本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 自动修改 Security Hub CSPM 中的调查发现并对其采取行动
AWS Security Hub CSPM 具有根据您的规格自动修改发现结果并对其采取措施的功能。
Security Hub CSPM 目前支持两种类型的自动化:
+ **自动化规则**:根据您定义的标准,近乎实时地自动更新和隐藏调查发现。
+ **自动响应和补救** — 创建自定义 Amazon EventBridge 规则,定义针对特定发现和见解采取的自动操作。
当您想要自动更新 AWS 安全查找结果格式 (ASFF) 中的查找字段时,自动化规则会很有用。例如,您可以使用自动化规则更新来自特定第三方集成的发现的严重性级别或工作流状态。使用自动化规则,无需手动更新该第三方产品中每个调查发现的严重性级别或工作流状态。
EventBridge 当你想在 Security Hub CSPM 之外就特定发现采取措施或将特定发现发送给第三方工具进行补救或进行额外调查时,规则会很有用。这些规则可用于触发支持的操作,例如调用 AWS Lambda 函数或将特定发现通知亚马逊简单通知服务 (Amazon SNS) Simple Notification Service 主题。
自动化规则在应用 EventBridge 规则之前生效。也就是说,在EventBridge 收到查找结果之前,会触发自动化规则并更新结果。 EventBridge 然后,规则适用于更新的调查结果。
在为安全控件设置自动化时,我们建议根据控件 ID 而不是标题或描述进行筛选。虽然 Security Hub CSPM 偶尔会更新控件标题和描述,但控制 IDs 保持不变。
**Topics**
+ [了解 Security Hub CSPM 中的自动化规则](automation-rules.md)
+ [EventBridge 用于自动响应和补救](securityhub-cloudwatch-events.md)
# 了解 Security Hub CSPM 中的自动化规则
您可以使用自动化规则自动更新 Security Hub CSP AWS M 中的搜索结果。提取调查发现时,Security Hub CSPM 可以应用各种规则操作,例如隐藏调查发现、更改其严重性以及添加注释。此类规则操作会修改符合您指定的条件的调查发现。
自动化规则用例的示例如下:
+ 如果调查发现的资源 ID 指的是业务关键型资源,则将调查发现的严重性提升为 `CRITICAL`。
+ 如果调查发现影响特定生产账户中的资源,则将调查发现的严重性从 `HIGH` 提升到 `CRITICAL`。
+ 分配具有 `SUPPRESSED` 工作流状态 `INFORMATIONAL` 严重性的特定调查发现。
您只能通过 Security Hub CSPM 管理员账户创建和管理自动化规则。
规则适用于新的和更新后的调查发现。您可以从头开始创建自定义规则,也可以使用 Security Hub CSPM 提供的规则模板。您也可以从模板开始创建规则,然后根据需要对其进行修改。
## 定义规则条件和规则操作
通过 Security Hub CSPM 管理员账户,您可以通过定义一个或多个规则*条件*以及一个或多个规则*操作*来创建自动化规则。当调查发现与定义的条件相匹配时,Security Hub CSPM 会对其应用规则操作。有关可用条件和操作的更多信息,请参阅 [可用的规则条件和规则操作](#automation-rules-criteria-actions)。
对于每个管理员账户,Security Hub CSPM 目前最多支持 100 条自动化规则。
Security Hub CSPM 管理员账户还可以编辑、查看和删除自动化规则。规则适用于管理员账户及其所有成员账户中的匹配调查发现。通过提供成员帐户 IDs 作为规则标准,Security Hub CSPM 管理员还可以使用自动化规则来更新或隐藏特定成员帐户中的搜索结果。
自动化规则仅适用于其创建时 AWS 区域 所在的。要在多个区域中应用规则,管理员必须在每个区域中创建规则。这可以通过 Security Hub CSPM 控制台、Security Hub CSPM API 或 [AWS CloudFormation](creating-resources-with-cloudformation.md) 完成。您也可以使用[多区域部署脚本](https://github.com/awslabs/aws-securityhub-multiaccount-scripts/blob/master/automation_rules)。
## 可用的规则条件和规则操作
目前支持以下 AWS 安全查找格式 (ASFF) 字段作为自动化规则的标准:
| 规则标准 | 筛选条件运算符 | 字段类型 |
| --- | --- | --- |
| AwsAccountId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字符串 |
| AwsAccountName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字符串 |
| CompanyName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字符串 |
| ComplianceAssociatedStandardsId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字符串 |
| ComplianceSecurityControlId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字符串 |
| ComplianceStatus | Is, Is Not | 选择:[FAILED、NOT\$1AVAILABLE、PASSED、WARNING] |
| Confidence | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | 数字 |
| CreatedAt | Start, End, DateRange | 日期(格式为 2022-12-01T21:47:39.269Z) |
| Criticality | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | 数字 |
| Description | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字符串 |
| FirstObservedAt | Start, End, DateRange | 日期(格式为 2022-12-01T21:47:39.269Z) |
| GeneratorId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字符串 |
| Id | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字符串 |
| LastObservedAt | Start, End, DateRange | 日期(格式为 2022-12-01T21:47:39.269Z) |
| NoteText | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字符串 |
| NoteUpdatedAt | Start, End, DateRange | 日期(格式为 2022-12-01T21:47:39.269Z) |
| NoteUpdatedBy | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字符串 |
| ProductArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字符串 |
| ProductName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字符串 |
| RecordState | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字符串 |
| RelatedFindingsId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字符串 |
| RelatedFindingsProductArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字符串 |
| ResourceApplicationArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字符串 |
