本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 自動修改 Security Hub CSPM 中的調查結果並對其採取行動
AWS Security Hub CSPM 具有可根據您的規格自動修改問題清單並對其採取動作的功能。
Security Hub CSPM 目前支援兩種類型的自動化:
+ **自動化規則** – 根據您定義的條件,以近乎即時的方式自動更新和隱藏問題清單。
+ **自動化回應和修復** – 建立自訂 Amazon EventBridge 規則,以定義針對特定調查結果和洞見採取的自動動作。
當您想要自動更新 AWS 安全調查結果格式 (ASFF) 中的調查結果欄位時,自動化規則很有幫助。例如,您可以使用自動化規則來更新特定第三方整合問題清單的嚴重性等級或工作流程狀態。使用自動化規則不需要手動更新此第三方產品中每個調查結果的嚴重性等級或工作流程狀態。
當您想要在 Security Hub CSPM 之外對特定調查結果採取動作,或將特定調查結果傳送至第三方工具以進行修復或其他調查時,EventBridge 規則很有用。這些規則可用來觸發支援的動作,例如叫用 AWS Lambda 函數或將特定問題清單通知 Amazon Simple Notification Service (Amazon SNS) 主題。
自動化規則會在套用 EventBridge 規則之前生效。也就是說,自動化規則會在 EventBridge 收到問題清單之前觸發並更新問題清單。然後EventBridge 規則會套用至更新的調查結果。
為安全控制設定自動化時,我們建議根據控制 ID 進行篩選,而不是根據標題或描述進行篩選。雖然 Security Hub CSPM 偶爾會更新控制項標題和描述,但控制項 IDs保持不變。
**Topics**
+ [了解 Security Hub CSPM 中的自動化規則](automation-rules.md)
+ [使用 EventBridge 進行自動回應和修復](securityhub-cloudwatch-events.md)
# 了解 Security Hub CSPM 中的自動化規則
您可以使用自動化規則自動更新 AWS Security Hub CSPM 中的問題清單。擷取問題清單時,Security Hub CSPM 可以套用各種規則動作,例如隱藏問題清單、變更問題清單的嚴重性以及新增備註。這類規則動作會修改符合您指定條件的問題清單。
自動化規則的使用案例範例包括下列項目:
+ `CRITICAL` 如果問題清單的資源 ID 參考關鍵業務資源,請將問題清單的嚴重性提升為 。
+ `CRITICAL` 如果問題清單影響特定生產帳戶中的資源,請將問題清單的嚴重性從 提升`HIGH`為 。
+ 指派具有`INFORMATIONAL``SUPPRESSED`工作流程狀態嚴重性的特定問題清單。
您只能從 Security Hub CSPM 管理員帳戶建立和管理自動化規則。
規則同時適用於新的調查結果和更新的調查結果。您可以從頭開始建立自訂規則,或使用 Security Hub CSPM 提供的規則範本。您也可以從範本開始,並視需要修改。
## 定義規則條件和規則動作
從 Security Hub CSPM 管理員帳戶,您可以透過定義一或多個規則*條件*和一或多個規則*動作*來建立自動化規則。當問題清單符合定義的條件時,Security Hub CSPM 會將規則動作套用到其中。如需可用條件和動作的詳細資訊,請參閱 [可用的規則條件和規則動作](#automation-rules-criteria-actions)。
Security Hub CSPM 目前支援每個管理員帳戶最多 100 個自動化規則。
Security Hub CSPM 管理員帳戶也可以編輯、檢視和刪除自動化規則。規則適用於管理員帳戶及其所有成員帳戶中相符的問題清單。透過提供成員帳戶 IDs做為規則條件,Security Hub CSPM 管理員也可以使用自動化規則來更新或隱藏特定成員帳戶中的問題清單。
自動化規則僅適用於建立自動化規則 AWS 區域 的 。若要在多個區域中套用規則,管理員必須在每個區域中建立規則。這可以透過 Security Hub CSPM 主控台、Security Hub CSPM API 或 來完成[AWS CloudFormation](creating-resources-with-cloudformation.md)。您也可以使用[多區域部署指令碼](https://github.com/awslabs/aws-securityhub-multiaccount-scripts/blob/master/automation_rules)。
## 可用的規則條件和規則動作
目前支援下列 AWS 安全調查結果格式 (ASFF) 欄位做為自動化規則的條件:
| 規則條件 | 篩選條件運算子 | 欄位類型 |
| --- | --- | --- |
| AwsAccountId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| AwsAccountName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字串 |
| CompanyName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字串 |
| ComplianceAssociatedStandardsId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字串 |
| ComplianceSecurityControlId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ComplianceStatus | Is, Is Not | 選取:【FAILED、NOT\$1AVAILABLE、PASSED、WARNING】 |
| Confidence | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Number |
| CreatedAt | Start, End, DateRange | 日期 (格式為 2022-12-01T21:47:39.269Z) |
| Criticality | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Number |
| Description | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| FirstObservedAt | Start, End, DateRange | 日期 (格式為 2022-12-01T21:47:39.269Z) |
| GeneratorId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| Id | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| LastObservedAt | Start, End, DateRange | 日期 (格式為 2022-12-01T21:47:39.269Z) |
| NoteText | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| NoteUpdatedAt | Start, End, DateRange | 日期 (格式為 2022-12-01T21:47:39.269Z) |
| NoteUpdatedBy | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ProductArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字串 |
| ProductName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字串 |
| RecordState | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字串 |
| RelatedFindingsId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字串 |
| RelatedFindingsProductArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字串 |
| ResourceApplicationArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字串 |
| ResourceApplicationName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ResourceDetailsOther | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Map |
