本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用自訂動作將問題清單和洞見結果傳送至 EventBridge
<a name="securityhub-cwe-custom-actions"></a>

若要使用 AWS Security Hub CSPM 自訂動作將問題清單或洞見結果傳送至 Amazon EventBridge，您必須先在 Security Hub CSPM 中建立自訂動作。然後，您可以在 EventBridge 中定義套用至自訂動作的規則。

您最多可以建立 50 個自訂動作。

如果您啟用跨區域彙總，並從彙總區域管理調查結果，請在彙總區域中建立自訂動作。

EventBridge 中的規則使用自訂動作中的 Amazon Resource Name (ARN)。

# 建立自訂動作
<a name="securityhub-cwe-configure"></a>

當您在 AWS Security Hub CSPM 中建立自訂動作時，您可以指定其名稱、描述和唯一識別符。

自訂動作會指定 EventBridge 事件符合 EventBridge 規則時要採取的動作。Security Hub CSPM 會將每個問題清單做為事件傳送至 EventBridge。

選擇您偏好的方法，然後依照步驟建立自訂動作。

------
#### [ Console ]

**在 Security Hub CSPM 中建立自訂動作 （主控台）**

1. 在 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。

1. 在導覽窗格中，選擇 **Settings (設定)**，然後選擇 **Custom actions (自訂動作)**。

1. 選擇 **Create custom action (建立自訂動作)**。

1. 為動作提供 **Name (名稱)**、**Description (描述)** 和 **Custom action ID (自訂動作 ID)**。

   **Name (名稱)** 必須小於 20 個字元。

   每個 AWS 帳戶的**自訂動作 ID** 必須是唯一的。

1. 選擇 **Create custom action (建立自訂動作)**。

1. 記下 **Custom action ARN (自訂動作 ARN)**。在 EventBridge 中建立與此動作建立關聯的規則時，您需要使用 ARN。

------
#### [ API ]

**建立自訂動作 (API)**

使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html)操作。如果您使用的是 AWS CLI，請執行 [create-action-target](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-action-target.html) 命令。

下列範例會建立自訂動作，將問題清單傳送至修復工具。此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\$1) 行接續字元來改善可讀性。

```
$ aws securityhub create-action-target --name "Send to remediation" --description "Action to send the finding for remediation tracking" --id "Remediation"
```

------

# 在 EventBridge 中定義規則
<a name="securityhub-cwe-define-rule"></a>

若要在 Amazon EventBridge 中觸發自訂動作，您必須在 EventBridge 中建立對應的規則。規則定義包含自訂動作的 Amazon Resource Name (ARN)。

**Security Hub 調查結果 - 自訂動作**事件的事件模式格式如下：

```
{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Findings - Custom Action"
  ],
  "resources": [ "<custom action ARN>" ]
}
```

**Security Hub Insight 結果**事件的事件模式格式如下：

```
{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Insight Results"
  ],
  "resources": [ "<custom action ARN>" ]
}
```

在這兩種模式中， `<custom action ARN>`都是自訂動作的 ARN。您可以設定套用至多個自訂動作的規則。

此處提供的指示適用於 EventBridge 主控台。當您使用主控台時，EventBridge 會自動建立必要的資源型政策，讓 EventBridge 能夠寫入 CloudWatch Logs。

您也可以使用 EventBridge [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html) API 的 API 操作。不過，如果您使用 EventBridge API，則必須建立以資源為基礎的政策。如需所需政策的詳細資訊，請參閱《*Amazon EventBridge 使用者指南*》中的 [CloudWatch Logs 許可](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions)。

**在 EventBridge (EventBridge 主控台） 中定義規則**

1. 前往 [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/) 開啟 Amazon EventBridge 主控台。

1. 在導覽窗格中，選擇**規則**。

1. 選擇**建立規則**。

1. 輸入規則的名稱和描述。

1. 針對**事件匯流排**，選擇要與此規則建立關聯的事件匯流排。如果您想要此規則匹配來自您的帳戶的事件，請選取**預設值**。當您帳戶中的 AWS 服務發出事件時，一律會前往您帳戶的預設事件匯流排。