| ResourceApplicationName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字符串 |
| ResourceDetailsOther | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Map |
| ResourceId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字符串 |
| ResourcePartition | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字符串 |
| ResourceRegion | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字符串 |
| ResourceTags | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Map |
| ResourceType | Is, Is Not | 选择(请参阅 ASFF 支持的[资源](https://docs.aws.amazon.com/securityhub/latest/userguide/asff-resources.html)) |
| SeverityLabel | Is, Is Not | 选择:[CRITICAL、HIGH、MEDIUM、LOW、INFORMATIONAL] |
| SourceUrl | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字符串 |
| Title | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字符串 |
| Type | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字符串 |
| UpdatedAt | Start, End, DateRange | 日期(格式为 2022-12-01T21:47:39.269Z) |
| UserDefinedFields | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Map |
| VerificationState | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字符串 |
| WorkflowStatus | Is, Is Not | 选择:[NEW、NOTIFIED、RESOLVED、SUPPRESSED] |
对于标记为字符串字段的条件,在同一字段上使用不同的筛选运算符会影响评估逻辑。有关更多信息,请参阅《AWS Security Hub CSPM API 参考》**中的 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html)。
每个标准都支持可用于筛选匹配调查发现的最大值数。有关每个标准的限制,请参阅《AWS Security Hub CSPM API 参考》**中的 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html)。
目前支持以下 ASFF 字段作为自动化规则的操作:
+ `Confidence`
+ `Criticality`
+ `Note`
+ `RelatedFindings`
+ `Severity`
+ `Types`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`
有关特定 ASFF 字段的更多信息,请参阅 [AWS 安全调查发现格式(ASFF)语法](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html)。
**提示**
如果您希望 Security Hub CSPM 停止为特定控件生成调查发现,我们建议您禁用该控件,而不是使用自动化规则。当您禁用某个控件时,Security Hub CSPM 会停止对其运行安全检查,并停止为其生成调查发现,因此您不会为该控件支付费用。对于符合定义条件的调查发现,我们建议使用自动化规则来更改特定 ASFF 字段的值。有关禁用控件的详细信息,请参阅 [在 Security Hub CSPM 中禁用控件](disable-controls-overview.md)。
## 自动化规则评估的调查发现
在您创建规则*后*,自动化规则会评估 Security Hub CSPM 通过 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html) 操作生成或提取的新调查发现和更新的调查发现。Security Hub CSPM 每 12 至 24 小时或在关联资源状态发生变化时更新控件调查发现。有关更多信息,请参阅 [有关运行安全检查的计划](securityhub-standards-schedule.md)。
自动化规则会评估提供者提供的原始调查发现。提供者可以使用 Security Hub CSPM API 的 `BatchImportFindings` 操作来提供新的调查发现并更新现有调查发现。如果原始调查发现中不存在以下字段,Security Hub CSPM 会自动填充这些字段,然后在自动化规则的评估中使用填充的值:
+ `AwsAccountName`
+ `CompanyName`
+ `ProductName`
+ `Resource.Tags`
+ `Workflow.Status`
创建了一个或多个自动化规则后,如果您使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html) 操作更新调查发现字段,则不会触发这些规则。如果您创建的自动化规则和进行的 `BatchUpdateFindings` 更新都会影响同一个调查发现字段,则上次更新会设置该字段的值。请参见以下示例:
1. 您可以使用 `BatchUpdateFindings` 操作将调查发现 `Workflow.Status` 字段的值从 `NEW` 更改为 `NOTIFIED`。
1. 如果您调用了 `GetFindings`,则 `Workflow.Status` 字段现在的值为 `NOTIFIED`。
1. 您创建了一条自动化规则,该规则会将调查发现的 `Workflow.Status` 字段从 `NEW` 更改为 `SUPPRESSED`。(请记住,规则会忽略使用 `BatchUpdateFindings` 操作所做的更新。)
1. 调查发现提供者使用 `BatchImportFindings` 操作来更新调查发现,并将调查发现 `Workflow.Status` 字段的值更改为 `NEW`。
1. 如果您调用了 `GetFindings`,则 `Workflow.Status` 字段现在的值为 `SUPPRESSED`。这是因为应用了自动化规则,而该规则是针对调查发现采取的最后一个操作。
在 Security Hub CSPM 控制台中创建或编辑规则时,控制台会显示与规则条件匹配的调查发现的测试版。虽然自动化规则会评估调查发现提供者发送的原始调查发现,但控制台测试版会反映最终状态的调查发现,就像它们在响应 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html) 操作时所显示的那样(即在对调查发现应用规则操作或其他更新之后)。
## 规则顺序的工作原理
创建自动化规则时,您可以为每条规则分配一个顺序。这决定了 Security Hub CSPM 应用您的自动化规则的顺序,当多个规则与同一个调查发现或调查发现字段相关时,这变得非常重要。
当多个规则操作与同一个调查发现或调查发现字段相关时,规则顺序数值最高的规则将应用于最后并产生最终效果。
在 Security Hub CSPM 控制台中创建规则时,Security Hub CSPM 会根据规则的创建顺序自动分配规则顺序。最近创建的规则具有最低的规则顺序数值,因此首先适用。Security Hub CSPM 按升序应用后续规则。
当你通过 Security Hub CSPM API 创建规则时 AWS CLI,Security Hub CSPM 会首先应用数值最低的规则。`RuleOrder`然后它按升序应用后续规则。如果多个调查发现具有相同的 `RuleOrder`,则 Security Hub CSPM 会先为 `UpdatedAt` 字段应用具有较早值的规则(也就是说,最近编辑的规则应用在最后)。
您可以随时修改规则顺序。
**规则顺序示例**:
**规则 A(规则顺序为 `1`)**:
+ 规则 A 条件
+ `ProductName` = `Security Hub CSPM`
+ `Resources.Type` 是 `S3 Bucket`
