本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用自定义操作将调查结果和见解结果发送到 EventBridge
要使用 Sec AWS urity Hub CSPM 自定义操作向亚马逊发送调查结果或洞察结果 EventBridge,请先在 Security Hub CSPM 中创建自定义操作。然后,您可以在中 EventBridge 定义适用于您的自定义操作的规则。
您最多可以创建 50 个自定义操作。
如果您启用跨区域聚合并在聚合区域中管理调查发现,则需要在聚合区域中创建自定义操作。
中的规则 EventBridge 使用自定义操作中的 Amazon 资源名称 (ARN)。
# 创建自定义操作
在 Sec AWS urity Hub CSPM 中创建自定义操作时,需要指定其名称、描述和唯一标识符。
自定义操作指定当 EventBridge 事件与 EventBridge 规则匹配时要采取的操作。Security Hub CSPM 将每项发现都 EventBridge 作为事件发送到。
选择您的首选方式,然后按照以下步骤创建自定义操作。
------
#### [ Console ]
**在 Security Hub CSPM 中创建自定义操作(控制台)**
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. 在导航窗格中,选择**设置**,然后选择**自定义操作**。
1. 选择**创建自定义操作**。
1. 为操作提供**名称**、**描述**和**自定义操作 ID**。
**名称**的长度必须少于 20 个字符。
每个 AWS 账户的**自定义操作 ID** 必须是唯一的。
1. 选择**创建自定义操作**。
1. 记下**自定义操作 ARN**。在 EventBridge 中创建与该操作关联的规则时,您需要使用 ARN。
------
#### [ API ]
**创建自定义操作(API)**
使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html) 操作。如果您使用的是 AWS CLI,请运行[create-action-target](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-action-target.html)命令。
以下示例会创建一个自定义操作,将调查发现发送到修复工具。此示例是针对 Linux、macOS 或 Unix 进行格式化的,它使用反斜杠(\$1)行继续符来提高可读性。
```
$ aws securityhub create-action-target --name "Send to remediation" --description "Action to send the finding for remediation tracking" --id "Remediation"
```
------
# 在中定义规则 EventBridge
要在 Amazon 中触发自定义操作 EventBridge,您必须在中创建相应的规则 EventBridge。规则定义包括自定义操作的 Amazon 资源名称(ARN)。
**Security Hub 调查发现 - 自定义操作**事件的事件模式采用以下格式:
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Custom Action"
],
"resources": [ "" ]
}
```
**Security Hub 见解结果**事件的事件模式采用以下格式:
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Insight Results"
],
"resources": [ "" ]
}
```
在这两种模式中,`` 都是自定义操作的 ARN。您可以配置适用于多个自定义操作的规则。
此处提供的说明适用于 EventBridge 控制台。使用控制台时, EventBridge 会自动创建所需的基于资源的策略, EventBridge 以允许写入 CloudWatch 日志。
您也可以使用 [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html)API 的 AP EventBridge I 操作。但是,如果您使用 EventBridge API,则必须创建基于资源的策略。有关所需策略的详细信息,请参阅 *Amazon EventBridge 用户指南*中的[CloudWatch 日志权限](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions)。
**在 EventBridge (EventBridge 控制台)中定义规则**
1. 打开 Amazon EventBridge 控制台,网址为[https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/)。
1. 在导航窗格中,选择**规则**。
1. 选择**创建规则**。
1. 为规则输入名称和描述。
1. 对于**事件总线**,请选择要与此规则关联的事件总线。如果您希望此规则对来自您自己的账户的匹配事件触发,请选择**默认**。当您账户中的某个 AWS 服务发出一个事件时,它始终会发送到您账户的默认事件总线。
1. 对于**规则类型**,选择**具有事件模式的规则**。
1. 选择**下一步**。
1. 对于**事件源**,选择 **AWS 事件**。
1. 对于**事件模式**,选择**事件模式表**。
1. 对于**事件源**,选择**AWS 服务**。
1. 要获得**AWS 服务**,请选择 **Security Hub**。
1. 对于**事件类型**,执行以下操作之一:
+ 要创建在将调查发现发送到自定义操作时要应用的规则,请选择 **Security Hub 调查发现 - 自定义操作**。
+ 要创建在向自定义操作发送见解结果时要应用的规则,请选择 **Security Hub 见解结果**。
1. 选择**特定自定义操作 ARNs**,添加自定义操作 ARN。
如果该规则适用于多个自定义操作,请选择 “**添加**” 以添加更多自定义操作 ARNs。
1. 选择**下一步**。
1. 在**选择目标**下,选择并配置匹配此规则时要调用的目标。
1. 选择**下一步**。
1. (可选)为规则输入一个或多个标签。有关更多信息,请参阅《[亚马逊* EventBridge 用户指南》中的亚马逊 EventBridge *标签](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html)。
1. 选择**下一步**。
1. 查看规则详细信息并选择**创建规则**。
当您对账户中的发现或洞察结果执行自定义操作时,将在中生成事件 EventBridge。
# 为调查发现和见解结果选择自定义操作
创建 Sec AWS urity Hub CSPM 自定义操作和 Amazon EventBridge 规则后,您可以将调查结果和见解结果发送到以 EventBridge 进行自动管理和处理。
EventBridge 只有在查看事件的账户中才会发送到事件。如果您使用管理员帐户查看调查结果,则该事件将 EventBridge 以管理员帐户发送到。
要 AWS 使 API 调用生效,目标代码的实现必须将角色切换到成员账户。这也意味着您切换到的角色必须部署到需要采取行动的每个成员。
**将调查结果发送到 EventBridge (控制台)**
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. 显示调查发现列表:
+ 在**调查发现**中,您可以查看所有已启用的产品集成和控件的调查发现。
+ 在**安全标准**中,您可以导航到通过特定控件生成的调查发现列表。有关更多信息,请参阅 [查看 Security Hub CSPM 中的控件的详细信息](securityhub-standards-control-details.md)。
+ 从**集成**中,您可以导航到已启用的集成生成的调查发现列表。有关更多信息,请参阅 [查看来自 Security Hub CSPM 集成的调查发现](securityhub-integration-view-findings.md)。
+ 从**见解**中,您可以导航到见解结果的调查发现列表。有关更多信息,请参阅 [查看 Security Hub CSPM 中的见解并对其采取行动](securityhub-insights-view-take-action.md)。
1. 选择要发送到的调查结果 EventBridge。您一次最多可选择 20 个调查发现。
1. 在**操作**中,选择与要应用的 EventBridge 规则一致的自定义操作。
Security Hub CSPM 会为每个调查发现单独发送一个 **Security Hub 调查发现 - 自定义操作**事件。
**将分析结果发送到 EventBridge (控制台)**
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. 在导航窗格中,选择 **Insights**。
1. 在 **Insights** 页面上,选择包含要发送到的结果的见解 EventBridge。
1. 选择要发送到的洞察结果 EventBridge。您一次最多可以选择 20 个结果。
1. 在**操作**中,选择与要应用的 EventBridge 规则一致的自定义操作。