| ResourceId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ResourcePartition | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字串 |
| ResourceRegion | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ResourceTags | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Map |
| ResourceType | Is, Is Not | 選取 (請參閱 ASFF 支援[的資源](https://docs.aws.amazon.com/securityhub/latest/userguide/asff-resources.html)) |
| SeverityLabel | Is, Is Not | 選取:【CRITICAL、HIGH、MEDIUMLOW、、INFORMATIONAL】 |
| SourceUrl | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| Title | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字串 |
| Type | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| UpdatedAt | Start, End, DateRange | 日期 (格式為 2022-12-01T21:47:39.269Z) |
| UserDefinedFields | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Map |
| VerificationState | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| WorkflowStatus | Is, Is Not | 選取:【NEW、NOTIFIED、RESOLVED、SUPPRESSED】 |
對於標記為字串欄位的條件,在相同欄位上使用不同的篩選條件運算子會影響評估邏輯。如需詳細資訊,請參閱 *AWS Security Hub CSPM API 參考*[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html)中的 。
每個條件都支援可用於篩選相符問題清單的最大值。如需每個條件的限制,請參閱 *AWS Security Hub CSPM API 參考*[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html)中的 。
下列 ASFF 欄位目前支援做為自動化規則的動作:
+ `Confidence`
+ `Criticality`
+ `Note`
+ `RelatedFindings`
+ `Severity`
+ `Types`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`
如需特定 ASFF 欄位的詳細資訊,請參閱[AWS 安全調查結果格式 (ASFF) 語法](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html)。
**提示**
如果您希望 Security Hub CSPM 停止產生特定控制項的問題清單,建議您停用控制項,而不是使用自動化規則。當您停用控制項時,Security Hub CSPM 會停止對其執行安全檢查,並停止為其產生問題清單,因此您不需要為該控制項支付費用。我們建議您使用自動化規則,為符合定義條件的問題清單變更特定 ASFF 欄位的值。如需停用控制項的詳細資訊,請參閱 [在 Security Hub CSPM 中停用控制項](disable-controls-overview.md)。
## 自動化規則評估的問題清單
自動化規則會評估 Security Hub CSPM 在您建立規則*後*透過 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html)操作產生或擷取的新問題清單和更新的問題清單。Security Hub CSPM 每 12-24 小時或關聯資源變更狀態時更新控制問題清單。如需詳細資訊,請參閱[執行安全檢查的排程](securityhub-standards-schedule.md)。
自動化規則會評估原始供應商提供的調查結果。供應商可以使用 Security Hub CSPM API `BatchImportFindings`的操作,提供新的問題清單並更新現有的問題清單。如果原始調查結果中不存在下列欄位,Security Hub CSPM 會自動填入欄位,然後在自動化規則的評估中使用填入的值:
+ `AwsAccountName`
+ `CompanyName`
+ `ProductName`
+ `Resource.Tags`
+ `Workflow.Status`
建立一或多個自動化規則之後,如果您使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html)操作更新問題清單欄位,則不會觸發規則。如果您建立自動化規則並進行會影響相同調查結果欄位的`BatchUpdateFindings`更新,則上次更新會設定該欄位的值。採用下列範例:
1. 您可以使用 `BatchUpdateFindings`操作,將調查結果`Workflow.Status`欄位的值從 變更為 `NEW` `NOTIFIED`。
1. 如果您呼叫 `GetFindings`, `Workflow.Status` 欄位現在的值為 `NOTIFIED`。
1. 您可以建立自動化規則,將調查結果`Workflow.Status`的欄位從 變更為 `NEW` `SUPPRESSED`。(請記住,規則會忽略使用 `BatchUpdateFindings`操作所做的更新。)
1. 調查結果提供者使用 `BatchImportFindings`操作來更新調查結果,並將調查結果`Workflow.Status`欄位的值變更為 `NEW`。
1. 如果您呼叫 `GetFindings`, `Workflow.Status` 欄位現在的值為 `SUPPRESSED`。這是因為已套用自動化規則,且規則是對調查結果採取的最後一個動作。
當您在 Security Hub CSPM 主控台上建立或編輯規則時,主控台會顯示符合規則條件的調查結果測試版。雖然自動化規則會評估問題清單提供者傳送的原始問題清單,但主控台 Beta 版會反映問題清單的最終狀態,如同回應[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html)操作時所示 (也就是套用規則動作或其他更新至問題清單之後)。
## 規則順序的運作方式
建立自動化規則時,您會為每個規則指派一個順序。這將決定 Security Hub CSPM 套用自動化規則的順序,並在多個規則與相同的調查結果或調查結果欄位相關時變得重要。
當多個規則動作與相同的調查結果或調查結果欄位相關時,具有規則順序最高數值的規則會最後套用,並具有最終效果。
當您在 Security Hub CSPM 主控台中建立規則時,Security Hub CSPM 會根據規則建立的順序自動指派規則順序。最近建立的規則具有最低的規則順序數值,因此會先套用。Security Hub CSPM 會以遞增順序套用後續規則。
當您透過 Security Hub CSPM API 或 建立規則時 AWS CLI,Security Hub CSPM 會先套用具有最低數值的規則`RuleOrder`。然後,它會以遞增順序套用後續規則。如果多個問題清單具有相同的 `RuleOrder`,Security Hub CSPM 會先為 `UpdatedAt` 欄位套用具有較早值的規則 (也就是說,最近編輯的規則會套用最後)。
您可以隨時修改規則順序。
**規則順序範例**:
**規則 A (規則順序為 `1`)**:
+ 規則 A 條件
+ `ProductName` = `Security Hub CSPM`
+ `Resources.Type` 是 `S3 Bucket`
+ `Compliance.Status` = `FAILED`
+ `RecordState` 是 `NEW`
+ `Workflow.Status` = `ACTIVE`
+ 規則 A 動作
+ 更新`Confidence`至 `95`
+ 更新`Severity`至 `CRITICAL`
**規則 B (規則順序為 `2`)**:
+ 規則 B 條件
