니다.
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Imported"
],
"detail": {
"findings": {
"ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"],
"Severity": {
"Label": ["INFORMATIONAL", "LOW"]
}
}
}
}
```
## 이벤트 규칙 생성
사전 정의된 이벤트 패턴 또는 사용자 지정 이벤트 패턴을 사용하여 EventBridge에서 규칙을 생성할 수 있습니다. 사전 정의된 패턴을 선택하면 EventBridge가 자동으로 `source` 및 `detail-type`을 채웁니다. EventBridge는 다음과 같은 조사 결과 속성에 대한 필터 값을 지정하는 필드도 제공합니다.
+ `AwsAccountId`
+ `Compliance.Status`
+ `Criticality`
+ `ProductArn`
+ `RecordState`
+ `ResourceId`
+ `ResourceType`
+ `Severity.Label`
+ `Types`
+ `Workflow.Status`
**EventBridge 규칙 생성(콘솔)**
1. Amazon EventBridge 콘솔([https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/))을 엽니다.
1. 다음 값을 사용하여 조사 결과 이벤트를 모니터링하는 EventBridge 규칙을 생성합니다.
+ **규칙 유형**에서 **이벤트 패턴이 있는 규칙**을 생성합니다.
+ 이벤트 패턴 작성 방법을 선택합니다.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/securityhub/latest/userguide/securityhub-cwe-all-findings.html)
+ **대상 유형**에서 **AWS 서비스를** 선택하고 **대상 선택**에서 Amazon SNS 주제 또는 AWS Lambda 함수와 같은 대상을 선택합니다. 규칙에 정의된 이벤트 패턴과 일치하는 이벤트를 수신할 때 대상이 트리거됩니다.
규칙 생성에 대한 자세한 내용은 *Amazon EventBridge 사용 설명서*의 [이벤트에 대응하는 Amazon EventBridge 규칙 생성](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html)를 참조하세요.
# 사용자 지정 작업을 사용하여 조사 결과 및 인사이트 조사 결과를 EventBridge로 전송
AWS Security Hub CSPM 사용자 지정 작업을 사용하여 조사 결과 또는 인사이트 결과를 Amazon EventBridge로 보내려면 먼저 Security Hub CSPM에서 사용자 지정 작업을 생성합니다. 그런 다음 사용자 지정 작업에 적용되는 규칙을 EventBridge에서 정의할 수 있습니다.
최대 50개의 사용자 지정 작업을 생성할 수 있습니다.
교차 리전 집계 활성화를 활성화하고 집계 영역의 조사 결과를 관리하는 경우, 집계 리전에서 사용자 지정 작업을 생성하세요.
EventBridge의 규칙은 사용자 지정 작업의 Amazon 리소스 이름(ARN)을 사용합니다.
# 사용자 지정 작업 생성
AWS Security Hub CSPM에서 사용자 지정 작업을 생성할 때 이름, 설명 및 고유 식별자를 지정합니다.
사용자 지정 작업은 EventBridge 이벤트가 EventBridge 규칙과 일치할 때 수행할 작업을 지정합니다. Security Hub CSPM은 각 조사 결과를 EventBridge에 이벤트로 전송합니다.
원하는 방법을 선택하고 다음 단계를 완료하여 사용자 지정 작업을 생성합니다.
------
#### [ Console ]
**Security Hub CSPM에서 사용자 지정 작업을 생성하려면(콘솔)**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.
1. 탐색 창에서 **설정**을 선택한 다음 **사용자 지정 작업**를 선택합니다.
1. **사용자 지정 작업 생성**을 선택하세요.
1. 작업에 대한 **이름**, **설명** 및 **사용자 지정 작업 ID**를 입력하세요.
**이름**은 20자 미만이어야 합니다.
**사용자 지정 작업 ID**는 각 AWS 계정에 대해 고유해야 합니다.
1. **사용자 지정 작업 생성**을 선택하세요.
