As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Modificação e ação automática a partir de descobertas do CSPM do Security Hub
AWS O Security Hub CSPM tem recursos que modificam e agem automaticamente com base nas descobertas com base em suas especificações.
O CSPM do Security Hub oferece suporte atualmente a dois tipos de automações:
+ **Regras de automação**: atualize e suprima automaticamente as descobertas quase em tempo real com base nos critérios definidos por você.
+ **Resposta e remediação automatizadas** — Crie EventBridge regras personalizadas da Amazon que definam ações automáticas a serem tomadas em relação a descobertas e insights específicos.
As regras de automação são úteis quando você deseja atualizar automaticamente os campos de busca no Formato AWS de descoberta de segurança (ASFF). Por exemplo, você pode usar uma regra de automação para atualizar o nível de gravidade ou o status do fluxo de trabalho das descobertas de determinadas integrações de terceiros. Usar a regra de automação elimina a necessidade de atualizar manualmente o nível de gravidade ou o status do fluxo de trabalho de cada descoberta desse produto de terceiros.
EventBridge as regras são úteis quando você deseja realizar ações fora do CSPM do Security Hub com relação a descobertas específicas ou enviar descobertas específicas para ferramentas de terceiros para remediação ou investigação adicional. As regras podem ser usadas para acionar ações compatíveis, como invocar uma AWS Lambda função ou notificar um tópico do Amazon Simple Notification Service (Amazon SNS) sobre uma descoberta específica.
As regras de automação entram em vigor antes que EventBridge as regras sejam aplicadas. Ou seja, as regras de automação são acionadas e atualizam uma descoberta antes de EventBridge receber a descoberta. EventBridge as regras então se aplicam à descoberta atualizada.
Ao configurar automações para controles de segurança, recomendamos filtrar com base no ID do controle, e não no título ou na descrição. Enquanto o Security Hub CSPM ocasionalmente atualiza títulos e descrições de controle, o controle IDs permanece o mesmo.
**Topics**
+ [Noções básicas sobre as regras de automação do CSPM do Security Hub](automation-rules.md)
+ [Usando EventBridge para resposta e remediação automatizadas](securityhub-cloudwatch-events.md)
# Noções básicas sobre as regras de automação do CSPM do Security Hub
Você pode usar regras de automação para atualizar automaticamente as descobertas no CSPM do AWS Security Hub. À medida que ingere descobertas, o CSPM do Security Hub pode aplicar diversas ações de regra, como suprimir descobertas, alterar a gravidade e adicionar observações. Essas ações de regra modificam as descobertas que correspondem aos critérios que você especificou.
Exemplos de casos de uso de regras de automação incluem:
+ Elevar a gravidade de uma descoberta para `CRITICAL` se o ID do recurso da descoberta se referir a um recurso crítico para os negócios.
+ Elevar a gravidade de uma descoberta de `HIGH` para `CRITICAL` se a descoberta afetar recursos em contas de produção específicas.
+ Atribuir descobertas específicas que tenham um status de fluxo de trabalho com gravidade de `INFORMATIONAL` a `SUPPRESSED`.
Você só pode criar e gerenciar regras de automação em uma conta de administrador do CSPM do Security Hub.
As regras se aplicam às novas descobertas e às descobertas atualizadas. É possível criar uma regra personalizada do zero ou usar um modelo de regra fornecido pelo CSPM do Security Hub. Também é possível começar com um modelo e modificá-lo conforme o necessário.
## Definir os critérios da regra e as ações da regra
Em uma conta de administrador do CSPM do Security Hub, é possível criar uma regra de automação definindo um ou mais *critérios* da regra e uma ou mais *ações* da regra. Quando uma descoberta corresponde aos critérios definidos, o CSPM do Security Hub aplica a ela as ações da regra. Para obter mais informações sobre critérios e ações disponíveis, consulte [Critérios de regras e ações de regras disponíveis](#automation-rules-criteria-actions).
Atualmente, o CSPM do Security Hub aceita até 100 regras de automação para cada conta de administrador.
O administrador do CSPM do Security Hub também pode editar, visualizar e excluir as regras de automação. Uma regra se aplica as descobertas correspondentes à conta do administrador e a todas as suas contas de membro. Ao fornecer a conta do membro IDs como critério de regra, os administradores do CSPM do Security Hub também podem usar regras de automação para atualizar ou suprimir descobertas em contas de membros específicas.
Uma regra de automação se aplica somente Região da AWS no local em que foi criada. Para aplicar uma regra em várias regiões, o administrador deve criar a regra em cada uma delas. Isso pode ser feito por meio do console do CSPM do Security Hub, da API do CSPM do Security Hub ou do [AWS CloudFormation](creating-resources-with-cloudformation.md). Também é possível usar um [script de implantação multirregional](https://github.com/awslabs/aws-securityhub-multiaccount-scripts/blob/master/automation_rules).
## Critérios de regras e ações de regras disponíveis
Atualmente, os seguintes campos do AWS Security Finding Format (ASFF) são aceitos como critérios para regras de automação:
| Critérios de regras | Operadores de filtro | Tipo de campo |
| --- | --- | --- |
| AwsAccountId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| AwsAccountName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| CompanyName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ComplianceAssociatedStandardsId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ComplianceSecurityControlId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ComplianceStatus | Is, Is Not | Selecionar: [FAILED, NOT\$1AVAILABLE, PASSED, WARNING] |
| Confidence | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Número |
| CreatedAt | Start, End, DateRange | Data (formatada como 2022-12-01T21:47:39.269Z) |
| Criticality | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Número |
| Description | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| FirstObservedAt | Start, End, DateRange | Data (formatada como 2022-12-01T21:47:39.269Z) |
| GeneratorId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| Id | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| LastObservedAt | Start, End, DateRange | Data (formatada como 2022-12-01T21:47:39.269Z) |
| NoteText | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| NoteUpdatedAt | Start, End, DateRange | Data (formatada como 2022-12-01T21:47:39.269Z) |
| NoteUpdatedBy | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ProductArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ProductName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| RecordState | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| RelatedFindingsId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| RelatedFindingsProductArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ResourceApplicationArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ResourceApplicationName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ResourceDetailsOther | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Mapa |
| ResourceId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ResourcePartition | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ResourceRegion | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ResourceTags | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Mapa |
| ResourceType | Is, Is Not | Selecione (consulte [Recursos](https://docs.aws.amazon.com/securityhub/latest/userguide/asff-resources.html) aceitos pelo ASFF) |
| SeverityLabel | Is, Is Not | Selecione [CRITICAL, HIGH, MEDIUM, LOW, INFORMATIONAL] |
| SourceUrl | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| Title | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| Type | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| UpdatedAt | Start, End, DateRange | Data (formatada como 2022-12-01T21:47:39.269Z) |
| UserDefinedFields | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Mapa |
| VerificationState | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| WorkflowStatus | Is, Is Not | Selecionar: [NEW, NOTIFIED, RESOLVED, SUPPRESSED] |
Para critérios rotulados como campos de string, o uso de diferentes operadores de filtro no mesmo campo afeta a lógica de avaliação. Para obter mais informações, consulte [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html) na *Referência de API CSPM do AWS Security Hub*.