1. 針對**規則類型**，選擇**具有事件模式的規則**。

1. 選擇**下一步**。

1. 在**事件來源**，選擇 **AWS 事件**。

1. 針對**事件模式**，選擇**事件模式表單**。

1. 在**事件來源**欄位中，選擇 **AWS 服務**。

1. 針對**AWS 服務**，選擇 **Security Hub**。

1. 針對 **Event type** (事件類型)，執行下列其中一項操作：
   + 若要在將問題清單傳送到自訂動作時建立要套用的規則，請選擇 **Security Hub 問題清單 - 自訂動作**。
   + 若要在將洞見結果傳送到自訂動作時建立要套用的規則，請選擇 **Security Hub Insight 結果**。

1. 選擇**特定自訂動作 ARNs**，新增自訂動作 ARN。

   如果規則適用於多個自訂動作，請選擇**新增**以新增更多自訂動作 ARNs。

1. 選擇**下一步**。

1. 在**選取目標**下，選擇並設定符合此規則時要叫用的目標。

1. 選擇**下一步**。

1. (選用) 為規則輸入一或多個標籤。如需詳細資訊，請參閱《Amazon EventBridge 使用者指南》**中的 [Amazon EventBridge 標籤](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html)。

1. 選擇**下一步**。

1. 檢閱規則的詳細資訊，然後選擇**建立規則**。

   當您對帳戶中的問題清單或洞見結果執行自訂動作時，事件會在 EventBridge 中產生。

# 選取問題清單和洞見結果的自訂動作
<a name="securityhub-cwe-send"></a>

建立 AWS Security Hub CSPM 自訂動作和 Amazon EventBridge 規則之後，您可以將問題清單和洞見結果傳送至 EventBridge 以進行自動管理和處理。

事件只會在檢視事件的帳戶中傳送至 EventBridge。如果您使用管理員帳戶檢視問題清單，事件會傳送至管理員帳戶中的 EventBridge。

若要讓 AWS API 呼叫有效，目標程式碼的實作必須將角色切換為成員帳戶。這也表示您切換到的角色必須部署到需要採取動作的每個成員。

**將問題清單傳送至 EventBridge （主控台）**

1. 開啟位於 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 的 AWS Security Hub CSPM 主控台。

1. 顯示問題清單：
   + 從**問題清單**，您可以檢視所有已啟用產品整合和控制項的問題清單。
   + 從**安全標準**中，您可以導覽至從特定控制項產生的問題清單。如需詳細資訊，請參閱[檢閱 Security Hub CSPM 中控制項的詳細資訊](securityhub-standards-control-details.md)。
   + 從**整合**中，您可以導覽至已啟用整合所產生的問題清單。如需詳細資訊，請參閱[從 Security Hub CSPM 整合檢視問題清單](securityhub-integration-view-findings.md)。
   + 在 **Insights** 中，您可以導覽至調查結果清單以取得洞見結果。如需詳細資訊，請參閱[在 Security Hub CSPM 中檢閱洞見並採取行動](securityhub-insights-view-take-action.md)。

1. 選取要傳送至 EventBridge 的調查結果。您一次最多可以選取 20 個問題清單。

1. 從**動作**中，選擇與要套用的 EventBridge 規則相符的自訂動作。

   Security Hub CSPM 會為每個**問題清單傳送個別的 Security Hub 問題清單 - 自訂動作**事件。

**將洞見結果傳送至 EventBridge （主控台）**

1. 開啟位於 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 的 AWS Security Hub CSPM 主控台。

1. 在導覽窗格中，選擇 ** Insights**。

1. 在**洞**見頁面上，選擇包含要傳送至 EventBridge 之結果的洞見。

1. 選取要傳送至 EventBridge 的洞見結果。您一次最多可以選取 20 個結果。

1. 從**動作**中，選擇與要套用的 EventBridge 規則相符的自訂動作。