1. **사용자 지정 작업 ARN**을 기록해 둡니다. EventBridge에서 이 작업과 연결할 규칙을 생성할 때 ARN을 사용해야 합니다.
------
#### [ API ]
**사용자 지정 작업을 생성하려면(API)**
[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html) 작업을 사용합니다. 를 사용하는 경우 [create-action-target](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-action-target.html) 명령을 AWS CLI실행합니다.
다음 예제에서는 조사 결과를 문제 해결 도구로 보내는 사용자 지정 작업을 생성합니다. 이 예제는 Linux, macOS 또는 Unix용으로 형식이 지정되며, 가독성을 높이기 위해 백슬래시(\$1) 줄 연속 문자를 사용합니다.
```
$ aws securityhub create-action-target --name "Send to remediation" --description "Action to send the finding for remediation tracking" --id "Remediation"
```
------
# EventBridge에서의 규칙 정의
Amazon EventBridge에서 사용자 지정 작업을 트리거하려면 EventBridge에서 해당 규칙을 생성해야 합니다. 규칙 정의에는 사용자 지정 작업의 Amazon 리소스 이름(ARN)이 포함됩니다.
**Security Hub 조사 결과 - 사용자 지정 작업** 이벤트의 이벤트 패턴은 다음과 같은 형식입니다.
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Custom Action"
],
"resources": [ "" ]
}
```
**Security Hub 인사이트 결과** 이벤트의 이벤트 패턴은 다음과 같은 형식입니다.
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Insight Results"
],
"resources": [ "" ]
}
```
두 패턴 모두 ``이(가) 사용자 지정 작업의 ARN입니다. 둘 이상의 사용자 지정 작업에 적용되는 규칙을 구성할 수 있습니다.
여기에 제공된 지침은 EventBridge 콘솔을 위한 것입니다. 콘솔을 사용하면 EventBridge는 EventBridge가 CloudWatch Logs에 기록할 수 있도록 필요한 리소스 기반 정책을 자동으로 생성합니다.
EventBridge API의 [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html) API 작업을 사용할 수도 있습니다. 하지만 EventBridge API를 사용하는 경우, 리소스 기반 정책을 생성해야 합니다. 필수 정책에 대한 자세한 내용은 *Amazon EventBridge 사용 설명서*의 [CloudWatch Logs 권한](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions)을 참조하세요.
**EventBridge에서 규칙을 정의하려면(EventBridge 콘솔)**
1. [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/)에서 Amazon EventBridge 콘솔을 엽니다.
1. 탐색 창에서 **규칙**을 선택합니다.
1. **규칙 생성**을 선택합니다.
1. 규칙에 대해 이름과 설명을 입력하세요.
1. **이벤트 버스**에서 이 규칙과 연결할 이벤트 버스를 선택합니다. 이 규칙이 자신의 계정에서 발생하는 이벤트와 일치하도록 하려면 **기본**을 선택합니다. 계정의 AWS 서비스가 이벤트를 출력하면 항상 계정의 기본 이벤트 버스로 이동합니다.
1. **규칙 유형**에서 **이벤트 패턴이 있는 규칙**을 선택합니다.
1. **다음**을 선택합니다.
1. **이벤트 소스**에서 **AWS 이벤트**를 선택합니다.
1. **이벤트 패턴**에서 **이벤트 패턴 양식**을 선택합니다.
1. **이벤트 소스**에서 **AWS 서비스**를 선택합니다.
1. **AWS 서비스를** 받으려면 **Security Hub**를 선택합니다.
1. **이벤트 유형**에서 다음 중 하나를 수행합니다.
+ 조사 결과를 사용자 지정 작업에 보낼 때 적용할 규칙을 생성하려면 **Security Hub 조사 결과 - 사용자 지정 작업**을 선택합니다.
+ 사용자 지정 작업에 인사이트 결과를 보낼 때 적용할 규칙을 생성하려면 **Security Hub Insight 결과**를 선택합니다.
