As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Configurando uma EventBridge regra para as descobertas do CSPM do Security Hub
Você pode criar uma regra na Amazon EventBridge que define uma ação a ser tomada quando um **Security Hub Findings - Imported**evento é recebido. **Security Hub Findings - Imported**os eventos são acionados por atualizações [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)das operações [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)e.
Cada regra contém um padrão de evento, que identifica os eventos que acionam a regra. O padrão do evento sempre contém a fonte do evento (`aws.securityhub`) e o tipo de evento (**Security Hub Findings - Imported**). O padrão do evento também pode especificar filtros para identificar as descobertas às quais a regra se aplica.
A regra de eventos então identifica os alvos da regra. Os alvos são as ações a serem tomadas quando EventBridge recebe um evento **Security Hub Findings - Imported** e a descoberta corresponde aos filtros.
As instruções fornecidas aqui usam o EventBridge console. Quando você usa o console, cria EventBridge automaticamente a política baseada em recursos necessária que permite EventBridge gravar no Amazon CloudWatch Logs.
Você também pode usar a [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html)operação da EventBridge API. No entanto, se você usar a EventBridge API, deverá criar a política baseada em recursos. Para obter informações sobre a política necessária, consulte [Permissões de CloudWatch registros](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions) no *Guia EventBridge do usuário da Amazon*.
## Formato do padrão do evento
O formato do padrão de eventos para os eventos **Security Hub Findings - Imported** é o seguinte:
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Imported"
],
"detail": {
"findings": {
}
}
}
```
+ `source` identifica o CSPM do Security Hub como o serviço que gera o evento.
+ `detail-type` identifica o tipo de evento.
+ `detail` é opcional e fornece os valores do filtro para o padrão do evento. Se o padrão do evento não contiver um campo `detail`, todas as descobertas acionarão a regra.
É possível filtrar as descobertas com base em qualquer atributo de descoberta. Para cada atributo, você fornece uma matriz separada por vírgula de um ou mais valores.
```
"": [ "", ""]
```
Se você fornecer mais de um valor para um atributo, esses valores serão unidos por `OR`. Uma descoberta corresponde ao filtro de um atributo individual se a descoberta tiver algum dos valores listados. Por exemplo, se você fornecer ambos `INFORMATIONAL` e `LOW` como valores para `Severity.Label`, a descoberta corresponderá se tiver um rótulo de gravidade de `INFORMATIONAL` ou`LOW`.
Os atributos são unidos por `AND`. Uma descoberta corresponde se atender aos critérios de filtro de todos os atributos fornecidos.
Quando você fornece um valor de atributo, ele deve refletir a localização desse atributo na estrutura do AWS Security Finding Format (ASFF).
**dica**
Ao filtrar as descobertas do controle, recomendamos usar os [campos do ASFF](securityhub-findings-format.md) `SecurityControlId` ou `SecurityControlArn` como filtros, em vez de `Title` ou `Description`. Os últimos campos podem mudar ocasionalmente, enquanto o ID de controle e o ARN são identificadores estáticos.
No exemplo a seguir, o padrão de evento fornece valores de filtro para `ProductArn` e`Severity.Label`, portanto, uma descoberta corresponde se for gerada pelo Amazon Inspector e tiver um rótulo de gravidade de`INFORMATIONAL` ou `LOW`.
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Imported"
],
"detail": {
"findings": {
"ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"],
"Severity": {
"Label": ["INFORMATIONAL", "LOW"]
}
}
}
}
```
## Criar uma regra de evento
Você pode usar um padrão de evento predefinido ou um padrão de evento personalizado para criar uma regra em EventBridge. Se você selecionar um padrão predefinido, preenche EventBridge automaticamente e. `source` `detail-type` EventBridge também fornece campos para especificar valores de filtro para os seguintes atributos de descoberta:
+ `AwsAccountId`
+ `Compliance.Status`
+ `Criticality`
+ `ProductArn`
+ `RecordState`
+ `ResourceId`
+ `ResourceType`
+ `Severity.Label`
+ `Types`
+ `Workflow.Status`
**Para criar uma EventBridge regra (console)**
1. Abra o EventBridge console da Amazon em [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Usando os valores a seguir, crie uma EventBridge regra que monitore a localização de eventos:
+ Para **Tipo de regra**, escolha **Regra com padrão de evento**.
+ Selecione como criar o padrão do evento.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/securityhub-cwe-all-findings.html)
+ Para **Tipos de destino**, escolha **AWS serviço** e, para **Selecionar um destino**, escolha um destino, como um tópico ou AWS Lambda função do Amazon SNS. O destino é acionado quando é recebido um evento que corresponde ao padrão de evento definido na regra.
Para obter detalhes sobre a criação de regras, consulte [Criação de EventBridge regras da Amazon que reagem a eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) no *Guia EventBridge do usuário da Amazon*.