Cada critério aceita um número máximo de valores que podem ser usados para filtrar as descobertas correspondentes. Para ver os limites de cada critério, consulte [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html) na *Referência de API do CSPM do AWS Security Hub*.
Atualmente, os seguintes campos do ASFF são aceitos como ações para regras de automação:
+ `Confidence`
+ `Criticality`
+ `Note`
+ `RelatedFindings`
+ `Severity`
+ `Types`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`
Para obter mais informações sobre campos do ASFF específicos, consulte a [Sintaxe do Formato de Descobertas de Segurança da AWS](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html).
**dica**
Se você quiser que o CSPM do Security Hub pare de gerar descobertas para um controle específico, recomendamos desabilitar o controle em vez de usar uma regra de automação. Quando você desabilita um controle, o CSPM do Security Hub para de executar verificações de segurança nele e para de gerar descobertas para ele, para que você não incorra em cobranças por esse controle. Recomendamos o uso de regras de automação para alterar os valores de campos específicos do ASFF para descobertas que correspondam aos critérios definidos. Para obter mais informações sobre como desabilitar controles, consulte [Desabilitação de controles no CSPM do Security Hub](disable-controls-overview.md).
## Descobertas que as regras de automação avaliam
Uma regra de automação avalia as descobertas novas e atualizadas que o CSPM do Security Hub gera ou ingere por meio da operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html) *depois* que você cria a regra. O CSPM do Security Hub atualiza as descobertas do controle a cada 12 a 24 horas ou quando o recurso associado muda de estado. Para obter mais informações, consulte [Programar a execução de verificações de segurança](securityhub-standards-schedule.md).
As regras de automação avaliam as descobertas originais fornecidas por provedores. Os provedores podem fornecer novas descobertas e atualizar as descobertas existentes por meio da operação `BatchImportFindings` da API do CSPM do Security Hub. Se os campos a seguir não existirem na descoberta original, o CSPM do Security Hub preencherá automaticamente os campos e, em seguida, usará os valores preenchidos na avaliação pela regra de automação:
+ `AwsAccountName`
+ `CompanyName`
+ `ProductName`
+ `Resource.Tags`
+ `Workflow.Status`
Depois de criar uma ou mais regras de automação, as regras não serão acionadas se você atualizar os campos de descoberta usando a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html). Se você criar uma regra de automação e fizer uma atualização de `BatchUpdateFindings` que afete o mesmo campo de descoberta, a última atualização definirá o valor desse campo. Veja o seguinte exemplo:
1. Você usa a operação `BatchUpdateFindings` para alterar o valor do campo `Workflow.Status` de uma descoberta de `NEW` para `NOTIFIED`.
1. Se você chamar `GetFindings`, o campo `Workflow.Status` passará a ter um valor de `NOTIFIED`.
1. Você cria uma regra de automação que altera o campo `Workflow.Status` da descoberta de `NEW` para `SUPPRESSED`. (Lembre-se de que as regras ignoram as atualizações feitas usando a operação `BatchUpdateFindings`.)
1. O provedor de descobertas usa a operação `BatchImportFindings` para atualizar a descoberta e altera o valor do campo `Workflow.Status` da descoberta para `NEW`.
1. Se você chamar `GetFindings`, o campo `Workflow.Status` passará a ter um valor de `SUPPRESSED`. Esse é o caso, pois a regra de automação foi aplicada e a regra foi a última ação realizada na descoberta.
Quando você cria ou edita uma regra no console do CSPM do Security Hub, o console exibe uma versão beta das descobertas que correspondam aos critérios da regra. Considerando que as regras de automação avaliam as descobertas originais enviadas pelo provedor de descobertas, a visualização beta no console reflete as descobertas em seu estado final, conforme elas seriam mostradas em uma resposta à operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html) (ou seja, após as ações das regras ou outras atualizações serem aplicadas à descoberta).
## Como funciona a ordem das regras
Ao criar regras de automação, você atribui uma ordem a cada regra. Isso determina a ordem na qual o CSPM do Security Hub aplica suas regras de automação e se torna importante quando várias regras estão relacionadas à mesma descoberta ou campo de descoberta.
Quando várias ações de regra estão relacionadas à mesma descoberta ou campo de descoberta, a regra com o maior valor numérico para a ordem das regras se aplica por último e produz o efeito final.
Quando você cria uma regra no console do CSPM do Security Hub, o CSPM do Security Hub atribui automaticamente a ordem das regras com base na ordem de criação da regra. A regra criada mais recentemente tem o menor valor numérico para a ordem das regras e, portanto, se aplica primeiro. O CSPM do Security Hub aplica regras subsequentes em ordem ascendente.
Quando você cria uma regra por meio da API CSPM do Security Hub ou AWS CLI, o Security Hub CSPM aplica a regra com o menor valor numérico para a primeira. `RuleOrder` Em seguida, aplica regras subsequentes em ordem ascendente. Se várias descobertas tiverem a mesma `RuleOrder`, o CSPM do Security Hub aplica uma regra com um valor anterior primeiro para o campo `UpdatedAt` (ou seja, a regra que foi editada mais recentemente se aplica por último).
É possível modificar a ordem das regras a qualquer momento.
**Exemplo de ordem de regras**:
**Regra A (a ordem das regras é `1`)**:
+ Critérios da Regra A
+ `ProductName` = `Security Hub CSPM`
+ `Resources.Type` é `S3 Bucket`
+ `Compliance.Status` = `FAILED`
+ `RecordState` é `NEW`
+ `Workflow.Status` = `ACTIVE`
+ Ações da Regra A
+ Atualizar `Confidence` para `95`
+ Atualizar `Severity` para `CRITICAL`
**Regra B (a ordem das regras é `2`)**:
+ Critérios da Regra B
+ `AwsAccountId` = `123456789012`
+ Ações de Regra B
+ Atualizar `Severity` para `INFORMATIONAL`
As ações da Regra A se aplicam primeiro às descobertas do CSPM do Security Hub que correspondem aos critérios da Regra A. Em seguida, as ações da Regra B se aplicam às descobertas do CSPM do Security Hub com o ID da conta especificado. Neste exemplo, como a Regra B se aplica por último, o valor final de `Severity` nas descobertas do ID da conta especificada é `INFORMATIONAL`. Com base na ação da Regra A, o valor final de `Confidence` nas descobertas correspondentes é `95`.