+ `Compliance.Status` = `FAILED`
+ `RecordState` 是 `NEW`
+ `Workflow.Status` = `ACTIVE`
+ 规则 A 操作
+ `Confidence` 更新为 `95`
+ `Severity` 更新为 `CRITICAL`
**规则 B(规则顺序为 `2`)**:
+ 规则 B 条件
+ `AwsAccountId` = `123456789012`
+ 规则 B 操作
+ `Severity` 更新为 `INFORMATIONAL`
规则 A 操作首先应用于符合规则 A 条件的 Security Hub CSPM 调查发现。接下来,规则 B 操作将应用于具有指定账户 ID 的 Security Hub CSPM 调查发现。在此示例中,由于规则 B 最后适用,因此调查发现中来自指定账户 ID 的 `Severity` 的最终值为 `INFORMATIONAL`。根据规则 A 操作,在匹配调查发现中 `Confidence` 的最终值为 `95`。
# 创建自动化规则
自动化规则可用于自动更新 Security Hub CSP AWS M 中的搜索结果。您可以从头开始创建自动化规则,也可以在 Security Hub CSPM 控制台中使用预先填充的规则模板。有关自动化规则的工作原理的背景信息,请参阅[了解 Security Hub CSPM 中的自动化规则](automation-rules.md)。
您一次只能创建一条自动化规则。要创建多个自动化规则,请多次遵循控制台过程,或者使用所需的参数多次调用 API 或命令。
您必须在您希望规则应用于调查发现的每个区域和账户中创建自动化规则。
当您在 Security Hub CSPM 控制台中创建自动化规则时,Security Hub CSPM 会显示您的规则所适用的调查发现测试版。如果您的规则条件包含 CONTAINS 或 NOT\$1CONTAINS 筛选条件,则当前不支持测试版。您可以为映射和字符串字段类型选择这些筛选条件。
**重要**
AWS 建议您不要在规则名称、描述或其他字段中包含个人身份、机密或敏感信息。
## 创建自定义自动化规则
选择您的首选方式,完成以下步骤以创建自定义自动化规则。
------
#### [ Console ]
**创建自定义自动化规则(控制台)**
1. 使用 Security Hub CSPM 管理员的凭据,打开 Sec AWS urity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. 在导航窗格中,选择 **自动化**。
1. 选择 **Create rule**(创建规则)。对于**规则类型**,选择**创建自定义规则**。
1. 在**规则**部分,为您的规则提供唯一的规则名称和描述。
1. 对于**条件**,使用**键**、**运算符**和**值**下拉菜单来指定您的规则条件。您必须至少指定一项规则标准。
如果您的选定条件支持,则控制台会显示符合您条件的调查发现测试版。
1. 对于**自动操作**,请使用下拉菜单,指定在调查发现符合规则条件时要更新的调查发现字段。您必须指定至少一个规则操作。
1. 对于**规则状态**,请选择在规则创建后将其设置为**启用**或是**禁用**。
1. (可选)展开**附加设置**部分。如果您希望此规则成为应用于符合规则条件调查发现的最后一条规则,请选择**忽略符合这些条件的调查发现后续规则**。
1. (可选)对于**标签**,请以键-值对的形式添加标签以帮助您轻松识别规则。
1. 选择 **Create rule**(创建规则)。
------
#### [ API ]
**创建自定义自动化规则(API)**
1. 从 Security Hub CSPM 管理员账户运行 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html)。此 API 使用特定的 Amazon 资源名称(ARN)创建规则。
1. 提供规则的名称和描述。
1. 如果您希望此规则成为应用于符合规则条件调查发现的最后一条规则,请将 `IsTerminal` 参数设置为 `true`。
1. 对于 `RuleOrder` 参数,请提供规则的顺序。Security Hub CSPM 首先对此参数应用数值较小的规则。
1. 对于 `RuleStatus` 参数,请指定是否希望 Security Hub CSPM 启用该规则,并在创建后开始将规则应用于调查发现。如果未指定值,则默认值为 `ENABLED`。值为 `DISABLED` 表示规则在创建后暂停。
1. 对于 `Criteria` 参数,请提供您希望 Security Hub CSPM 用来筛选调查发现的条件。规则操作将适用于符合条件的调查发现。有关支持的标准的列表,请参阅 [可用的规则条件和规则操作](automation-rules.md#automation-rules-criteria-actions)。
1. 对于 `Actions` 参数,请提供您希望 Security Hub CSPM 在调查发现与您定义的条件相匹配时采取的操作。有关受支持操作的列表,请参阅 [可用的规则条件和规则操作](automation-rules.md#automation-rules-criteria-actions)。
以下示例 AWS CLI 命令创建了一条自动化规则,用于更新工作流程状态和匹配结果的注释。此示例是针对 Linux、macOS 或 Unix 进行格式化的,它使用反斜杠(\$1)行继续符来提高可读性。
```
$ aws securityhub create-automation-rule \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "HIGH"
},
"Note": {
"Text": "Known issue that is a risk. Updated by automation rules",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--criteria '{
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--description "A sample rule" \
--no-is-terminal \
--rule-name "sample rule" \
--rule-order 1 \
--rule-status "ENABLED" \
--region us-east-1
```
------
## 使用模版创建自动化规则(仅限控制台)
规则模板反映了自动化规则的常见用例。目前,只有 Security Hub CSPM 控制台支持规则模板。完成以下步骤以在控制台中的模板创建自动化规则。
**使用模板创建自动化规则(控制台)**
1. 使用 Security Hub CSPM 管理员的凭据,打开 Sec AWS urity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. 在导航窗格中,选择 **自动化**。
1. 选择 **Create rule**(创建规则)。在**规则类型**中,选择**从模板创建规则**。
1. 从下拉菜单中选择规则模板。
1. (可选)如果您的用例有需要,请修改**规则**、**条件**和**自动操作**部分。您必须指定至少一个规则条件和一个规则操作。
如果您的选定条件支持,则控制台会显示符合您条件的调查发现测试版。
1. 对于**规则状态**,请选择在规则创建后将其设置为**启用**或是**禁用**。
1. (可选)展开**附加设置**部分。如果您希望此规则成为应用于符合规则条件调查发现的最后一条规则,请选择**忽略符合这些条件的调查发现后续规则**。
1. (可选)对于**标签**,请以键-值对的形式添加标签以帮助您轻松识别规则。
1. 选择 **Create rule**(创建规则)。
# 查看自动化规则
自动化规则可用于自动更新 Security Hub CSP AWS M 中的搜索结果。有关自动化规则的工作原理的背景信息,请参阅[了解 Security Hub CSPM 中的自动化规则](automation-rules.md)。
选择您的首选方法,然后按照步骤查看您的现有自动化规则和每条规则的详细信息。
要查看自动化规则改变您的调查发现的历史记录,请参阅 [在 Security Hub CSPM 中查看调查发现详细信息和历史记录](securityhub-findings-viewing.md)。
------
#### [ Console ]
**查看自动化规则(控制台)**
1. 使用 Security Hub CSPM 管理员的凭据,打开 Sec AWS urity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. 在导航窗格中,选择 **自动化**。