+ `AwsAccountId` = `123456789012`
+ 規則 B 動作
+ 更新`Severity`至 `INFORMATIONAL`
規則 動作會先套用至符合規則 A 條件的 Security Hub CSPM 調查結果。接下來,規則 B 動作適用於具有指定帳戶 ID 的 Security Hub CSPM 調查結果。在此範例中,由於規則 B 最後套用,因此來自指定帳戶 ID 之調查結果`Severity`中的 結束值為 `INFORMATIONAL`。根據規則 A 動作,相符調查結果`Confidence`中的 結束值為 `95`。
# 建立自動化規則
自動化規則可用來自動更新 AWS Security Hub CSPM 中的調查結果。您可以從頭開始建立自訂自動化規則,或在 Security Hub CSPM 主控台上使用預先填入的規則範本。如需自動化規則運作方式的背景資訊,請參閱 [了解 Security Hub CSPM 中的自動化規則](automation-rules.md)。
您一次只能建立一個自動化規則。若要建立多個自動化規則,請遵循主控台程序多次,或使用所需的參數多次呼叫 API 或命令。
您必須在您希望規則套用至問題清單的每個區域和帳戶中建立自動化規則。
當您在 Security Hub CSPM 主控台中建立自動化規則時,Security Hub CSPM 會顯示規則適用的調查結果測試版。如果您的規則條件包含 CONTAINS 或 NOT\$1CONTAINS 篩選條件,目前不支援 Beta。您可以針對映射和字串欄位類型選擇這些篩選條件。
**重要**
AWS 建議您不要在規則名稱、描述或其他欄位中包含個人識別、機密或敏感資訊。
## 建立自訂自動化規則
選擇您偏好的方法,並完成下列步驟以建立自訂自動化規則。
------
#### [ Console ]
**建立自訂自動化規則 (主控台)**
1. 使用 Security Hub CSPM 管理員的登入資料,開啟位於 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 的 AWS Security Hub CSPM 主控台。
1. 在導覽窗格中,選擇**自動化**。
1. 選擇**建立規則**。針對**規則類型**,選擇**建立自訂規則**。
1. 在**規則**區段中,提供規則的唯一規則名稱和描述。
1. 針對**條件**,請使用**金鑰**、**運算子**和**值**下拉式選單來指定您的規則條件。您必須指定至少一個規則條件。
如果所選條件支援 ,主控台會顯示符合您條件的調查結果測試版。
1. 對於**自動化動作**,使用下拉式選單指定當問題清單符合您的規則條件時要更新哪些問題清單欄位。您必須指定至少一個規則動作。
1. 針對**規則狀態**,選擇您希望規則在建立****之後**啟用或停用**。
1. (選用) 展開**其他設定**區段。如果您希望此規則是套用到**符合規則條件之調查結果的最後一個規則,請選取忽略符合這些條件之調查結果的後續**規則。
1. (選用) 對於**標籤**,將標籤新增為鍵/值對,以協助您輕鬆識別規則。
1. 選擇**建立規則**。
------
#### [ API ]
**建立自訂自動化規則 (API)**
1. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html) 從 Security Hub CSPM 管理員帳戶執行 。此 API 會建立具有特定 Amazon Resource Name (ARN) 的規則。
1. 提供規則的名稱和描述。
1. `true` 如果您希望此規則是套用至符合規則條件之問題清單的最後一個規則,請將 `IsTerminal` 參數設定為 。
1. 針對 `RuleOrder` 參數,提供規則的順序。Security Hub CSPM 會先套用此參數數值較低的規則。
1. 針對 `RuleStatus` 參數,指定您是否希望 Security Hub CSPM 在建立後啟用並開始將規則套用至問題清單。如未指定任何值,則預設值為 `ENABLED`。的值`DISABLED`表示規則會在建立後暫停。
1. 針對 `Criteria` 參數,提供您希望 Security Hub CSPM 用來篩選問題清單的條件。規則動作將套用至符合條件的問題清單。如需支援的條件清單,請參閱 [可用的規則條件和規則動作](automation-rules.md#automation-rules-criteria-actions)。
1. 針對 `Actions` 參數,提供您希望 Security Hub CSPM 在問題清單與您定義的條件相符時所採取的動作。如需支援的動作清單,請參閱 [可用的規則條件和規則動作](automation-rules.md#automation-rules-criteria-actions)。
下列範例 AWS CLI 命令會建立自動化規則,更新工作流程狀態和相符問題清單的備註。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\$1) 行接續字元來改善可讀性。
```
$ aws securityhub create-automation-rule \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "HIGH"
},
"Note": {
"Text": "Known issue that is a risk. Updated by automation rules",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--criteria '{
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--description "A sample rule" \
--no-is-terminal \
--rule-name "sample rule" \
--rule-order 1 \
--rule-status "ENABLED" \
--region us-east-1
```
------
## 從範本建立自動化規則 (僅限主控台)
規則範本反映自動化規則的常見使用案例。目前,只有 Security Hub CSPM 主控台支援規則範本。完成下列步驟,從 主控台中的範本建立自動化規則。
**從範本建立自動化規則 (主控台)**
1. 使用 Security Hub CSPM 管理員的登入資料,開啟位於 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 的 AWS Security Hub CSPM 主控台。
1. 在導覽窗格中,選擇**自動化**。
1. 選擇**建立規則**。針對**規則類型**,選擇**從範本建立規則**。
1. 從下拉式選單中選取規則範本。
1. (選用) 如果您的使用案例需要,請修改**規則**、**條件**和**自動化動作**區段。您必須指定至少一個規則條件和一個規則動作。
如果所選條件支援 ,主控台會顯示符合您條件的調查結果測試版。
1. 針對**規則狀態**,選擇您希望規則在建立****之後**啟用或停用**。
1. (選用) 展開**其他設定**區段。如果您希望此規則是套用到**符合規則條件之調查結果的最後一個規則,請選取忽略符合這些條件之調查結果的後續**規則。
1. (選用) 對於**標籤**,將標籤新增為鍵值對,以協助您輕鬆識別規則。
1. 選擇**建立規則**。
# 檢視自動化規則
自動化規則可用來自動更新 AWS Security Hub CSPM 中的調查結果。如需自動化規則運作方式的背景資訊,請參閱 [了解 Security Hub CSPM 中的自動化規則](automation-rules.md)。
選擇您偏好的方法,並依照步驟檢視現有的自動化規則和每個規則的詳細資訊。
若要檢視自動化規則如何變更問題清單的歷史記錄,請參閱 [在 Security Hub CSPM 中檢閱問題清單詳細資訊和歷史記錄](securityhub-findings-viewing.md)。
------
#### [ Console ]
**檢視自動化規則 (主控台)**
1. 使用 Security Hub CSPM 管理員的登入資料,開啟位於 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 的 AWS Security Hub CSPM 主控台。
1. 在導覽窗格中,選擇**自動化**。
1. 選擇規則名稱。或者,選取規則。
1. 選擇**動作**和**檢視**。
------
#### [ API ]
**檢視自動化規則 (API)**
1. 若要檢視帳戶的自動化規則,[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html)請從 Security Hub CSPM 管理員帳戶執行 。此 API 會傳回規則ARNs 和其他中繼資料。此 API 不需要輸入參數,但您可以選擇提供 `MaxResults`來限制結果數量,並以分頁參數`NextToken`的形式提供。的初始值`NextToken`應為 `NULL`。