# Criar regras de automação
Uma regra de automação pode ser usada para atualizar automaticamente as descobertas no CSPM do AWS Security Hub. É possível criar uma regra personalizada do zero ou usar um modelo de regra já preenchido no console do CSPM do Security Hub. Para obter informações contextuais sobre como as regras de automação funcionam, consulte [Noções básicas sobre as regras de automação do CSPM do Security Hub](automation-rules.md).
É possível criar apenas uma regra de automação por vez. Para criar várias regras de automação, siga os procedimentos do console várias vezes ou chame a API ou o comando várias vezes com os parâmetros desejados.
É necessário criar uma regra de automação em cada região e conta na qual deseja que a regra se aplique às descobertas.
Quando você cria uma regra de automação no console do CSPM do Security Hub, o CSPM do Security Hub mostra uma versão beta das descobertas às quais sua regra se aplica. No momento, não há suporte para a versão beta se os seus critérios de regra incluírem um filtro CONTAINS ou NOT\$1CONTAINS. É possível escolher esses filtros para os tipos de campo de mapa e segmento.
**Importante**
AWS recomenda que você não inclua informações de identificação pessoal, confidenciais ou sigilosas no nome, na descrição ou em outros campos da regra.
## Criar uma regra de automação personalizada
Escolha o método de sua preferência e siga as etapas a seguir para criar regras de automação personalizadas.
------
#### [ Console ]
**Para criar uma regra de autorização personalizada (console)**
1. Usando as credenciais do administrador do CSPM do Security Hub, abra o console do CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. No painel de navegação à esquerda, escolha **Automação**.
1. Escolha **Criar regra**. Em **Tipo de regra**, escolha **Criar regra personalizada**.
1. Na seção **Regra**, forneça um nome de regra exclusivo e uma descrição para sua regra.
1. Em **Critérios**, use os menus suspensos **Chave**, **Operador** e **Valor** para especificar seus critérios de regra. É necessário especificar pelo menos um critério de regra.
Se houver suporte para os critérios selecionados, o console mostrará uma versão beta das descobertas que correspondam aos seus critérios.
1. Para **Ação automatizada**, use os menus suspensos para especificar quais campos de descoberta devem ser atualizados quando as descobertas corresponderem aos critérios da regra. É necessário especificar pelo menos uma ação de regra.
1. Em **Status da regra**, escolha se você deseja que a regra seja **Habilitada** ou **Desabilitada** depois de criada.
1. (Opcional) Expanda a seção **Configurações adicionais**. Selecione **Ignorar regras subsequentes para descobertas que correspondam a esses critérios** se quiser que essa regra seja a última regra aplicada às descobertas que correspondam aos critérios da regra.
1. (Opcional) Para **Tags**, adicione tags como pares de chave-valor para ajudar você a identificar facilmente a regra.
1. Escolha **Criar regra**.
------
#### [ API ]
**Para criar uma regra de autorização personalizada (API)**
1. Execute o comando [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html) na conta do administrador do CSPM do Security Hub. Essa API cria uma regra com um nome do recurso da Amazon (ARN) específico.
1. Forneça um nome e uma descrição para a regra.
1. Defina o parâmetro `IsTerminal` como `true` se você quiser que essa regra seja a última regra aplicada às descobertas que correspondam aos critérios da regra.
1. Para o parâmetro `RuleOrder`, forneça a ordem da regra. O CSPM do Security Hub aplica regras com um valor numérico menor primeiro para esse parâmetro.
1. Para o parâmetro `RuleStatus`, especifique se você deseja que o CSPM do Security Hub habilite e comece a aplicar a regra às descobertas após a criação. Se nenhum valor for especificado, o padrão será `ENABLED`. Um valor `DISABLED` significa que a regra é pausada após a criação.
1. Para o parâmetro `Criteria`, forneça os critérios que você deseja que o CSPM do Security Hub use para filtrar suas descobertas. A ação da regra se aplicará às descobertas que correspondam aos critérios. Para obter uma lista dos serviços compatíveis, consulte [Critérios de regras e ações de regras disponíveis](automation-rules.md#automation-rules-criteria-actions).
1. Para o parâmetro `Actions`, forneça as ações que você deseja que o CSPM do Security Hub execute quando houver uma correspondência entre uma descoberta e seus critérios definidos. Para ver uma de ações compatíveis, consulte [Critérios de regras e ações de regras disponíveis](automation-rules.md#automation-rules-criteria-actions).
O AWS CLI comando de exemplo a seguir cria uma regra de automação que atualiza o status do fluxo de trabalho e a nota das descobertas correspondentes. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.
```
$ aws securityhub create-automation-rule \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "HIGH"
},
"Note": {
"Text": "Known issue that is a risk. Updated by automation rules",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--criteria '{
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--description "A sample rule" \
--no-is-terminal \
--rule-name "sample rule" \
--rule-order 1 \
--rule-status "ENABLED" \
--region us-east-1
```
------
## Criar uma regra de automação a partir de um modelo (console apenas)
Os modelos de regra refletem casos de uso comuns de regras de automação. Atualmente, somente o console do CSPM do Security Hub oferece suporte a modelos de regras. Conclua as etapas a seguir para criar uma regra de automação a partir de um modelo no console.
**Para criar uma regra de automação a partir de um modelo (console)**
1. Usando as credenciais do administrador do CSPM do Security Hub, abra o console do CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. No painel de navegação à esquerda, escolha **Automação**.
1. Escolha **Criar regra**. Em **Tipo de regra**, escolha **Criar uma regra a partir do modelo**.
1. Selecione um modelo de regra no menu suspenso.
1. (Opcional) Se necessário para seu caso de uso, modifique as seções **Regra**, **Critérios** e **Ação automatizada**. Especifique pelo menos um critério de regra e uma ação de regra.
Se houver suporte para os critérios selecionados, o console mostrará uma versão beta das descobertas que correspondam aos seus critérios.
1. Em **Status da regra**, escolha se você deseja que a regra seja **Habilitada** ou **Desabilitada** depois de criada.
1. (Opcional) Expanda a seção **Configurações adicionais**. Selecione **Ignorar regras subsequentes para descobertas que correspondam a esses critérios** se quiser que essa regra seja a última regra aplicada às descobertas que correspondam aos critérios da regra.
1. (Opcional) Para **Tags**, adicione tags como pares de chave-valor para ajudar você a identificar facilmente a regra.
1. Escolha **Criar regra**.
# Visualizar regras de automação
Uma regra de automação pode ser usada para atualizar automaticamente as descobertas no CSPM do AWS Security Hub. Para obter informações contextuais sobre como as regras de automação funcionam, consulte [Noções básicas sobre as regras de automação do CSPM do Security Hub](automation-rules.md).