1. 选择规则名称。或者,选择一条规则。
1. 选择**操作**和**视图**。
------
#### [ API ]
**查看自动化规则(API)**
1. 要查看您的账户的自动化规则,请从 Security Hub CSPM 管理员账户运行 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html)。此 API 会返回规则 ARNs 和其他规则的元数据。此 API 不需要输入参数,但您可以选择提供 `MaxResults` 以限制结果数量和 `NextToken` 作为分页参数。`NextToken` 的初始值应为 `NULL`。
1. 有关其他规则详细信息,包括规则的条件和操作,请从 Security Hub CSPM 管理员账户运行 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html)。提供您想要详细了解的自动化规则。 ARNs
以下示例将检索指定自动化规则的详细信息。此示例是针对 Linux、macOS 或 Unix 进行格式化的,它使用反斜杠(\$1)行继续符来提高可读性。
```
$ aws securityhub batch-get-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222"]' \
--region us-east-1
```
------
# 编辑自动化规则
自动化规则可用于自动更新 Security Hub CSP AWS M 中的搜索结果。有关自动化规则的工作原理的背景信息,请参阅[了解 Security Hub CSPM 中的自动化规则](automation-rules.md)。
创建自动化规则后,委派的 Security Hub CSPM 管理员可以编辑该规则。当您编辑自动化规则时,更改将应用于规则编辑后 Security Hub CSPM 生成或提取的新增或更新后的调查发现。
选择您的首选方式,按照步骤编辑自动化规则的内容。您只需一个请求即可编辑一条或多条规则。有关编辑规则顺序的说明,请参阅 [编辑自动化规则顺序](edit-rule-order.md)。
------
#### [ Console ]
**编辑自动化规则(控制台)**
1. 使用 Security Hub CSPM 管理员的凭据,打开 Sec AWS urity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. 在导航窗格中,选择 **自动化**。
1. 选择您要编辑的规则。选择**操作**和**编辑**。
1. 根据需要更改规则,然后选择**保存更改**。
------
#### [ API ]
**编辑自动化规则(API)**
1. 从 Security Hub CSPM 管理员账户运行 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html)。
1. 对于 `RuleArn` 参数,请提供要编辑的规则的 ARN。
1. 为要编辑的参数提供新值。除 `RuleArn` 之外,您可以编辑任何参数。
以下示例将更新指定自动化规则。此示例是针对 Linux、macOS 或 Unix 进行格式化的,它使用反斜杠(\$1)行继续符来提高可读性。
```
$ aws securityhub batch-update-automation-rules \
--update-automation-rules-request-items '[
{
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Note": {
"Text": "Known issue that is a risk",
"UpdatedBy": "sechub-automation"
},
"Workflow": {
"Status": "NEW"
}
}
}],
"Criteria": {
"SeverityLabel": [{
"Value": "LOW",
"Comparison": "EQUALS"
}]
},
"RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"RuleOrder": 14,
"RuleStatus": "DISABLED",
}
]' \
--region us-east-1
```
------
# 编辑自动化规则顺序
自动化规则可用于自动更新 Security Hub CSP AWS M 中的搜索结果。有关自动化规则的工作原理的背景信息,请参阅[了解 Security Hub CSPM 中的自动化规则](automation-rules.md)。
创建自动化规则后,委派的 Security Hub CSPM 管理员可以编辑该规则。
如果您希望保持规则条件和操作不变,但要更改 Security Hub CSPM 应用自动化规则的顺序,可以编辑规则顺序。选择您喜欢的方法,然后按照步骤编辑规则顺序。
有关编辑自动化规则的条件或操作的说明,请参阅[编辑自动化规则](edit-automation-rules.md)。
------
#### [ Console ]
**编辑自动化规则顺序(控制台)**
1. 使用 Security Hub CSPM 管理员的凭据,打开 Sec AWS urity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. 在导航窗格中,选择 **自动化**。
1. 选择要更改其顺序的规则。选择**编辑优先级**。
1. 选择**向上移动**可将规则的优先级提高一个单位。选择**下移**可将规则优先级降低一个单位。选择**移至顶部**,将规则的顺序分配为 **1**(这使规则优先于其他现有规则)。
**注意**
在 Security Hub CSPM 控制台中创建规则时,Security Hub CSPM 会根据规则的创建顺序自动分配规则顺序。最近创建的规则具有最低的规则顺序数值,因此首先适用。
------
#### [ API ]
**编辑自动化规则顺序(API)**
1. 从 Security Hub CSPM 管理员账户使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html) 操作。
1. 对于 `RuleArn` 参数,请提供要编辑其顺序的规则的 ARN。
1. 修改 `RuleOrder` 字段的值。
**注意**
如果多个规则具有相同的 `RuleOrder`,Security Hub CSPM 会先为 `UpdatedAt` 字段应用具有较早值的规则(也就是说,最后应用最近编辑的规则)。
------
# 删除或禁用自动化规则
自动化规则可用于自动更新 Security Hub CSP AWS M 中的搜索结果。有关自动化规则的工作原理的背景信息,请参阅[了解 Security Hub CSPM 中的自动化规则](automation-rules.md)。
当您删除自动化规则时,Security Hub CSPM 会将其从您的账户中移除,并且不再将该规则应用于调查发现。除了删除之外,您还可以*禁用*规则。这会保留该规则以备将来使用,但是在您启用该规则之前,Security Hub CSPM 不会将该规则应用于任何匹配的调查发现。
选择您的首选方法,然后按照步骤删除自动化规则。您可以在单个请求中删除一个或多个规则。
------
#### [ Console ]
**删除或禁用自动化规则(控制台)**
1. 使用 Security Hub CSPM 管理员的凭据,打开 Sec AWS urity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. 在导航窗格中,选择 **自动化**。
1. 选择您要删除的规则。选择**操作**和**删除**(要保留规则,但暂时将其禁用,请选择**禁用**)。
1. 确认您的选择,然后选择**删除**。
------
#### [ API ]
**删除或禁用自动化规则(API)**
1. 从 Security Hub CSPM 管理员账户使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html) 操作。
1. 对于 `AutomationRulesArns` 参数,请提供要删除的规则的 ARN(要保留规则,但暂时将其禁用,请提供 `RuleStatus` 参数的 `DISABLED`)。
以下示例将删除指定自动化规则。此示例是针对 Linux、macOS 或 Unix 进行格式化的,它使用反斜杠(\$1)行继续符来提高可读性。
```
$ aws securityhub batch-delete-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]' \