1. **특정 사용자 지정 작업 ARN**을 선택하고 사용자 지정 작업 ARN을 추가합니다.
규칙이 여러 사용자 지정 작업에 적용되는 경우, **추가**를 선택하여 사용자 지정 작업 ARN을 더 추가합니다.
1. **다음**을 선택합니다.
1. **대상 선택**에서 이 규칙이 일치할 때 간접적으로 호출할 대상을 선택하고 구상합니다.
1. **다음**을 선택합니다.
1. (선택 사항)규칙에 대해 하나 이상의 태그를 입력하세요. 자세한 정보는 *Amazon EventBridge 사용 설명서*의 [Amazon EventBridge 태그](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html)를 참조하세요.
1. **다음**을 선택합니다.
1. 규칙의 세부 정보를 검토하고 **규칙 생성**을 선택합니다.
계정의 조사 결과 또는 인사이트 조사 결과에 대해 사용자 지정 작업을 수행하면 EventBridge에서 이벤트가 생성됩니다.
# 조사 결과 및 인사이트 조사 결과에 대한 사용자 지정 작업 선택
AWS Security Hub CSPM 사용자 지정 작업 및 Amazon EventBridge 규칙을 생성한 후 자동 관리 및 처리를 위해 조사 결과 및 인사이트 결과를 EventBridge로 전송할 수 있습니다.
이벤트는 해당 이벤트가 표시된 계정의 EventBridge에만 전송됩니다. 관리자 계정을 사용하여 조사 결과를 보는 경우, 이벤트는 관리자 계정으로 EventBridge에 전송됩니다.
AWS API 호출이 유효하려면 대상 코드 구현이 역할을 멤버 계정으로 전환해야 합니다. 이는 전환해야 하는 역할을 작업이 필요한 각 구성원에게 배포해야 함을 의미합니다.
**조사 결과를 EventBridge로 보내려면(콘솔)**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.
1. 조사 결과 목록 표시:
+ **조사 결과**에서 활성화된 모든 제품 통합 및 제어의 조사 결과를 볼 수 있습니다.
+ **보안 표준**에서는 선택한 제어에서 생성된 조사 결과 목록으로 이동할 수 있습니다. 자세한 내용은 [Security Hub CSPM에서 제어 세부 정보 검토](securityhub-standards-control-details.md) 섹션을 참조하세요.
+ **통합**에서는 활성화된 통합에 의해 생성된 조사 결과 목록으로 이동할 수 있습니다. 자세한 내용은 [Security Hub CSPM 통합에서 조사 결과 보기](securityhub-integration-view-findings.md) 섹션을 참조하세요.
+ **인사이트**에서는 일치하는 인사이트 조사 결과에 대한 조사 결과 목록으로 이동할 수 있습니다. 자세한 내용은 [Security Hub CSPM에서 인사이트 검토 및 조치](securityhub-insights-view-take-action.md) 섹션을 참조하세요.
1. EventBridge로 전송할 조사 결과를 선택합니다. 한 번에 최대 20개 조사 결과까지 선택할 수 있습니다.
1. **작업**에서 적용할 EventBridge 규칙과 일치하는 사용자 지정 작업을 선택하세요.
Security Hub CSPM은 각 조사 결과에 대해 별도의 **Security Hub CSPM 조사 결과 - 사용자 지정 작업** 이벤트를 전송합니다.
**인사이트 결과를 EventBridge로 보내려면(콘솔)**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.
1. 탐색 창에서 **인사이트**를 선택합니다.
1. **인사이트** 페이지에서 EventBridge에 보낼 결과가 포함된 인사이트을 선택합니다.
1. EventBridge로 전송할 인사이트 결과를 선택합니다. 한 번에 최대 20개 결과까지 선택할 수 있습니다.
1. **작업**에서 적용할 EventBridge 규칙과 일치하는 사용자 지정 작업을 선택하세요.