Escolha seu método preferido e siga as etapas para visualizar as regras de automação existentes e os detalhes de cada regra.
Para visualizar um histórico de como as regras de automação alteraram suas descobertas, consulte [Análise de detalhes e históricos de descobertas no CSPM do Security Hub](securityhub-findings-viewing.md).
------
#### [ Console ]
**Para visualizar regras de automação (console)**
1. Usando as credenciais do administrador do CSPM do Security Hub, abra o console do CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. No painel de navegação à esquerda, escolha **Automação**.
1. Escolha um nome de função. Como alternativa, selecione uma regra.
1. Escolha **Ações** e **Visualizar**.
------
#### [ API ]
**Para visualizar regras de automação (API)**
1. Para visualizar as regras de automação da sua conta, execute [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html) a partir da conta de administrador do CSPM do Security Hub. Essa API retorna a regra ARNs e outros metadados das suas regras. Nenhum parâmetro de entrada é necessário para essa API, mas você pode fornecer opcionalmente `MaxResults` para limitar o número de resultados e `NextToken` como parâmetro de paginação. O valor inicial de `NextToken` deveria ser `NULL`.
1. Para obter detalhes adicionais da regra, incluindo os critérios e as ações de uma regra, execute [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html) a partir da conta de administrador do CSPM do Security Hub. Forneça as regras ARNs de automação das quais você deseja obter detalhes.
O exemplo seguir recupera os detalhes das regras de automação especificadas. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.
```
$ aws securityhub batch-get-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222"]' \
--region us-east-1
```
------
# Editar regras de automação
Uma regra de automação pode ser usada para atualizar automaticamente as descobertas no CSPM do AWS Security Hub. Para obter informações contextuais sobre como as regras de automação funcionam, consulte [Noções básicas sobre as regras de automação do CSPM do Security Hub](automation-rules.md).
Depois de criar uma regra de automação, o administrador delegado do CSPM do Security Hub poderá editá-la. Quando você edita uma regra de automação, as alterações se aplicam às descobertas novas e atualizadas que o CSPM do Security Hub gera ou recebe após a edição da regra.
Escolha seu método preferido e siga as etapas para editar o conteúdo de uma regra de automação. É possível editar uma ou mais regras com uma única solicitação. Para obter instruções sobre como editar a ordem das regras, consulte [Editar a ordem das regras de automação](edit-rule-order.md).
------
#### [ Console ]
**Para editar regras de automação (console)**
1. Usando as credenciais do administrador do CSPM do Security Hub, abra o console do CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. No painel de navegação à esquerda, escolha **Automação**.
1. Selecione a regra a ser editada. Escolha **Ações** e **Editar**.
1. Altere a regra conforme desejado e escolha **Salvar alterações**.
------
#### [ API ]
**Para editar regras de automação (API)**
1. Execute o comando [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html) na conta do administrador do CSPM do Security Hub.
1. Para o parâmetro `RuleArn`, forneça o ARN da(s) regra(s) que você deseja editar.
1. Forneça os novos valores dos parâmetros que você deseja editar. É possível editar qualquer parâmetro, exceto `RuleArn`.
O exemplo a seguir atualiza a regra de automação especificada. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.
```
$ aws securityhub batch-update-automation-rules \
--update-automation-rules-request-items '[
{
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Note": {
"Text": "Known issue that is a risk",
"UpdatedBy": "sechub-automation"
},
"Workflow": {
"Status": "NEW"
}
}
}],
"Criteria": {
"SeverityLabel": [{
"Value": "LOW",
"Comparison": "EQUALS"
}]
},
"RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"RuleOrder": 14,
"RuleStatus": "DISABLED",
}
]' \
--region us-east-1
```
------
# Editar a ordem das regras de automação
Uma regra de automação pode ser usada para atualizar automaticamente as descobertas no CSPM do AWS Security Hub. Para obter informações contextuais sobre como as regras de automação funcionam, consulte [Noções básicas sobre as regras de automação do CSPM do Security Hub](automation-rules.md).
Depois de criar uma regra de automação, o administrador delegado do CSPM do Security Hub poderá editá-la.
Se quiser manter os critérios e as ações da regra como estão, mas alterar a ordem na qual o CSPM do Security Hub aplica uma regra de automação, será possível editar a ordem da regra. Escolha seu método preferido e siga as etapas para editar a ordem das regras.
Para obter instruções sobre como editar os critérios ou as ações de uma regra de automação, consulte [Editar regras de automação](edit-automation-rules.md).
------
#### [ Console ]
**Para editar a ordem das regras de automação (console)**
1. Usando as credenciais do administrador do CSPM do Security Hub, abra o console do CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. No painel de navegação à esquerda, escolha **Automação**.
1. Selecione a regra cuja ordem você deseja alterar. Escolha **Editar prioridade**.
1. Escolha **Mover para cima** para aumentar a prioridade da regra em uma unidade. Escolha **Mover para baixo** para diminuir a prioridade da regra em uma unidade. Escolha **Mover para cima** para atribuir à regra uma ordem de **1** (isso dá precedência a essa regra sobre outras regras existentes).
**nota**
Quando você cria uma regra no console do CSPM do Security Hub, o CSPM do Security Hub atribui automaticamente a ordem das regras com base na ordem de criação da regra. A regra criada mais recentemente tem o menor valor numérico para a ordem das regras e, portanto, se aplica primeiro.
------
#### [ API ]
**Para editar a ordem das regras de automação (API)**
1. Use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html) na conta de administrador do CSPM do Security Hub.
1. Para o parâmetro `RuleArn`, forneça o ARN da(s) regra(s) cuja ordem você deseja editar.
1. Modifique o valor do campo `RuleOrder`.
**nota**
Se várias regras tiverem a mesma `RuleOrder`, o CSPM do Security Hub aplicará uma regra com um valor anterior primeiro para o campo `UpdatedAt` (ou seja, a regra que foi editada mais recentemente se aplica por último).
------
# Excluir ou desabilitar regras de automação
Uma regra de automação pode ser usada para atualizar automaticamente as descobertas no CSPM do AWS Security Hub. Para obter informações contextuais sobre como as regras de automação funcionam, consulte [Noções básicas sobre as regras de automação do CSPM do Security Hub](automation-rules.md).
Quando você exclui uma regra de automação, o CSPM do Security Hub a remove da sua conta e não aplica mais a regra às descobertas. Como alternativa à exclusão, você pode *desabilitar* uma regra. Isso retém a regra para uso futuro, mas o CSPM do Security Hub não aplicará a regra a nenhuma descoberta correspondente até que você a habilite.
Escolha seu método preferido e siga as etapas para excluir uma regra de automação. É possível excluir uma ou mais regras em uma única solicitação.