--region us-east-1
```
------
# 自动化规则示例
本部分提供了常见 Security Hub CSPM 使用案例的自动化规则示例。这些示例对应于 Security Hub CSPM 控制台上提供的规则模板。
## 当特定资源(例如 S3 存储桶)面临风险时,将严重性提升为“严重”
在本示例中,当 `ResourceId` 在调查发现中的对象是特定的 Amazon Simple Storage Service(Amazon S3)存储桶时,匹配规则条件。规则操作是将匹配调查发现的严重性更改为 `CRITICAL`。您可以修改此模板以应用于其他资源。
**API 请求示例**:
```
{
"IsTerminal": true,
"RuleName": "Elevate severity of findings that relate to important resources",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk",
"Criteria": {
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**示例 CLI 命令:**
```
$
aws securityhub create-automation-rule \
--is-terminal \
--rule-name "Elevate severity of findings that relate to important resources" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
## 提高与生产账户中资源相关调查发现的严重性
在此示例中,当在特定的生产账户中生成 `HIGH` 严重级别的调查发现时,匹配规则条件。规则操作是将匹配调查发现的严重性更改为 `CRITICAL`。
**API 请求示例**:
```
{
"IsTerminal": false,
"RuleName": "Elevate severity for production accounts",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts",
"Criteria": {
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**示例 CLI 命令**:
```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Elevate severity of findings that relate to resources in production accounts" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
## 隐藏信息性调查发现
在此示例中,与从亚马逊发送到 Security Hub CSPM 的`INFORMATIONAL`严重性调查结果的规则标准相匹配。 GuardDuty规则操作是将匹配调查发现的工作流状态更改为 `SUPPRESSED`。
**API 请求示例**:
```
{
"IsTerminal": false,
"RuleName": "Suppress informational findings",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Suppress GuardDuty findings with INFORMATIONAL severity",
"Criteria": {
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**示例 CLI 命令**:
```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Suppress informational findings" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Suppress GuardDuty findings with INFORMATIONAL severity" \
--criteria '{
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
# EventBridge 用于自动响应和补救
通过在亚马逊中创建规则 EventBridge,您可以自动响应 Sec AWS urity Hub CSPM 的调查结果。Security Hub CSPM 近乎实时地将发现结果作为*事件*发送给。 EventBridge 您可以编写简单的规则来指示您对哪些事件感兴趣,以及当事件与规则匹配时要采取哪些自动操作。可自动触发的操作包括:
+ 调用函数 AWS Lambda
+ 调用 Amazon EC2 运行命令
+ 将事件中继到 Amazon Kinesis Data Streams
+ 激活 AWS Step Functions 状态机
+ 通知 Amazon SNS 主题或 Amazon SQS 队列
+ 将结果发送到第三方票证、聊天、SIEM 或事件响应和管理工具
Security Hub CSPM 会自动将所有新发现和现有发现的所有更新 EventBridge 作为 EventBridge 事件发送到。您还可以创建自定义操作,允许您将选定的调查结果和见解结果发送到 EventBridge。
然后,您可以配置 EventBridge 规则以响应每种类型的事件。
有关使用的更多信息 EventBridge,请参阅 [https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html)。
**注意**
作为最佳实践,请确保授予用户的访问权限 EventBridge 使用仅授予所需权限的最低权限 AWS Identity and Access Management (IAM) 策略。
有关更多信息,请参阅 [Amazon 中的身份和访问管理 EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/auth-and-access-control-eventbridge.html)。
AWS 解决方案中还提供了一组用于跨账户自动响应和补救的模板。这些模板利用了 EventBridge 事件规则和 Lambda 函数。您可以使用 CloudFormation 和部署解决方案 AWS Systems Manager。该解决方案可以创建完全自动化的响应和补救措施操作。它还可以使用 Security Hub CSPM 自定义操作来创建用户触发的响应和修复操作。有关如何配置和使用解决方案的详细信息,请参阅 AWS解决方案页面[上的自动安全响应](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/)。
**Topics**
+ [中的 Security Hub CSPM 事件类型 EventBridge](securityhub-cwe-integration-types.md)
+ [EventBridge Security Hub CSPM 的事件格式](securityhub-cwe-event-formats.md)
+ [为 Security Hub CSPM 发现配置 EventBridge 规则](securityhub-cwe-all-findings.md)
+ [使用自定义操作将调查结果和见解结果发送到 EventBridge](securityhub-cwe-custom-actions.md)
# 中的 Security Hub CSPM 事件类型 EventBridge
Security Hub CSPM 使用以下亚马逊 EventBridge 事件类型进行集成。 EventBridge
在 Security Hub CSPM 的 EventBridge 控制面板上,“**所有事件**” 包括所有这些事件类型。
## 所有调查发现(Security Hub Findings - Imported)
Security Hub CSPM 会自动将所有新发现和现有发现的所有更新 EventBridge 作为**Security Hub Findings - Imported**事件发送到。每个 **Security Hub Findings - Imported** 事件都包含一个调查发现。
每个 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) 和 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) 请求都会触发一个 **Security Hub Findings - Imported** 事件。
