Security Hub CSPM-Ereignistypen in EventBridge - AWS Security Hub
Alle Funde (Security Hub Findings - Imported)Funde für benutzerdefinierte Aktionen (Security Hub Findings - Custom Action)Insight-Ergebnisse für benutzerdefinierte Aktionen (Security Hub Insight Results)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Security Hub CSPM-Ereignistypen in EventBridge

Security Hub CSPM verwendet die folgenden EventBridge Amazon-Ereignistypen für die Integration. EventBridge

Auf dem EventBridge Dashboard für Security Hub CSPM umfasst Alle Ereignisse all diese Ereignistypen.

Alle Funde (Security Hub Findings - Imported)

Security Hub CSPM sendet automatisch alle neuen Erkenntnisse und alle Aktualisierungen vorhandener Ergebnisse EventBridge als Security Hub Findings - ImportedEreignisse an. Jedes Security Hub Findings - ImportedEreignis enthält ein einzelnes Ergebnis.

Jede BatchImportFindingsBatchUpdateFindingsAND-Anfrage löst ein Security Hub Findings - ImportedEreignis aus.

Bei Administratorkonten EventBridge enthält der Event-Feed Ereignisse für Ergebnisse sowohl aus ihrem Konto als auch aus ihren Mitgliedskonten.

In einer Aggregationsregion enthält der Event-Feed Ereignisse für Ergebnisse aus der Aggregationsregion und den verknüpften Regionen. Regionsübergreifende Ergebnisse werden nahezu in Echtzeit in den Event-Feed aufgenommen. Informationen zur Konfiguration der Suchaggregation finden Sie unter. Grundlegendes zur regionsübergreifenden Aggregation in Security Hub CSPM

Sie können Regeln definieren EventBridge , die Ergebnisse automatisch an einen Korrektur-Workflow, ein Drittanbieter-Tool oder ein anderes unterstütztes EventBridge Ziel weiterleiten. Die Regeln können Filter enthalten, die die Regel nur anwenden, wenn das Ergebnis bestimmte Attributwerte hat.

Sie verwenden diese Methode, um automatisch alle Ergebnisse oder alle Ergebnisse, die bestimmte Merkmale aufweisen, an einen Reaktions- oder Behebungsworkflow zu senden.

Siehe Konfiguration einer EventBridge Regel für Security Hub CSPM-Ergebnisse.

Funde für benutzerdefinierte Aktionen (Security Hub Findings - Custom Action)

Security Hub CSPM sendet auch Ergebnisse, die mit benutzerdefinierten Aktionen verknüpft sind, EventBridge als Security Hub Findings - Custom ActionEreignisse an.

Dies ist nützlich für Analysten, die mit der Security Hub CSPM-Konsole arbeiten und ein bestimmtes Ergebnis oder eine kleine Gruppe von Ergebnissen an einen Reaktions- oder Behebungsworkflow senden möchten. Sie können eine benutzerdefinierte Aktion für bis zu 20 Funde gleichzeitig auswählen. Jedes Ergebnis wird EventBridge als separates Ereignis gesendet. EventBridge

Wenn Sie eine benutzerdefinierte Aktion erstellen, weisen Sie ihr eine benutzerdefinierte Aktions-ID zu. Sie können diese ID verwenden, um eine EventBridge Regel zu erstellen, die eine bestimmte Aktion ausführt, nachdem sie ein Ergebnis erhalten hat, das mit dieser benutzerdefinierten Aktions-ID verknüpft ist.

Siehe Verwenden von benutzerdefinierten Aktionen zum Senden von Ergebnissen und Erkenntnisergebnissen an EventBridge.

Sie können beispielsweise eine benutzerdefinierte Aktion in Security Hub CSPM mit dem Namen erstellen. send_to_ticketing Anschließend erstellen Sie eine Regel EventBridge, die ausgelöst wird, wenn EventBridge ein Ergebnis eingeht, das die send_to_ticketing benutzerdefinierte Aktions-ID enthält. Die Regel beinhaltet eine Logik zum Senden der Funde an Ihr Ticketing-System. Anschließend können Sie Ergebnisse in Security Hub CSPM auswählen und die benutzerdefinierte Aktion in Security Hub CSPM verwenden, um Ergebnisse manuell an Ihr Ticketsystem zu senden.

Beispiele dafür, wie Sie CSPM-Ergebnisse von Security Hub EventBridge zur weiteren Verarbeitung an diese senden können, finden Sie unter How to Integrate AWS Security Hub Cloud Security Posture Management (CSPM) Custom Actions with PagerDuty and How to Enable Custom Actions in AWS Security Hub Cloud Security Posture Management (CSPM) im AWS Partner Network (APN) -Blog.

Insight-Ergebnisse für benutzerdefinierte Aktionen (Security Hub Insight Results)

Sie können auch benutzerdefinierte Aktionen verwenden, um Gruppen von Insight-Ergebnissen als Ereignisse an sie zu senden. EventBridge Security Hub Insight Results Insight-Ergebnisse sind die Ressourcen, die einem Einblick entsprechen. Beachten Sie, dass Sie, wenn Sie Insight-Ergebnisse an senden EventBridge, die Ergebnisse nicht an diese senden EventBridge. Sie senden nur die Ressourcen-IDs, die mit den Insight-Ergebnissen verknüpft sind. Sie können bis zu 100 Ressourcenkennungen gleichzeitig senden.

Ähnlich wie bei benutzerdefinierten Aktionen für Ergebnisse erstellen Sie zuerst die benutzerdefinierte Aktion in Security Hub CSPM und dann eine Regel in. EventBridge

Siehe Verwenden von benutzerdefinierten Aktionen zum Senden von Ergebnissen und Erkenntnisergebnissen an EventBridge.

Nehmen wir zum Beispiel an, Sie sehen ein bestimmtes Insight-Ergebnis von Interesse, das Sie mit einem Kollegen teilen möchten. In diesem Fall können Sie eine benutzerdefinierte Aktion verwenden, um dieses Insight-Ergebnis über ein Chat- oder Ticketsystem an den Kollegen zu senden.