------
#### [ Console ]
**Para excluir ou desabilitar regras de automação (console)**
1. Usando as credenciais do administrador do CSPM do Security Hub, abra o console do CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. No painel de navegação à esquerda, escolha **Automação**.
1. Selecione a(s) regra(s) que deseja excluir. Escolha **Ação** e **Excluir** (para reter uma regra, mas desabilite-a temporariamente e escolha **Desabilitar**).
1. Confirme a sua decisão e escolha **Delete** (Excluir).
------
#### [ API ]
**Para excluir ou desabilitar regras de automação (API)**
1. Use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html) na conta de administrador do CSPM do Security Hub.
1. Para o parâmetro `AutomationRulesArns`, forneça o ARN da(s) regra(s) que você deseja excluir (para reter uma regra, mas desabilite-a temporariamente e forneça `DISABLED` para o parâmetro `RuleStatus`).
O exemplo a seguir exclui a regra de automação especificada. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.
```
$ aws securityhub batch-delete-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]' \
--region us-east-1
```
------
# Exemplos de regras de automação
Esta seção fornece exemplos de regras de automação para casos de uso comuns do CSPM do Security Hub. Estes exemplos correspondem aos modelos de regras disponíveis no console do CSPM do Security Hub.
## Eleve a gravidade para Crítica quando um recurso específico, como um bucket S3, estiver em risco
Neste exemplo, os critérios da regra são combinados quando o `ResourceId` em uma descoberta é um bucket específico do Amazon Simple Storage Service (Amazon S3). A ação da regra é alterar a gravidade das descobertas correspondentes para `CRITICAL`. É possível modificar esse modelo para aplicá-lo a outros recursos.
**Exemplo de solicitação de API**:
```
{
"IsTerminal": true,
"RuleName": "Elevate severity of findings that relate to important resources",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk",
"Criteria": {
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**Exemplo de comando da CLI:**
```
$
aws securityhub create-automation-rule \
--is-terminal \
--rule-name "Elevate severity of findings that relate to important resources" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
## Eleve a gravidade das descobertas relacionadas aos recursos nas contas de produção
Neste exemplo, os critérios da regra são correspondidos quando uma descoberta de gravidade `HIGH` é gerada em contas de produção específicas. A ação da regra é alterar a gravidade das descobertas correspondentes para `CRITICAL`.
**Exemplo de solicitação de API**:
```
{
"IsTerminal": false,
"RuleName": "Elevate severity for production accounts",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts",
"Criteria": {
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**Exemplo de comando da CLI:**
```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Elevate severity of findings that relate to resources in production accounts" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
## Suprimir descobertas informativas
Neste exemplo, os critérios da regra são comparados às constatações de `INFORMATIONAL` gravidade enviadas ao Security Hub CSPM da Amazon. GuardDuty A ação da regra é alterar o status do fluxo de trabalho das descobertas correspondentes para `SUPPRESSED`.
**Exemplo de solicitação de API**:
```
{
"IsTerminal": false,
"RuleName": "Suppress informational findings",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Suppress GuardDuty findings with INFORMATIONAL severity",
"Criteria": {
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**Exemplo de comando da CLI:**
```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Suppress informational findings" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Suppress GuardDuty findings with INFORMATIONAL severity" \
--criteria '{
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
# Usando EventBridge para resposta e remediação automatizadas
Ao criar regras na Amazon EventBridge, você pode responder automaticamente às descobertas do CSPM do AWS Security Hub. O Security Hub CSPM envia descobertas como *eventos* EventBridge em tempo quase real. É possível escrever regras simples para indicar em quais eventos você está interessado e quais ações automatizadas devem ser executadas quando um evento corresponder a uma regra. Ações que podem ser automaticamente acionadas incluem:
+ Invocando uma função AWS Lambda
+ Invocação do comando de execução do Amazon EC2
+ Transmitir o evento Amazon Kinesis Data Streams
+ Ativando uma máquina de AWS Step Functions estado
+ Notificar um tópico do Amazon SNS ou uma fila do Amazon SQS
+ Enviar uma descoberta para uma ferramenta criação de tíquetes, chat, SIEM ou gerenciamento e resposta a incidentes de terceiros
O Security Hub CSPM envia automaticamente todas as novas descobertas e todas as atualizações das descobertas existentes EventBridge como EventBridge eventos. Você também pode criar ações personalizadas que permitem enviar descobertas selecionadas e resultados de insights para EventBridge.
Em seguida, você configura EventBridge as regras para responder a cada tipo de evento.
Para obter mais informações sobre o uso EventBridge, consulte o [https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html).
**nota**
Como prática recomendada, certifique-se de que as permissões de acesso concedidas aos seus usuários EventBridge usem políticas de privilégios mínimos AWS Identity and Access Management (IAM) que concedam somente as permissões necessárias.
Para obter mais informações, consulte [Gerenciamento de identidade e acesso na Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/auth-and-access-control-eventbridge.html).
Um conjunto de modelos para resposta e remediação automatizadas entre contas também está disponível em AWS Soluções. Os modelos utilizam regras de EventBridge eventos e funções Lambda. Você implanta a solução usando CloudFormation AWS Systems Manager e. A solução pode criar ações de resposta e correção totalmente automatizadas. Ela também pode usar ações personalizadas do CSPM do Security Hub para criar ações de resposta e correção acionadas pelo usuário. Para obter detalhes sobre como configurar e usar a solução, consulte a página [Resposta de segurança automatizada em AWS](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/).
**Topics**
+ [Tipos de eventos CSPM do Security Hub em EventBridge](securityhub-cwe-integration-types.md)
+ [EventBridge formatos de eventos para o Security Hub CSPM](securityhub-cwe-event-formats.md)
+ [Configurando uma EventBridge regra para as descobertas do CSPM do Security Hub](securityhub-cwe-all-findings.md)
+ [Usando ações personalizadas para enviar descobertas e resultados de insights para EventBridge](securityhub-cwe-custom-actions.md)
# Tipos de eventos CSPM do Security Hub em EventBridge
O Security Hub CSPM usa os seguintes tipos de EventBridge eventos da Amazon para integração com. EventBridge
No EventBridge painel do Security Hub CSPM, **Todos os eventos** inclui todos esses tipos de eventos.
## Todas as descobertas (Security Hub Findings - Imported)
O Security Hub CSPM envia automaticamente todas as novas descobertas e todas as atualizações das descobertas existentes EventBridge como **Security Hub Findings - Imported**eventos. Cada evento **Security Hub Findings - Imported**contém uma única descoberta.
Cada solicitação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) e [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) aciona um evento **Security Hub Findings - Imported**.
Para contas de administrador, o feed de eventos EventBridge inclui eventos para descobertas de suas contas e de suas contas de membros.