对于管理员账户,中的事件源 EventBridge 包括来自其账户和成员账户的调查结果的事件。
在聚合区域中,事件源包括来自聚合区域和关联区域的调查发现的事件。跨区域调查发现几乎实时地包含在事件源中。有关如何配置调查发现聚合的信息,请参阅 [了解 Security Hub CSPM 中的跨区域聚合](finding-aggregation.md)。
您可以在中定义规则 EventBridge ,自动将发现结果传送到修复工作流程、第三方工具[或其他支持的 EventBridge 目标](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html)。这些规则可以包括筛选条件,使仅在调查发现具有特定属性值时才应用规则。
您可以使用此方法自动将所有调查发现或具有特定特征的所有调查发现发送到响应或补救工作流。
请参阅[为 Security Hub CSPM 发现配置 EventBridge 规则](securityhub-cwe-all-findings.md)。
## 自定义操作的调查发现(Security Hub Findings - Custom Action)
Security Hub CSPM 还会将与自定义操作相关的结果 EventBridge 作为**Security Hub Findings - Custom Action**事件发送给事件。
这对于使用 Security Hub CSPM 控制台且想要将特定调查发现或一小组调查发现发送到响应或修复工作流的分析师非常有用。您可以每次为最多 20 个调查发现选择自定义操作。每个发现都 EventBridge 作为一个单独 EventBridge 的事件发送到。
创建自定义操作时,您可以为其分配一个自定义操作 ID。您可以使用此 ID 来创建 EventBridge 规则,该规则在收到与该自定义操作 ID 关联的发现后采取指定操作。
请参阅[使用自定义操作将调查结果和见解结果发送到 EventBridge](securityhub-cwe-custom-actions.md)。
例如,您可以在 Security Hub CSPM 中创建名为 `send_to_ticketing` 的自定义操作。然后在中 EventBridge,您创建一条规则,该规则在 EventBridge 收到包含`send_to_ticketing`自定义操作 ID 的调查结果时触发。该规则包括将调查发现发送到票证系统的逻辑。然后,您可以在 Security Hub CSPM 中选择调查发现,并在 Security Hub CSPM 中使用自定义操作将调查发现手动发送到票证系统。
有关如何将 Security Hub CSPM 调查结果发送给进一步处理的示例,请参阅 AWS 合作伙伴网络 (APN) 博客上的 “[如何将 Sec AWS urity Hub CSPM 自定义操作与 Security Hub CSPM 集成 PagerDuty](https://aws.amazon.com/blogs/apn/how-to-integrate-aws-security-hub-custom-actions-with-pagerduty/)[以及如何在 Sec AWS urity Hub CSPM 中启用自定义](https://aws.amazon.com/blogs/apn/how-to-enable-custom-actions-in-aws-security-hub/)操作”。 EventBridge
## 自定义操作的见解结果(Security Hub Insight Results)
您还可以使用自定义操作将一组见解结果 EventBridge 作为**Security Hub Insight Results**事件发送到。见解结果是与见解相匹配的资源。请注意,当您将洞察结果发送到时 EventBridge,您不会将调查结果发送给 EventBridge。您仅发送与见解结果关联的资源标识符。您每次最多可以发送 100 个资源标识符。
与查找结果的自定义操作类似,您首先要在 Security Hub CSPM 中创建自定义操作,然后在中创建规则。 EventBridge
请参阅[使用自定义操作将调查结果和见解结果发送到 EventBridge](securityhub-cwe-custom-actions.md)。
例如,假设您看到了一个您感兴趣的特定见解结果,想与同事分享。在这种情况下,您可以使用自定义操作通过聊天或票务系统将见解结果发送给同事。
# EventBridge Security Hub CSPM 的事件格式
**Security Hub Findings - Imported**、**Security Findings - Custom Action** 和 **Security Hub Insight Results** 事件类型使用以下事件格式。
事件格式是 Security Hub CSPM 向发送事件时使用的格式。 EventBridge
## Security Hub Findings - Imported
**Security Hub Findings - Imported**从 Security Hub CSPM 发送的事件 EventBridge 使用以下格式。
```
{
"version":"0",
"id":"CWE-event-id",
"detail-type":"Security Hub Findings - Imported",
"source":"aws.securityhub",
"account":"111122223333",
"time":"2019-04-11T21:52:17Z",
"region":"us-west-2",
"resources":[
"arn:aws:securityhub:us-west-2::product/aws/macie/arn:aws:macie:us-west-2:111122223333:integtest/trigger/6294d71b927c41cbab915159a8f326a3/alert/f2893b211841"
],
"detail":{
"findings": [{
}]
}
}
```
`` 是事件发送的调查发现的内容,采用 JSON 格式。每个事件都会发送一项调查发现。
有关调查发现属性的完整列表,请参阅 [AWS 安全调查结果格式 (ASFF)](securityhub-findings-format.md)。
有关如何配置由这些事件触发的 EventBridge 规则的信息,请参阅[为 Security Hub CSPM 发现配置 EventBridge 规则](securityhub-cwe-all-findings.md)。
## Security Hub Findings - Custom Action
**Security Hub Findings - Custom Action**从 Security Hub CSPM 发送的事件 EventBridge 使用以下格式。每项调查发现均在单独的事件中发送。
```
{
"version": "0",
"id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
"detail-type": "Security Hub Findings - Custom Action",
"source": "aws.securityhub",
"account": "111122223333",
"time": "2019-04-11T18:43:48Z",
"region": "us-west-1",
"resources": [
"arn:aws:securityhub:us-west-1:111122223333:action/custom/custom-action-name"
],
"detail": {
"actionName":"custom-action-name",
"actionDescription": "description of the action",
"findings": [
{
}
]
}
}
```
`` 是事件发送的调查发现的内容,采用 JSON 格式。每个事件都会发送一项调查发现。
有关调查发现属性的完整列表,请参阅 [AWS 安全调查结果格式 (ASFF)](securityhub-findings-format.md)。
有关如何配置由这些事件触发的 EventBridge 规则的信息,请参阅[使用自定义操作将调查结果和见解结果发送到 EventBridge](securityhub-cwe-custom-actions.md)。
## Security Hub Insight Results
**Security Hub Insight Results**从 Security Hub CSPM 发送的事件 EventBridge 使用以下格式。
```
{
"version": "0",