1. 如需其他規則詳細資訊,包括規則的條件和動作,[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html)請從 Security Hub CSPM 管理員帳戶執行。提供您想要其詳細資訊之自動化規則的 ARNs。
下列範例會擷取指定自動化規則的詳細資訊。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\$1) 行接續字元來改善可讀性。
```
$ aws securityhub batch-get-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222"]' \
--region us-east-1
```
------
# 編輯自動化規則
自動化規則可用來自動更新 AWS Security Hub CSPM 中的調查結果。如需自動化規則運作方式的背景資訊,請參閱 [了解 Security Hub CSPM 中的自動化規則](automation-rules.md)。
建立自動化規則後,委派的 Security Hub CSPM 管理員可以編輯規則。當您編輯自動化規則時,變更會套用至 Security Hub CSPM 在規則編輯後產生或擷取的新問題清單和更新的問題清單。
選擇您偏好的方法,然後依照步驟編輯自動化規則的內容。您可以使用單一請求編輯一或多個規則。如需編輯規則順序的指示,請參閱 [編輯自動化規則順序](edit-rule-order.md)。
------
#### [ Console ]
**編輯自動化規則 (主控台)**
1. 使用 Security Hub CSPM 管理員的登入資料,開啟位於 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 的 AWS Security Hub CSPM 主控台。
1. 在導覽窗格中,選擇**自動化**。
1. 選取您要編輯的規則。選擇**動作**和**編輯**。
1. 視需要變更規則,然後選擇**儲存變更**。
------
#### [ API ]
**編輯自動化規則 (API)**
1. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html) 從 Security Hub CSPM 管理員帳戶執行 。
1. 針對 `RuleArn` 參數,提供您要編輯之規則的 ARN (ARN)。
1. 為您要編輯的參數提供新值。您可以編輯 以外的任何參數`RuleArn`。
下列 範例會更新指定的自動化規則。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\$1) 行接續字元來改善可讀性。
```
$ aws securityhub batch-update-automation-rules \
--update-automation-rules-request-items '[
{
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Note": {
"Text": "Known issue that is a risk",
"UpdatedBy": "sechub-automation"
},
"Workflow": {
"Status": "NEW"
}
}
}],
"Criteria": {
"SeverityLabel": [{
"Value": "LOW",
"Comparison": "EQUALS"
}]
},
"RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"RuleOrder": 14,
"RuleStatus": "DISABLED",
}
]' \
--region us-east-1
```
------
# 編輯自動化規則順序
自動化規則可用來自動更新 AWS Security Hub CSPM 中的調查結果。如需自動化規則運作方式的背景資訊,請參閱 [了解 Security Hub CSPM 中的自動化規則](automation-rules.md)。
建立自動化規則後,委派的 Security Hub CSPM 管理員可以編輯規則。
如果您想要保持規則條件和動作相同,但變更 Security Hub CSPM 套用自動化規則的順序,您可以只編輯規則順序。選擇您偏好的方法,然後依照步驟編輯規則順序。
如需編輯自動化規則的條件或動作的說明,請參閱 [編輯自動化規則](edit-automation-rules.md)。
------
#### [ Console ]
**編輯自動化規則順序 (主控台)**
1. 使用 Security Hub CSPM 管理員的登入資料,開啟位於 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 的 AWS Security Hub CSPM 主控台。
1. 在導覽窗格中,選擇**自動化**。
1. 選取您要變更其順序的規則。選擇**編輯優先順序**。
1. 選擇**向上移動**,將規則的優先順序增加一個單位。選擇**向下移動**,將規則優先順序降低一個單位。選擇**移至頂端**,將規則的順序指派為 **1** (這會讓規則優先於其他現有規則)。
**注意**
當您在 Security Hub CSPM 主控台中建立規則時,Security Hub CSPM 會根據規則建立的順序自動指派規則順序。最近建立的規則具有最低的規則順序數值,因此會先套用。
------
#### [ API ]
**編輯自動化規則順序 (API)**
1. 使用 Security Hub CSPM 管理員帳戶中的 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html)操作。
1. 針對 `RuleArn` 參數,提供您要編輯其順序之規則的 ARN (ARN)。
1. 修改 `RuleOrder` 欄位的值。
**注意**
如果多個規則具有相同的 `RuleOrder`,Security Hub CSPM 會先為 `UpdatedAt` 欄位套用具有較早值的規則 (也就是最近編輯的規則最後套用)。
------
# 刪除或停用自動化規則
自動化規則可用來自動更新 AWS Security Hub CSPM 中的調查結果。如需自動化規則運作方式的背景資訊,請參閱 [了解 Security Hub CSPM 中的自動化規則](automation-rules.md)。
當您刪除自動化規則時,Security Hub CSPM 會從您的帳戶中移除它,不再將規則套用至問題清單。除了刪除之外,您也可以*停用*規則。這將保留規則以供日後使用,但 Security Hub CSPM 不會將規則套用到任何相符的問題清單,直到您啟用為止。
選擇您偏好的方法,然後依照步驟刪除自動化規則。您可以在單一請求中刪除一或多個規則。
------
#### [ Console ]
**刪除或停用自動化規則 (主控台)**
1. 使用 Security Hub CSPM 管理員的登入資料,開啟位於 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 的 AWS Security Hub CSPM 主控台。
1. 在導覽窗格中,選擇**自動化**。
1. 選取您要刪除的規則 (多個)。選擇**動作**和**刪除** (若要保留規則,但暫時停用,請選擇**停用**)。
1. 確認您的選擇,然後選擇 **Delete** (刪除)。
------
#### [ API ]
**刪除或停用自動化規則 (API)**
1. 使用 Security Hub CSPM 管理員帳戶中的 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html)操作。
1. 對於 `AutomationRulesArns` 參數,請提供您要刪除之規則的 ARN (若要保留規則,但暫時停用它),`DISABLED`請為 `RuleStatus` 參數提供 )。
以下 範例會刪除指定的自動化規則。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\$1) 行接續字元來改善可讀性。
```
$ aws securityhub batch-delete-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]' \
--region us-east-1
```
------
# 自動化規則的範例
本節提供常見 Security Hub CSPM 使用案例的自動化規則範例。這些範例對應至 Security Hub CSPM 主控台上可用的規則範本。