Em uma região de agregação, o feed de eventos inclui eventos para descobertas da região de agregação e das regiões vinculadas. As descobertas entre regiões são incluídas no feed de eventos quase em tempo real. Para obter informações sobre como configurar a agregação de descoberta, consulte [Noções básicas sobre a agregação entre regiões no CSPM do Security Hub](finding-aggregation.md).
Você pode definir regras EventBridge que encaminhem automaticamente as descobertas para um fluxo de trabalho de remediação, ferramenta de terceiros ou [outro EventBridge alvo compatível](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html). As regras podem incluir filtros que só aplicam a regra se a descoberta tiver valores de atributos específicos.
Você usa esse método para enviar automaticamente todas as descobertas, ou todas as descobertas que possuem características específicas, para um fluxo de trabalho de resposta ou correção.
Consulte [Configurando uma EventBridge regra para as descobertas do CSPM do Security Hub](securityhub-cwe-all-findings.md).
## Descobertas para ações personalizadas (Security Hub Findings - Custom Action)
O CSPM do Security Hub também envia descobertas associadas a ações personalizadas para eventos EventBridge . **Security Hub Findings - Custom Action**
Isso é útil para analistas que trabalhem com o console do CSPM do Security Hub e desejem enviar uma descoberta específica, ou um pequeno conjunto de descobertas, a um fluxo de trabalho de resposta ou correção. É possível selecionar uma ação personalizada para até 20 descobertas por vez. Cada descoberta é enviada EventBridge como um EventBridge evento separado.
Ao criar uma ação personalizada, você atribui a ela uma ID de ação personalizada. Você pode usar essa ID para criar uma EventBridge regra que executa uma ação específica depois de receber uma descoberta associada a essa ID de ação personalizada.
Consulte [Usando ações personalizadas para enviar descobertas e resultados de insights para EventBridge](securityhub-cwe-custom-actions.md).
Por exemplo, é possível criar uma ação personalizada no Security Hub chamada `send_to_ticketing`. Em seguida EventBridge, você cria uma regra que é acionada quando EventBridge recebe uma descoberta que inclui o ID da ação `send_to_ticketing` personalizada. A regra inclui a lógica para enviar a descoberta ao sistema de emissão de tíquetes. É possível então selecionar descobertas no CSPM do Security Hub e usar a ação personalizada nele para enviar manualmente as descobertas ao seu sistema de tíquetes.
Para obter exemplos de como enviar as descobertas do CSPM do Security Hub EventBridge para processamento adicional, consulte [Como integrar ações personalizadas do CSPM do AWS Security Hub com PagerDuty e Como habilitar ações personalizadas](https://aws.amazon.com/blogs/apn/how-to-integrate-aws-security-hub-custom-actions-with-pagerduty/) [no CSPM do AWS Security Hub no blog da AWS Partner Network](https://aws.amazon.com/blogs/apn/how-to-enable-custom-actions-in-aws-security-hub/) (APN).
## Resultados de insight para ações personalizadas (Security Hub Insight Results)
Você também pode usar ações personalizadas para enviar conjuntos de resultados de insights EventBridge como **Security Hub Insight Results**eventos. Os resultados do insight são os recursos que combinam com um insight. Observe que quando você envia os resultados do insight para EventBridge, você não está enviando as descobertas para EventBridge. Você está enviando apenas os identificadores de recursos associados aos resultados do insight. É possível enviar até 100 identificadores de recursos de uma vez.
Semelhante às ações personalizadas para descobertas, primeiro você cria a ação personalizada no CSPM do Security Hub e, em seguida, cria uma regra no. EventBridge
Consulte [Usando ações personalizadas para enviar descobertas e resultados de insights para EventBridge](securityhub-cwe-custom-actions.md).
Por exemplo, suponha que você veja um resultado interessante de um insight específico que deseja compartilhar com um colega. Nesse caso, você pode usar uma ação personalizada para enviar o resultado do insight para o colega por meio de um sistema de bate-papo ou emissão de tíquetes.
# EventBridge formatos de eventos para o Security Hub CSPM
Os tipos de eventos **Security Hub Findings - Imported**, **Security Findings - Custom Action**, e **Security Hub Insight Results** usam os formatos de evento a seguir.
O formato do evento é o formato usado quando o Security Hub CSPM envia um evento para. EventBridge
## Security Hub Findings - Imported
**Security Hub Findings - Imported**eventos que são enviados do Security Hub CSPM para EventBridge usar o seguinte formato.
```
{
"version":"0",
"id":"CWE-event-id",
"detail-type":"Security Hub Findings - Imported",
"source":"aws.securityhub",
"account":"111122223333",
"time":"2019-04-11T21:52:17Z",
"region":"us-west-2",
"resources":[
"arn:aws:securityhub:us-west-2::product/aws/macie/arn:aws:macie:us-west-2:111122223333:integtest/trigger/6294d71b927c41cbab915159a8f326a3/alert/f2893b211841"
],
"detail":{
"findings": [{
}]
}
}
```
`` é o conteúdo, no formato JSON, da descoberta enviada pelo evento. Cada evento envia uma única descoberta.
Para obter uma lista completa de atributos de descoberta, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).
Para obter informações sobre como configurar EventBridge regras que são acionadas por esses eventos, consulte[Configurando uma EventBridge regra para as descobertas do CSPM do Security Hub](securityhub-cwe-all-findings.md).
## Security Hub Findings - Custom Action
**Security Hub Findings - Custom Action**eventos que são enviados do Security Hub CSPM para EventBridge usar o seguinte formato. Cada descoberta é enviada em um evento separado.
```
{
"version": "0",
"id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
"detail-type": "Security Hub Findings - Custom Action",
"source": "aws.securityhub",
"account": "111122223333",
"time": "2019-04-11T18:43:48Z",
"region": "us-west-1",
"resources": [
"arn:aws:securityhub:us-west-1:111122223333:action/custom/custom-action-name"
],
"detail": {
"actionName":"custom-action-name",
"actionDescription": "description of the action",
"findings": [
{
}
]
}
}
```
`` é o conteúdo, no formato JSON, da descoberta enviada pelo evento. Cada evento envia uma única descoberta.
Para obter uma lista completa de atributos de descoberta, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).
Para obter informações sobre como configurar EventBridge regras que são acionadas por esses eventos, consulte[Usando ações personalizadas para enviar descobertas e resultados de insights para EventBridge](securityhub-cwe-custom-actions.md).