"id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
"detail-type": "Security Hub Insight Results",
"source": "aws.securityhub",
"account": "111122223333",
"time": "2017-12-22T18:43:48Z",
"region": "us-west-1",
"resources": [
"arn:aws:securityhub:us-west-1:111122223333::product/aws/macie:us-west-1:222233334444:test/trigger/1ec9cf700ef6be062b19584e0b7d84ec/alert/f2893b211841"
],
"detail": {
"actionName":"name of the action",
"actionDescription":"description of the action",
"insightArn":"ARN of the insight",
"insightName":"Name of the insight",
"resultType":"ResourceAwsIamAccessKeyUserName",
"number of results":"number of results, max of 100",
"insightResults": [
{"result 1": 5},
{"result 2": 6}
]
}
}
```
有关如何创建由这些事件触发的 EventBridge 规则的信息,请参阅[使用自定义操作将调查结果和见解结果发送到 EventBridge](securityhub-cwe-custom-actions.md)。
# 为 Security Hub CSPM 发现配置 EventBridge 规则
您可以在 Amazon 中创建规则 EventBridge ,定义在收到**Security Hub Findings - Imported**事件时要采取的操作。 **Security Hub Findings - Imported**事件由[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)和[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)操作的更新触发。
每条规则都包含一个事件模式,用于标识触发规则的事件。事件模式始终包含事件源(`aws.securityhub`)和事件类型(**Security Hub 调查发现 - 已导入**)。事件模式还可以指定筛选条件来识别规则适用的调查发现。
然后,该事件规则用于确定规则目标。目标是在 EventBridge 收到 Sec **urity Hub Findings-Imported 事件并且发现结果**与筛选器匹配时要采取的操作。
此处提供的说明使用 EventBridge 控制台。当您使用控制台时, EventBridge会自动创建所需的基于资源的策略, EventBridge 以允许写入 Amazon CloudWatch Logs。
您也可以使用 EventBridge API 的[https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html)操作。但是,如果您使用 EventBridge API,则必须创建基于资源的策略。有关所需策略的信息,请参阅 *Amazon EventBridge 用户指南*中的[CloudWatch 日志权限](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions)。
## 事件模式的格式
**Security Hub 调查发现 - 已导入**事件的事件模式格式如下:
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Imported"
],
"detail": {
"findings": {
}
}
}
```
+ `source` 将 Security Hub CSPM 标识为生成事件的服务。
+ `detail-type` 标识事件的类型。
+ `detail` 是可选的,它提供了事件模式的筛选条件值。如果事件模式不包含 `detail` 字段,则所有调查发现都会触发规则。
您可以根据任何调查发现属性筛选调查发现。您可以为每个属性提供一个或多个值的逗号分隔的数组。
```
"": [ "", ""]
```
如果您为一个属性提供多个值,则这些值将通过 `OR` 连接在一起。如果调查发现包含任何列出的值,则该调查发现与单个属性的筛选条件相匹配。例如,如果您同时提供 `INFORMATIONAL` 和 `LOW` 作为 `Severity.Label` 的值,则如果调查发现的严重性标签为 `INFORMATIONAL` 或 `LOW`,则调查发现将匹配。
属性的连接方式为 `AND`。如果调查发现与所有提供的属性的筛选条件相匹配,则该调查发现与之匹配。
提供属性值时,它必须反映该属性在 AWS 安全调查结果格式 (ASFF) 结构中的位置。
**提示**
筛选控件调查发现时,我们建议使用 `SecurityControlId` 或 `SecurityControlArn` [ASFF 字段](securityhub-findings-format.md)作为筛选条件,而不是 `Title` 或 `Description`。后面的字段偶尔会发生变化,而控件 ID 和 ARN 是静态标识符。
在以下示例中,事件模式为 `ProductArn` 和 `Severity.Label` 提供了筛选值,因此,如调查发现由 Amazon Inspector 生成,并且其严重性标签为 `INFORMATIONAL` 或 `LOW`,则调查发现与之匹配。
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Imported"
],
"detail": {
"findings": {
"ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"],
"Severity": {
"Label": ["INFORMATIONAL", "LOW"]
}
}
}
}
```
## 创建事件规则
您可以使用预定义的事件模式或自定义的事件模式在中创建规则 EventBridge。如果您选择预定义的图案,则 EventBridge 会自动填充`source`和`detail-type`。 EventBridge 还提供了用于为以下查找结果属性指定筛选值的字段:
+ `AwsAccountId`
+ `Compliance.Status`
+ `Criticality`
+ `ProductArn`
+ `RecordState`
+ `ResourceId`
+ `ResourceType`
+ `Severity.Label`
+ `Types`
+ `Workflow.Status`
**创建 EventBridge 规则(控制台)**
1. 打开 Amazon EventBridge 控制台,网址为[https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/)。
1. 使用以下值创建监控查找事件的 EventBridge 规则:
+ 对于**规则类型**,选择**具有事件模式的规则**。
+ 选择如何构建事件模式。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/securityhub-cwe-all-findings.html)
+ 对于**目标类型**,选择**AWS 服务**,在选择目标**中,选择目标**,例如 Amazon SNS 主题或 AWS Lambda 函数。在收到与规则中定义的事件模式匹配的事件时将触发目标。
有关创建规则的详细信息,请参阅《[亚马逊 EventBridge 用户指南 EventBridge》中的创建对事件做出反应](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html)*的 Amazon* 规则。
# 使用自定义操作将调查结果和见解结果发送到 EventBridge
要使用 Sec AWS urity Hub CSPM 自定义操作向亚马逊发送调查结果或洞察结果 EventBridge,请先在 Security Hub CSPM 中创建自定义操作。然后,您可以在中 EventBridge 定义适用于您的自定义操作的规则。
您最多可以创建 50 个自定义操作。
如果您启用跨区域聚合并在聚合区域中管理调查发现,则需要在聚合区域中创建自定义操作。
中的规则 EventBridge 使用自定义操作中的 Amazon 资源名称 (ARN)。