## 當 S3 儲存貯體等特定資源面臨風險時,將嚴重性提升為「關鍵」
在此範例中,當調查結果`ResourceId`中的 是特定的 Amazon Simple Storage Service (Amazon S3) 儲存貯體時,規則條件會相符。規則動作是將相符問題清單的嚴重性變更為 `CRITICAL`。您可以修改此範本以套用至其他資源。
**範例 API 請求**:
```
{
"IsTerminal": true,
"RuleName": "Elevate severity of findings that relate to important resources",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk",
"Criteria": {
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**範例 CLI 命令:**
```
$
aws securityhub create-automation-rule \
--is-terminal \
--rule-name "Elevate severity of findings that relate to important resources" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
## 提高與生產帳戶中資源相關的問題清單嚴重性
在此範例中,當在特定生產帳戶中產生`HIGH`嚴重性調查結果時,規則條件會相符。規則動作是將相符問題清單的嚴重性變更為 `CRITICAL`。
**範例 API 請求**:
```
{
"IsTerminal": false,
"RuleName": "Elevate severity for production accounts",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts",
"Criteria": {
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**範例 CLI 命令**:
```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Elevate severity of findings that relate to resources in production accounts" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
## 隱藏資訊性問題清單
在此範例中,從 Amazon GuardDuty 傳送至 Security Hub CSPM 的`INFORMATIONAL`嚴重性調查結果符合規則條件。規則動作是將相符問題清單的工作流程狀態變更為 `SUPPRESSED`。
**範例 API 請求**:
```
{
"IsTerminal": false,
"RuleName": "Suppress informational findings",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Suppress GuardDuty findings with INFORMATIONAL severity",
"Criteria": {
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**CLI 命令範例**:
```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Suppress informational findings" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Suppress GuardDuty findings with INFORMATIONAL severity" \
--criteria '{
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
# 使用 EventBridge 進行自動回應和修復
透過在 Amazon EventBridge 中建立規則,您可以自動回應 AWS Security Hub CSPM 問題清單。Security Hub CSPM 會以近乎即時的方式將調查結果作為*事件*傳送至 EventBridge。您可以撰寫簡單的規則來指出您感興趣的事件,以及在事件符合規則時要採取哪些自動化動作。可以自動觸發的動作如下:
+ 叫用 AWS Lambda 函數
+ 叫用 Amazon EC2 執行命令
+ 將事件轉傳至 Amazon Kinesis Data Streams
+ 啟用 AWS Step Functions 狀態機器
+ 通知 Amazon SNS 主題或 Amazon SQS 佇列
+ 將問題清單傳送至第三方票證系統、聊天、SIEM 或事件反應及管理工具
Security Hub CSPM 會自動將所有新調查結果和現有調查結果的所有更新作為 EventBridge 事件傳送至 EventBridge。您也可以建立自訂動作,讓您將選取的調查結果和洞見結果傳送至 EventBridge。
然後,您可以設定 EventBridge 規則來回應每種類型的事件。
如需使用 EventBridge 的詳細資訊,請參閱《[https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html)》。
**注意**
根據最佳實務,請確定授予您使用者存取 EventBridge 的許可,使用僅授予必要許可的 least-privilege AWS Identity and Access Management (IAM) 政策。
如需詳細資訊,請參閱 [Amazon EventBridge 中的身分和存取管理](https://docs.aws.amazon.com/eventbridge/latest/userguide/auth-and-access-control-eventbridge.html)。
AWS 解決方案也提供一組跨帳戶自動回應和修復的範本。範本會利用 EventBridge 事件規則和 Lambda 函數。您可以使用 CloudFormation 和 部署解決方案 AWS Systems Manager。解決方案可以建立完全自動化的回應和修補動作。它也可以使用 Security Hub CSPM 自訂動作來建立使用者觸發的回應和修補動作。如需如何設定和使用解決方案的詳細資訊,請參閱解決方案[上的自動安全回應 AWS](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/)頁面。
**Topics**
+ [EventBridge 中的 Security Hub CSPM 事件類型](securityhub-cwe-integration-types.md)
+ [Security Hub CSPM 的 EventBridge 事件格式](securityhub-cwe-event-formats.md)
+ [為 Security Hub CSPM 調查結果設定 EventBridge 規則](securityhub-cwe-all-findings.md)
+ [使用自訂動作將問題清單和洞見結果傳送至 EventBridge](securityhub-cwe-custom-actions.md)
# EventBridge 中的 Security Hub CSPM 事件類型
Security Hub CSPM 使用以下 Amazon EventBridge 事件類型與 EventBridge 整合。
在 Security Hub CSPM 的 EventBridge 儀表板上,**所有事件**都包含所有這些事件類型。
## 所有問題清單 (Security Hub Findings - Imported)
Security Hub CSPM 會自動將所有新調查結果和現有調查結果的所有更新作為**Security Hub Findings - Imported**事件傳送至 EventBridge。每個**Security Hub Findings - Imported**事件都包含單一調查結果。
每個 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)和 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)請求都會觸發**Security Hub Findings - Imported**事件。
對於管理員帳戶,EventBridge 中的事件饋送包含來自其帳戶及其成員帳戶的問題清單事件。
在彙總區域中,事件饋送包含來自彙總區域和連結區域的問題清單事件。跨區域調查結果會近乎即時地包含在事件饋送中。如需如何設定問題清單彙總的資訊,請參閱 [了解 Security Hub CSPM 中的跨區域彙總](finding-aggregation.md)。