## Security Hub Insight Results
**Security Hub Insight Results**eventos que são enviados do Security Hub CSPM para EventBridge usar o seguinte formato.
```
{
"version": "0",
"id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
"detail-type": "Security Hub Insight Results",
"source": "aws.securityhub",
"account": "111122223333",
"time": "2017-12-22T18:43:48Z",
"region": "us-west-1",
"resources": [
"arn:aws:securityhub:us-west-1:111122223333::product/aws/macie:us-west-1:222233334444:test/trigger/1ec9cf700ef6be062b19584e0b7d84ec/alert/f2893b211841"
],
"detail": {
"actionName":"name of the action",
"actionDescription":"description of the action",
"insightArn":"ARN of the insight",
"insightName":"Name of the insight",
"resultType":"ResourceAwsIamAccessKeyUserName",
"number of results":"number of results, max of 100",
"insightResults": [
{"result 1": 5},
{"result 2": 6}
]
}
}
```
Para obter informações sobre como criar uma EventBridge regra que é acionada por esses eventos, consulte[Usando ações personalizadas para enviar descobertas e resultados de insights para EventBridge](securityhub-cwe-custom-actions.md).
# Configurando uma EventBridge regra para as descobertas do CSPM do Security Hub
Você pode criar uma regra na Amazon EventBridge que define uma ação a ser tomada quando um **Security Hub Findings - Imported**evento é recebido. **Security Hub Findings - Imported**os eventos são acionados por atualizações [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)das operações [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)e.
Cada regra contém um padrão de evento, que identifica os eventos que acionam a regra. O padrão do evento sempre contém a fonte do evento (`aws.securityhub`) e o tipo de evento (**Security Hub Findings - Imported**). O padrão do evento também pode especificar filtros para identificar as descobertas às quais a regra se aplica.
A regra de eventos então identifica os alvos da regra. Os alvos são as ações a serem tomadas quando EventBridge recebe um evento **Security Hub Findings - Imported** e a descoberta corresponde aos filtros.
As instruções fornecidas aqui usam o EventBridge console. Quando você usa o console, cria EventBridge automaticamente a política baseada em recursos necessária que permite EventBridge gravar no Amazon CloudWatch Logs.
Você também pode usar a [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html)operação da EventBridge API. No entanto, se você usar a EventBridge API, deverá criar a política baseada em recursos. Para obter informações sobre a política necessária, consulte [Permissões de CloudWatch registros](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions) no *Guia EventBridge do usuário da Amazon*.
## Formato do padrão do evento
O formato do padrão de eventos para os eventos **Security Hub Findings - Imported** é o seguinte:
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Imported"
],
"detail": {
"findings": {
}
}
}
```
+ `source` identifica o CSPM do Security Hub como o serviço que gera o evento.
+ `detail-type` identifica o tipo de evento.
+ `detail` é opcional e fornece os valores do filtro para o padrão do evento. Se o padrão do evento não contiver um campo `detail`, todas as descobertas acionarão a regra.
É possível filtrar as descobertas com base em qualquer atributo de descoberta. Para cada atributo, você fornece uma matriz separada por vírgula de um ou mais valores.
```
"": [ "", ""]
```
Se você fornecer mais de um valor para um atributo, esses valores serão unidos por `OR`. Uma descoberta corresponde ao filtro de um atributo individual se a descoberta tiver algum dos valores listados. Por exemplo, se você fornecer ambos `INFORMATIONAL` e `LOW` como valores para `Severity.Label`, a descoberta corresponderá se tiver um rótulo de gravidade de `INFORMATIONAL` ou`LOW`.
Os atributos são unidos por `AND`. Uma descoberta corresponde se atender aos critérios de filtro de todos os atributos fornecidos.
Quando você fornece um valor de atributo, ele deve refletir a localização desse atributo na estrutura do AWS Security Finding Format (ASFF).
**dica**
Ao filtrar as descobertas do controle, recomendamos usar os [campos do ASFF](securityhub-findings-format.md) `SecurityControlId` ou `SecurityControlArn` como filtros, em vez de `Title` ou `Description`. Os últimos campos podem mudar ocasionalmente, enquanto o ID de controle e o ARN são identificadores estáticos.
No exemplo a seguir, o padrão de evento fornece valores de filtro para `ProductArn` e`Severity.Label`, portanto, uma descoberta corresponde se for gerada pelo Amazon Inspector e tiver um rótulo de gravidade de`INFORMATIONAL` ou `LOW`.
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Imported"
],
"detail": {
"findings": {
"ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"],
"Severity": {
"Label": ["INFORMATIONAL", "LOW"]
}
}
}
}
```
## Criar uma regra de evento
Você pode usar um padrão de evento predefinido ou um padrão de evento personalizado para criar uma regra em EventBridge. Se você selecionar um padrão predefinido, preenche EventBridge automaticamente e. `source` `detail-type` EventBridge também fornece campos para especificar valores de filtro para os seguintes atributos de descoberta:
+ `AwsAccountId`
+ `Compliance.Status`
+ `Criticality`
+ `ProductArn`
+ `RecordState`
+ `ResourceId`
+ `ResourceType`
+ `Severity.Label`
+ `Types`
+ `Workflow.Status`
**Para criar uma EventBridge regra (console)**
1. Abra o EventBridge console da Amazon em [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Usando os valores a seguir, crie uma EventBridge regra que monitore a localização de eventos:
+ Para **Tipo de regra**, escolha **Regra com padrão de evento**.
+ Selecione como criar o padrão do evento.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/securityhub-cwe-all-findings.html)
+ Para **Tipos de destino**, escolha **AWS serviço** e, para **Selecionar um destino**, escolha um destino, como um tópico ou AWS Lambda função do Amazon SNS. O destino é acionado quando é recebido um evento que corresponde ao padrão de evento definido na regra.
Para obter detalhes sobre a criação de regras, consulte [Criação de EventBridge regras da Amazon que reagem a eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) no *Guia EventBridge do usuário da Amazon*.
# Usando ações personalizadas para enviar descobertas e resultados de insights para EventBridge
Para usar as ações personalizadas do CSPM do AWS Security Hub para enviar descobertas ou resultados de insights para a Amazon EventBridge, primeiro você cria a ação personalizada no CSPM do Security Hub. Em seguida, você pode definir regras EventBridge que se apliquem às suas ações personalizadas.
É possível criar até 50 ações personalizadas.
Se você habilitar a agregação entre regiões e gerenciar as descobertas na região de agregação, crie as ações personalizadas na região de agregação.
A regra em EventBridge usa o Amazon Resource Name (ARN) da ação personalizada.
# Criar uma ação personalizada
Ao criar uma ação personalizada no CSPM do AWS Security Hub, você especifica seu nome, descrição e um identificador exclusivo.
Uma ação personalizada especifica quais ações devem ser tomadas quando um EventBridge evento corresponde a uma EventBridge regra. O Security Hub CSPM envia cada descoberta EventBridge como um evento.
Escolha seu método preferido e siga as etapas para criar uma regra personalizada.
