EventBridge의 Security Hub 이벤트 유형 - AWS Security Hub
모든 조사 결과(Security Hub Findings - Imported)사용자 지정 작업에 대한 조사 결과(Security Hub Findings - Custom Action)사용자 지정 작업에 대한 인사이트 결과(Security Hub Insight Results)

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

EventBridge의 Security Hub 이벤트 유형

Security Hub는 다음과 같은 Amazon EventBridge 이벤트 유형을 사용하여 EventBridge와 통합합니다.

Security Hub의 EventBridge 대시보드에서 모든 이벤트에는 이러한 이벤트 유형이 모두 포함됩니다.

모든 조사 결과(Security Hub Findings - Imported)

Security Hub는 모든 새로운 조사 결과와 기존 조사 결과의 모든 업데이트를 EventBridge에 Security Hub Findings - Imported 이벤트로 자동 전송합니다. 각 Security Hub Findings - Imported 이벤트에는 단일 조사 결과가 포함됩니다.

모든 BatchImportFindingsBatchUpdateFindings 요청은 Security Hub Findings - Imported 이벤트를 트리거합니다.

관리자 계정의 경우, EventBridge의 이벤트 피드에는 관리자 계정과 회원 계정 모두에서 찾은 조사 결과에 대한 이벤트가 포함됩니다.

집계 지역의 이벤트 피드에는 집계 지역 및 연결 지역의 조사 결과에 대한 이벤트가 포함됩니다. 지역 간 조사 결과는 거의 실시간으로 이벤트 피드에 포함됩니다. 조사 결과 집계를 구성하는 방법에 대한 자세한 내용은 Security Hub의 교차 리전 집계 이해 섹션을 참조하세요.

조사 결과를 문제 해결 워크플로, 타사 도구, 또는 기타 지원되는 EventBridge 대상으로 자동 라우팅하는 규칙을 정의할 수 있습니다. 조사 결과에 특정 속성 값이 있는 경우에만 규칙을 적용하는 필터가 규칙에 포함될 수 있습니다.

이 방법을 사용하여 모든 조사 결과 또는 특정한 특성이 있는 모든 조사 결과를 자동으로 응답 또는 문제 해결 워크플로우로 보냅니다.

Security Hub 조사 결과에 대한 EventBridge 규칙 구성 섹션을 참조하세요.

사용자 지정 작업에 대한 조사 결과(Security Hub Findings - Custom Action)

또한 Security Hub는 사용자 지정 작업과 연결된 조사 결과를 EventBridge에 Security Hub Findings - Custom Action 이벤트로 전송합니다.

이는 Security Hub 콘솔을 사용해 특정 조사 결과나 작은 조사 결과 세트를 응답 또는 문제 해결 워크플로우로 보내려는 분석가에게 유용합니다. 한 번에 최대 20개의 조사 결과에 대해 사용자 지정 작업을 선택할 수 있습니다. 각 조사 결과는 별도의 EventBridge 이벤트로 EventBridge에 전송됩니다.

사용자 지정 작업을 생성할 때 사용자 지정 작업 ID를 할당합니다. 이 ID를 사용하여 사용자 지정 작업 ID와 관련된 조사 결과를 수신한 후 지정된 작업을 수행하는 EventBridge 규칙을 생성할 수 있습니다.

사용자 지정 작업을 사용하여 조사 결과 및 인사이트 조사 결과를 EventBridge로 전송 섹션을 참조하세요.

예를 들어, Security Hub에서 send_to_ticketing이라는 사용자 지정 작업을 생성할 수 있습니다. 그런 다음, EventBridge에서 send_to_ticketing 사용자 지정 작업 ID가 포함된 조사 결과를 EventBridge가 수신할 때 트리거되는 규칙을 생성합니다. 이 규칙에는 조사 결과를 티켓팅 시스템에 전송하는 로직이 포함됩니다. 그런 다음 Security Hub 내에서 조사 결과를 선택하고 Security Hub의 사용자 지정 작업을 사용하여 조사 결과를 티켓팅 시스템에 수동으로 전송할 수 있습니다.

추가 처리를 위해 Security Hub 조사 결과를 EventBridge로 보내는 방법에 대한 예제는 PagerDuty와 AWS Security Hub 사용자 지정 작업을 통합하는 방법AWS 파트너 네트워크(APN) 블로그에서 AWS Security Hub에 사용자 지정 작업을 활성화하는 방법을 참조하세요.

사용자 지정 작업에 대한 인사이트 결과(Security Hub Insight Results)

또한 사용자 지정 작업을 사용하여 인사이트 결과 집합을 EventBridge에 Security Hub Insight Results 이벤트로 전송할 수 있습니다. 인사이트 결과는 인사이트와 일치하는 리소스입니다. 인사이트 조사 결과를 EventBridge에 전송할 때는 조사 결과를 EventBridge에 전송하는 것이 아닙니다. 인사이트 결과와 연결된 리소스 식별자만 전송합니다. 한 번에 최대 100개의 리소스 식별자를 전송할 수 있습니다.

조사 결과에 대한 사용자 지정 작업과 마찬가지로, 먼저 Security Hub에서 사용자 지정 작업을 생성한 다음, EventBridge에서 규칙을 생성합니다.

사용자 지정 작업을 사용하여 조사 결과 및 인사이트 조사 결과를 EventBridge로 전송 섹션을 참조하세요.

예를 들어, 동료와 공유하고 싶은 관심 대상 특정 인사이트 결과를 보았다고 가정해 보겠습니다. 이 경우, 사용자 지정 작업을 사용하여 채팅 또는 티켓 시스템을 통해 해당 인사이트 결과를 동료에게 보낼 수 있습니다.