您可以在 EventBridge 中定義規則,自動將問題清單路由至修復工作流程、第三方工具[或其他支援的 EventBridge 目標](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html)。這些規則可以包含篩選條件,只有在問題清單具有特定屬性值時才會套用規則。
您可以使用此方法自動將所有問題清單或具有特定特性的所有問題清單傳送至回應或修復工作流程。
請參閱 [為 Security Hub CSPM 調查結果設定 EventBridge 規則](securityhub-cwe-all-findings.md)。
## 自訂動作問題清單 (Security Hub Findings - Custom Action)
Security Hub CSPM 也會將與自訂動作相關聯的調查結果作為**Security Hub Findings - Custom Action**事件傳送至 EventBridge。
這對於使用 Security Hub CSPM 主控台的分析師來說非常有用,他們想要將特定調查結果或一小組調查結果傳送到回應或修復工作流程。您一次最多可以為 20 個問題清單選取自訂動作。每個調查結果都會以個別的 EventBridge 事件的形式傳送至 EventBridge。
當您建立自訂動作時,您會為其指派自訂動作 ID。您可以使用此 ID 來建立 EventBridge 規則,該規則會在收到與該自訂動作 ID 相關聯的問題清單後採取指定的動作。
請參閱 [使用自訂動作將問題清單和洞見結果傳送至 EventBridge](securityhub-cwe-custom-actions.md)。
例如,您可以在 Security Hub CSPM 中建立名為 的自訂動作`send_to_ticketing`。然後在 EventBridge 中,建立當 EventBridge 收到包含`send_to_ticketing`自訂動作 ID 的問題清單時觸發的規則。規則包含了將問題清單傳送至您票證系統的邏輯。然後,您可以在 Security Hub CSPM 中選取問題清單,並使用 Security Hub CSPM 中的自訂動作,手動將問題清單傳送至您的票證系統。
如需如何將 Security Hub CSPM 調查結果傳送至 EventBridge 以進行進一步處理的範例,請參閱 AWS 合作夥伴網路 (APN) 部落格上的[如何將 AWS Security Hub CSPM 自訂動作與 PagerDuty 整合](https://aws.amazon.com/blogs/apn/how-to-integrate-aws-security-hub-custom-actions-with-pagerduty/)[,以及如何在 AWS Security Hub CSPM 中啟用自訂動作](https://aws.amazon.com/blogs/apn/how-to-enable-custom-actions-in-aws-security-hub/)。
## 自訂動作的洞見結果 (Security Hub Insight Results)
您也可以使用自訂動作,將洞察結果集以**Security Hub Insight Results**事件形式傳送至 EventBridge。Insight 結果是符合洞見的資源。請注意,當您將洞見結果傳送至 EventBridge 時,不會將調查結果傳送至 EventBridge。您只會傳送與洞見結果相關聯的資源識別符。您一次最多可以傳送 100 個資源識別符。
與問題清單的自訂動作類似,您會先在 Security Hub CSPM 中建立自訂動作,然後在 EventBridge 中建立規則。
請參閱 [使用自訂動作將問題清單和洞見結果傳送至 EventBridge](securityhub-cwe-custom-actions.md)。
例如,假設您看到想要與同事分享的特定感興趣的洞見結果。在這種情況下,您可以使用自訂動作,透過聊天或票證系統將該洞見結果傳送給同事。
# Security Hub CSPM 的 EventBridge 事件格式
**Security Hub Findings - Imported**、 **Security Findings - Custom Action**和 **Security Hub Insight Results**事件類型使用以下事件格式。
事件格式是 Security Hub CSPM 將事件傳送至 EventBridge 時所使用的格式。
## Security Hub Findings - Imported
**Security Hub Findings - Imported** 從 Security Hub CSPM 傳送至 EventBridge 的事件使用以下格式。
```
{
"version":"0",
"id":"CWE-event-id",
"detail-type":"Security Hub Findings - Imported",
"source":"aws.securityhub",
"account":"111122223333",
"time":"2019-04-11T21:52:17Z",
"region":"us-west-2",
"resources":[
"arn:aws:securityhub:us-west-2::product/aws/macie/arn:aws:macie:us-west-2:111122223333:integtest/trigger/6294d71b927c41cbab915159a8f326a3/alert/f2893b211841"
],
"detail":{
"findings": [{
}]
}
}
```
`` 是事件所傳送問題清單的內容,採用 JSON 格式。每個事件都會傳送單一問題清單。
如需問題清單屬性的完整清單,請參閱 [AWS 安全調查結果格式 (ASFF)](securityhub-findings-format.md)。
如需如何設定由這些事件觸發的 EventBridge 規則的詳細資訊,請參閱 [為 Security Hub CSPM 調查結果設定 EventBridge 規則](securityhub-cwe-all-findings.md)。
## Security Hub Findings - Custom Action
**Security Hub Findings - Custom Action** 從 Security Hub CSPM 傳送至 EventBridge 的事件使用以下格式。每個問題清單都會以個別的事件傳送。
```
{
"version": "0",
"id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
"detail-type": "Security Hub Findings - Custom Action",
"source": "aws.securityhub",
"account": "111122223333",
"time": "2019-04-11T18:43:48Z",
"region": "us-west-1",
"resources": [
"arn:aws:securityhub:us-west-1:111122223333:action/custom/custom-action-name"
],
"detail": {
"actionName":"custom-action-name",
"actionDescription": "description of the action",
"findings": [
{
}
]
}
}
```
`` 是事件所傳送問題清單的內容,採用 JSON 格式。每個事件都會傳送單一問題清單。
如需問題清單屬性的完整清單,請參閱 [AWS 安全調查結果格式 (ASFF)](securityhub-findings-format.md)。
如需如何設定由這些事件觸發的 EventBridge 規則的詳細資訊,請參閱 [使用自訂動作將問題清單和洞見結果傳送至 EventBridge](securityhub-cwe-custom-actions.md)。
## Security Hub Insight Results
**Security Hub Insight Results** 從 Security Hub CSPM 傳送至 EventBridge 的事件使用以下格式。
```
{
"version": "0",
"id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
"detail-type": "Security Hub Insight Results",
"source": "aws.securityhub",
"account": "111122223333",