------
#### [ Console ]
**Para criar uma ação personalizada no CSPM do Security Hub (console)**
1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. No painel de navegação, escolha **Settings (Configurações)** e **Custom actions (Ações personalizadas)**.
1. Escolha **Create custom action (Criar ação personalizada)**.
1. Forneça um **Name (Nome)**, uma **Description (Descrição)** e um **Custom action ID (ID da ação personalizada)** à ação.
O **Name (Nome)** deve ter menos de 20 caracteres.
O **Custom action ID ** deve ser exclusivo para cada conta da AWS .
1. Escolha **Create custom action (Criar ação personalizada)**.
1. Anote o **Custom action ARN (ARN da ação personalizada)**. É necessário usar o ARN ao criar uma regra para associar a essa ação no EventBridge.
------
#### [ API ]
**Para criar uma ação personalizada (API)**
Use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html). Se você estiver usando o AWS CLI, execute o [create-action-target](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-action-target.html)comando.
O exemplo a seguir cria uma ação personalizada para enviar descobertas para uma ferramenta de correção. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.
```
$ aws securityhub create-action-target --name "Send to remediation" --description "Action to send the finding for remediation tracking" --id "Remediation"
```
------
# Definindo uma regra em EventBridge
Para acionar uma ação personalizada na Amazon EventBridge, você deve criar uma regra correspondente em EventBridge. A definição da regra inclui o nome do recurso da Amazon (ARN) da ação personalizada.
O padrão de evento para um evento **Security Hub Findings - Custom Action** tem o seguinte formato:
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Custom Action"
],
"resources": [ "" ]
}
```
O padrão de evento para um evento **Security Hub Insight Results** tem o seguinte formato:
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Insight Results"
],
"resources": [ "" ]
}
```
Em ambos os padrões, `` é o ARN de uma ação personalizada. É possível configurar uma regra que se aplique a mais de uma ação personalizada.
As instruções fornecidas aqui são para o EventBridge console. Quando você usa o console, cria EventBridge automaticamente a política baseada em recursos necessária que permite EventBridge gravar CloudWatch em registros.
Você também pode usar a [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html)operação de EventBridge API da API. No entanto, se você usar a EventBridge API, deverá criar a política baseada em recursos. Para obter detalhes sobre a política necessária, consulte [Permissões de CloudWatch registros](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions) no *Guia EventBridge do usuário da Amazon*.
**Para definir uma regra em EventBridge (EventBridge console)**
1. Abra o EventBridge console da Amazon em [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. No painel de navegação, escolha **Regras**.
1. Escolha **Create rule**.
1. Insira um nome e uma descrição para a regra.
1. Em **Barramento de Eventos**, escolha o barramento de eventos que você deseja associar a essa regra. Se quiser que essa regra faça a correspondência com eventos provenientes da sua conta, selecione **padrão**. Quando um serviço da AWS em sua conta emite um evento, ele sempre vai para o barramento de eventos padrão da sua conta.
1. Em **Rule type**, escolha **Rule with an event pattern**.
1. Escolha **Próximo**.
1. Em **Origem de eventos**, escolha **Eventos da AWS **.
1. Em **Padrão de evento**, selecione **Formulário de padrão de evento**.
1. Em **Fonte do evento**, selecione **Serviços da AWS **.
1. Para o **AWS serviço**, selecione **Security Hub**.
1. Em **Event type** (Tipo de evento), siga um destes procedimentos:
+ Para criar uma regra a ser aplicada ao enviar descobertas para uma ação personalizada, selecione **Security Hub Findings - Custom Action**.
+ Para criar uma regra a ser aplicada ao enviar os resultados do insight para uma ação personalizada, selecione **Security Hub Insight Results**.
1. Escolha **Ação personalizada específica ARNs** e adicione um ARN de ação personalizada.
Se a regra se aplicar a várias ações personalizadas, escolha **Adicionar** para adicionar mais ações personalizadas ARNs.
1. Escolha **Próximo**.
1. Em **Adicionar destino**, selecione e configure destino a ser invocado quando essa regra for correspondida.
1. Escolha **Próximo**.
1. (Opcional) Insira uma ou mais tags para a regra. Para obter mais informações, consulte as [ EventBridge tags da Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html) no *Guia EventBridge do usuário da Amazon*.
1. Escolha **Próximo**.
1. Analise os detalhes da regra e selecione **Criar regra**.
Quando você executa uma ação personalizada sobre descobertas ou resultados de insights em sua conta, os eventos são gerados em EventBridge.
# Seleção de uma ação personalizada para descobertas e resultados de insights
Depois de criar as ações personalizadas do AWS Security Hub CSPM e EventBridge as regras da Amazon, você pode enviar descobertas e resultados de insights EventBridge para gerenciamento e processamento automáticos.
Os eventos são enviados EventBridge somente para a conta em que são visualizados. Se você visualizar uma descoberta usando uma conta de administrador, o evento será enviado para EventBridge a conta do administrador.
Para que as chamadas de AWS API sejam efetivas, as implementações do código de destino devem mudar de função para contas de membros. Isso também significa que a função para a qual você muda deve ser distribuída a cada membro onde uma ação for necessária.
**Para enviar descobertas para EventBridge (console)**
1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Exiba uma lista das descobertas:
+ Em **Descobertas**, você pode visualizar as descobertas de todas as integrações e controles de produtos habilitados.
+ Em **Padrões de segurança**, você pode navegar até uma lista de descobertas geradas de um controle específico. Para obter mais informações, consulte [Análise dos detalhes dos controles no CSPM do Security Hub](securityhub-standards-control-details.md).
+ Em **Integrações**, você pode navegar até uma lista de descobertas geradas por uma integração habilitada. Para obter mais informações, consulte [Visualização de descobertas de uma integração do CSPM do Security Hub](securityhub-integration-view-findings.md).
+ Em **Insights**, você pode navegar até uma lista de descobertas para um resultado de insight. Para obter mais informações, consulte [Análise e ação com base em insights do CSPM do Security Hub](securityhub-insights-view-take-action.md).
1. Selecione as descobertas para as quais enviar EventBridge. É possível selecionar até 20 descobertas por vez.
1. Em **Ações**, escolha a ação personalizada que se alinha à EventBridge regra a ser aplicada.
O CSPM do Security Hub envia um evento separado **Descobertas do Security Hub - Ação personalizada** para cada descoberta.
**Para enviar resultados de insights para EventBridge (console)**
1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. No painel de navegação, escolha **Insights**.
1. Na página **Insights**, escolha o insight que inclui os resultados para os quais enviar EventBridge.
1. Selecione os resultados do insight para os quais enviar EventBridge. É possível selecionar até 20 descobertas por vez.
1. Em **Ações**, escolha a ação personalizada que se alinha à EventBridge regra a ser aplicada.