# 创建自定义操作
在 Sec AWS urity Hub CSPM 中创建自定义操作时,需要指定其名称、描述和唯一标识符。
自定义操作指定当 EventBridge 事件与 EventBridge 规则匹配时要采取的操作。Security Hub CSPM 将每项发现都 EventBridge 作为事件发送到。
选择您的首选方式,然后按照以下步骤创建自定义操作。
------
#### [ Console ]
**在 Security Hub CSPM 中创建自定义操作(控制台)**
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. 在导航窗格中,选择**设置**,然后选择**自定义操作**。
1. 选择**创建自定义操作**。
1. 为操作提供**名称**、**描述**和**自定义操作 ID**。
**名称**的长度必须少于 20 个字符。
每个 AWS 账户的**自定义操作 ID** 必须是唯一的。
1. 选择**创建自定义操作**。
1. 记下**自定义操作 ARN**。在 EventBridge 中创建与该操作关联的规则时,您需要使用 ARN。
------
#### [ API ]
**创建自定义操作(API)**
使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html) 操作。如果您使用的是 AWS CLI,请运行[create-action-target](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-action-target.html)命令。
以下示例会创建一个自定义操作,将调查发现发送到修复工具。此示例是针对 Linux、macOS 或 Unix 进行格式化的,它使用反斜杠(\$1)行继续符来提高可读性。
```
$ aws securityhub create-action-target --name "Send to remediation" --description "Action to send the finding for remediation tracking" --id "Remediation"
```
------
# 在中定义规则 EventBridge
要在 Amazon 中触发自定义操作 EventBridge,您必须在中创建相应的规则 EventBridge。规则定义包括自定义操作的 Amazon 资源名称(ARN)。
**Security Hub 调查发现 - 自定义操作**事件的事件模式采用以下格式:
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Custom Action"
],
"resources": [ "" ]
}
```
**Security Hub 见解结果**事件的事件模式采用以下格式:
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Insight Results"
],
"resources": [ "" ]
}
```
在这两种模式中,`` 都是自定义操作的 ARN。您可以配置适用于多个自定义操作的规则。
此处提供的说明适用于 EventBridge 控制台。使用控制台时, EventBridge 会自动创建所需的基于资源的策略, EventBridge 以允许写入 CloudWatch 日志。
您也可以使用 [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html)API 的 AP EventBridge I 操作。但是,如果您使用 EventBridge API,则必须创建基于资源的策略。有关所需策略的详细信息,请参阅 *Amazon EventBridge 用户指南*中的[CloudWatch 日志权限](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions)。
**在 EventBridge (EventBridge 控制台)中定义规则**
1. 打开 Amazon EventBridge 控制台,网址为[https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/)。
1. 在导航窗格中,选择**规则**。
1. 选择**创建规则**。
1. 为规则输入名称和描述。
1. 对于**事件总线**,请选择要与此规则关联的事件总线。如果您希望此规则对来自您自己的账户的匹配事件触发,请选择**默认**。当您账户中的某个 AWS 服务发出一个事件时,它始终会发送到您账户的默认事件总线。
1. 对于**规则类型**,选择**具有事件模式的规则**。
1. 选择**下一步**。
1. 对于**事件源**,选择 **AWS 事件**。
1. 对于**事件模式**,选择**事件模式表**。
1. 对于**事件源**,选择**AWS 服务**。
1. 要获得**AWS 服务**,请选择 **Security Hub**。
1. 对于**事件类型**,执行以下操作之一:
+ 要创建在将调查发现发送到自定义操作时要应用的规则,请选择 **Security Hub 调查发现 - 自定义操作**。
+ 要创建在向自定义操作发送见解结果时要应用的规则,请选择 **Security Hub 见解结果**。
1. 选择**特定自定义操作 ARNs**,添加自定义操作 ARN。
如果该规则适用于多个自定义操作,请选择 “**添加**” 以添加更多自定义操作 ARNs。
1. 选择**下一步**。
1. 在**选择目标**下,选择并配置匹配此规则时要调用的目标。
1. 选择**下一步**。
1. (可选)为规则输入一个或多个标签。有关更多信息,请参阅《[亚马逊* EventBridge 用户指南》中的亚马逊 EventBridge *标签](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html)。
1. 选择**下一步**。
1. 查看规则详细信息并选择**创建规则**。
当您对账户中的发现或洞察结果执行自定义操作时,将在中生成事件 EventBridge。
# 为调查发现和见解结果选择自定义操作
创建 Sec AWS urity Hub CSPM 自定义操作和 Amazon EventBridge 规则后,您可以将调查结果和见解结果发送到以 EventBridge 进行自动管理和处理。
EventBridge 只有在查看事件的账户中才会发送到事件。如果您使用管理员帐户查看调查结果,则该事件将 EventBridge 以管理员帐户发送到。
要 AWS 使 API 调用生效,目标代码的实现必须将角色切换到成员账户。这也意味着您切换到的角色必须部署到需要采取行动的每个成员。
**将调查结果发送到 EventBridge (控制台)**
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. 显示调查发现列表:
+ 在**调查发现**中,您可以查看所有已启用的产品集成和控件的调查发现。
+ 在**安全标准**中,您可以导航到通过特定控件生成的调查发现列表。有关更多信息,请参阅 [查看 Security Hub CSPM 中的控件的详细信息](securityhub-standards-control-details.md)。
+ 从**集成**中,您可以导航到已启用的集成生成的调查发现列表。有关更多信息,请参阅 [查看来自 Security Hub CSPM 集成的调查发现](securityhub-integration-view-findings.md)。
+ 从**见解**中,您可以导航到见解结果的调查发现列表。有关更多信息,请参阅 [查看 Security Hub CSPM 中的见解并对其采取行动](securityhub-insights-view-take-action.md)。
1. 选择要发送到的调查结果 EventBridge。您一次最多可选择 20 个调查发现。
1. 在**操作**中,选择与要应用的 EventBridge 规则一致的自定义操作。
Security Hub CSPM 会为每个调查发现单独发送一个 **Security Hub 调查发现 - 自定义操作**事件。
**将分析结果发送到 EventBridge (控制台)**
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. 在导航窗格中,选择 **Insights**。
1. 在 **Insights** 页面上,选择包含要发送到的结果的见解 EventBridge。
1. 选择要发送到的洞察结果 EventBridge。您一次最多可以选择 20 个结果。
1. 在**操作**中,选择与要应用的 EventBridge 规则一致的自定义操作。