"time": "2017-12-22T18:43:48Z",
"region": "us-west-1",
"resources": [
"arn:aws:securityhub:us-west-1:111122223333::product/aws/macie:us-west-1:222233334444:test/trigger/1ec9cf700ef6be062b19584e0b7d84ec/alert/f2893b211841"
],
"detail": {
"actionName":"name of the action",
"actionDescription":"description of the action",
"insightArn":"ARN of the insight",
"insightName":"Name of the insight",
"resultType":"ResourceAwsIamAccessKeyUserName",
"number of results":"number of results, max of 100",
"insightResults": [
{"result 1": 5},
{"result 2": 6}
]
}
}
```
如需如何建立由這些事件觸發的 EventBridge 規則的詳細資訊,請參閱 [使用自訂動作將問題清單和洞見結果傳送至 EventBridge](securityhub-cwe-custom-actions.md)。
# 為 Security Hub CSPM 調查結果設定 EventBridge 規則
您可以在 Amazon EventBridge 中建立規則,定義收到**Security Hub Findings - Imported**事件時要採取的動作。 **Security Hub Findings - Imported**事件是由 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)和 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)操作的更新所觸發。
每個規則都包含事件模式,可識別觸發規則的事件。事件模式一律包含事件來源 (`aws.securityhub`) 和事件類型 (**Security Hub 調查結果 - 匯入**)。事件模式也可以指定篩選條件,以識別規則套用的調查結果。
事件規則接著會識別規則目標。當 EventBridge 收到 **Security Hub 調查結果 - 匯入**的事件,且調查結果符合篩選條件時,目標為要採取的動作。
此處提供的指示使用 EventBridge 主控台。當您使用主控台時,EventBridge 會自動建立必要的資源型政策,讓 EventBridge 能夠寫入 Amazon CloudWatch Logs。
您也可以使用 EventBridge API [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html)的操作。不過,如果您使用 EventBridge API,則必須建立以資源為基礎的政策。如需必要政策的相關資訊,請參閱《*Amazon EventBridge 使用者指南*》中的 [CloudWatch Logs 許可](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions)。
## 事件模式的格式
**Security Hub 調查結果 - 匯入**事件的事件模式格式如下:
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Imported"
],
"detail": {
"findings": {
}
}
}
```
+ `source` 會將 Security Hub CSPM 識別為產生事件的服務。
+ `detail-type` 會識別事件的類型。
+ `detail` 是選用的,並提供事件模式的篩選條件值。如果事件模式不包含`detail`欄位,則所有調查結果都會觸發規則。
您可以根據任何問題清單屬性來篩選問題清單。對於每個屬性,您提供一或多個值的逗號分隔陣列。
```
"": [ "", ""]
```
如果您為屬性提供多個值,則這些值會由 聯結`OR`。如果問題清單具有任何列出的值,則問題清單會比對個別屬性的篩選條件。例如,如果您同時提供 `INFORMATIONAL`和 `LOW`作為 的值`Severity.Label`,則如果問題清單的嚴重性標籤為 `INFORMATIONAL`或 ,則問題清單會相符`LOW`。
屬性由 聯結`AND`。如果問題清單符合所有所提供屬性的篩選條件,則問題清單會相符。
當您提供屬性值時,它必須在 AWS 安全調查結果格式 (ASFF) 結構中反映該屬性的位置。
**提示**
篩選控制項調查結果時,建議您使用 `SecurityControlId`或 `SecurityControlArn` [ASFF 欄位](securityhub-findings-format.md)做為篩選條件,而非 `Title`或 `Description`。後者欄位可能會偶爾變更,而控制項 ID 和 ARN 是靜態識別符。
在下列範例中,事件模式提供 `ProductArn`和 的篩選條件值`Severity.Label`,因此如果問題清單是由 Amazon Inspector 產生且嚴重性標籤為 `INFORMATIONAL`或 ,則問題清單會相符`LOW`。
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Imported"
],
"detail": {
"findings": {
"ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"],
"Severity": {
"Label": ["INFORMATIONAL", "LOW"]
}
}
}
}
```
## 建立事件規則
您可以使用預先定義的事件模式或自訂事件模式,在 EventBridge 中建立規則。如果您選擇預先定義的模式,EventBridge 會自動填入 `source`和 `detail-type`。EventBridge 也提供欄位,以指定下列調查結果屬性的篩選條件值:
+ `AwsAccountId`
+ `Compliance.Status`
+ `Criticality`
+ `ProductArn`
+ `RecordState`
+ `ResourceId`
+ `ResourceType`
+ `Severity.Label`
+ `Types`
+ `Workflow.Status`
**建立 EventBridge 規則 (主控台)**
1. 前往 [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/) 開啟 Amazon EventBridge 主控台。
1. 使用下列值,建立 EventBridge 規則來監控調查結果事件:
+ 針對**規則類型**,選擇**具有事件模式的規則**。
+ 選擇如何建置事件模式。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/securityhub-cwe-all-findings.html)
+ 對於**目標類型**,請選擇**AWS 服務**,對於**選取目標**,選擇目標,例如 Amazon SNS 主題或 AWS Lambda 函數。當接收到符合規則中定義之事件模式的事件時,就會觸發目標。
如需建立規則的詳細資訊,請參閱《[Amazon EventBridge 使用者指南》中的建立對事件做出反應的](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) *Amazon EventBridge *規則。
# 使用自訂動作將問題清單和洞見結果傳送至 EventBridge
若要使用 AWS Security Hub CSPM 自訂動作將問題清單或洞見結果傳送至 Amazon EventBridge,您必須先在 Security Hub CSPM 中建立自訂動作。然後,您可以在 EventBridge 中定義套用至自訂動作的規則。
您最多可以建立 50 個自訂動作。
如果您啟用跨區域彙總,並從彙總區域管理調查結果,請在彙總區域中建立自訂動作。
EventBridge 中的規則使用自訂動作中的 Amazon Resource Name (ARN)。
# 建立自訂動作
當您在 AWS Security Hub CSPM 中建立自訂動作時,您可以指定其名稱、描述和唯一識別符。
自訂動作會指定 EventBridge 事件符合 EventBridge 規則時要採取的動作。Security Hub CSPM 會將每個問題清單做為事件傳送至 EventBridge。
選擇您偏好的方法,然後依照步驟建立自訂動作。
------
#### [ Console ]
**在 Security Hub CSPM 中建立自訂動作 (主控台)**
1. 在 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。
1. 在導覽窗格中,選擇 **Settings (設定)**,然後選擇 **Custom actions (自訂動作)**。
1. 選擇 **Create custom action (建立自訂動作)**。
1. 為動作提供 **Name (名稱)**、**Description (描述)** 和 **Custom action ID (自訂動作 ID)**。
**Name (名稱)** 必須小於 20 個字元。
每個 AWS 帳戶的**自訂動作 ID** 必須是唯一的。
1. 選擇 **Create custom action (建立自訂動作)**。
1. 記下 **Custom action ARN (自訂動作 ARN)**。在 EventBridge 中建立與此動作建立關聯的規則時,您需要使用 ARN。
------
#### [ API ]
**建立自訂動作 (API)**
使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html)操作。如果您使用的是 AWS CLI,請執行 [create-action-target](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-action-target.html) 命令。
下列範例會建立自訂動作,將問題清單傳送至修復工具。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\$1) 行接續字元來改善可讀性。
```
$ aws securityhub create-action-target --name "Send to remediation" --description "Action to send the finding for remediation tracking" --id "Remediation"
```
------
# 在 EventBridge 中定義規則
若要在 Amazon EventBridge 中觸發自訂動作,您必須在 EventBridge 中建立對應的規則。規則定義包含自訂動作的 Amazon Resource Name (ARN)。
**Security Hub 調查結果 - 自訂動作**事件的事件模式格式如下:
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Custom Action"
],
"resources": [ "" ]
}
```
**Security Hub Insight 結果**事件的事件模式格式如下:
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Insight Results"
],
"resources": [ "" ]
}
```
在這兩種模式中, ``都是自訂動作的 ARN。您可以設定套用至多個自訂動作的規則。
此處提供的指示適用於 EventBridge 主控台。當您使用主控台時,EventBridge 會自動建立必要的資源型政策,讓 EventBridge 能夠寫入 CloudWatch Logs。
您也可以使用 EventBridge [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html) API 的 API 操作。不過,如果您使用 EventBridge API,則必須建立以資源為基礎的政策。如需所需政策的詳細資訊,請參閱《*Amazon EventBridge 使用者指南*》中的 [CloudWatch Logs 許可](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions)。
**在 EventBridge (EventBridge 主控台) 中定義規則**
1. 前往 [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/) 開啟 Amazon EventBridge 主控台。
1. 在導覽窗格中,選擇**規則**。
1. 選擇**建立規則**。
1. 輸入規則的名稱和描述。
1. 針對**事件匯流排**,選擇要與此規則建立關聯的事件匯流排。如果您想要此規則匹配來自您的帳戶的事件,請選取**預設值**。當您帳戶中的 AWS 服務發出事件時,一律會前往您帳戶的預設事件匯流排。
1. 針對**規則類型**,選擇**具有事件模式的規則**。
1. 選擇**下一步**。
1. 在**事件來源**,選擇 **AWS 事件**。
1. 針對**事件模式**,選擇**事件模式表單**。
1. 在**事件來源**欄位中,選擇 **AWS 服務**。
1. 針對**AWS 服務**,選擇 **Security Hub**。
1. 針對 **Event type** (事件類型),執行下列其中一項操作:
+ 若要在將問題清單傳送到自訂動作時建立要套用的規則,請選擇 **Security Hub 問題清單 - 自訂動作**。
+ 若要在將洞見結果傳送到自訂動作時建立要套用的規則,請選擇 **Security Hub Insight 結果**。
1. 選擇**特定自訂動作 ARNs**,新增自訂動作 ARN。
如果規則適用於多個自訂動作,請選擇**新增**以新增更多自訂動作 ARNs。
1. 選擇**下一步**。
1. 在**選取目標**下,選擇並設定符合此規則時要叫用的目標。
1. 選擇**下一步**。
1. (選用) 為規則輸入一或多個標籤。如需詳細資訊,請參閱《Amazon EventBridge 使用者指南》**中的 [Amazon EventBridge 標籤](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html)。
1. 選擇**下一步**。
1. 檢閱規則的詳細資訊,然後選擇**建立規則**。
當您對帳戶中的問題清單或洞見結果執行自訂動作時,事件會在 EventBridge 中產生。
# 選取問題清單和洞見結果的自訂動作
建立 AWS Security Hub CSPM 自訂動作和 Amazon EventBridge 規則之後,您可以將問題清單和洞見結果傳送至 EventBridge 以進行自動管理和處理。
事件只會在檢視事件的帳戶中傳送至 EventBridge。如果您使用管理員帳戶檢視問題清單,事件會傳送至管理員帳戶中的 EventBridge。
若要讓 AWS API 呼叫有效,目標程式碼的實作必須將角色切換為成員帳戶。這也表示您切換到的角色必須部署到需要採取動作的每個成員。
**將問題清單傳送至 EventBridge (主控台)**
1. 開啟位於 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 的 AWS Security Hub CSPM 主控台。
1. 顯示問題清單:
+ 從**問題清單**,您可以檢視所有已啟用產品整合和控制項的問題清單。
+ 從**安全標準**中,您可以導覽至從特定控制項產生的問題清單。如需詳細資訊,請參閱[檢閱 Security Hub CSPM 中控制項的詳細資訊](securityhub-standards-control-details.md)。
+ 從**整合**中,您可以導覽至已啟用整合所產生的問題清單。如需詳細資訊,請參閱[從 Security Hub CSPM 整合檢視問題清單](securityhub-integration-view-findings.md)。
+ 在 **Insights** 中,您可以導覽至調查結果清單以取得洞見結果。如需詳細資訊,請參閱[在 Security Hub CSPM 中檢閱洞見並採取行動](securityhub-insights-view-take-action.md)。
1. 選取要傳送至 EventBridge 的調查結果。您一次最多可以選取 20 個問題清單。
1. 從**動作**中,選擇與要套用的 EventBridge 規則相符的自訂動作。
Security Hub CSPM 會為每個**問題清單傳送個別的 Security Hub 問題清單 - 自訂動作**事件。
**將洞見結果傳送至 EventBridge (主控台)**
1. 開啟位於 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 的 AWS Security Hub CSPM 主控台。
1. 在導覽窗格中,選擇 ** Insights**。
1. 在**洞**見頁面上,選擇包含要傳送至 EventBridge 之結果的洞見。
1. 選取要傳送至 EventBridge 的洞見結果。您一次最多可以選取 20 個結果。
1. 從**動作**中,選擇與要套用的 EventBridge 規則相符的自訂動作。