Tipos de eventos CSPM de Security Hub en EventBridge - AWS Security Hub
Todos los resultados (Security Hub Findings - Imported)Resultados para acciones personalizadas (Security Hub Findings - Custom Action)Resultados de Insight para acciones personalizadas (Security Hub Insight Results)

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Tipos de eventos CSPM de Security Hub en EventBridge

Security Hub CSPM utiliza los siguientes tipos de EventBridge eventos de Amazon para integrarse. EventBridge

En el EventBridge panel de control de Security Hub CSPM, All Events incluye todos estos tipos de eventos.

Todos los resultados (Security Hub Findings - Imported)

Security Hub CSPM envía automáticamente todos los hallazgos nuevos y todas las actualizaciones de los hallazgos existentes a EventBridge as Security Hub Findings - Importedevents. Cada evento Security Hub Findings - Imported contiene un único resultado.

Cada solicitud BatchImportFindings y BatchUpdateFindings activa un evento Security Hub Findings - Imported.

En el caso de las cuentas de administrador, el feed de eventos EventBridge incluye eventos con las conclusiones tanto de su cuenta como de las cuentas de sus miembros.

En una región de agregación, el feed de eventos incluye eventos con los resultados de la región de agregación y las regiones vinculadas. Los hallazgos entre regiones se incluyen en el feed de eventos casi en tiempo real. Para obtener información sobre cómo configurar la agregación de resultados, consulte Descripción de la agregación entre regiones en Security Hub CSPM.

Puede definir reglas EventBridge que dirijan automáticamente los hallazgos a un flujo de trabajo de remediación, a una herramienta de terceros o a otro EventBridge objetivo compatible. Las reglas pueden incluir filtros que solo apliquen la regla si el resultado tiene valores de atributo específicos.

Este método le permite enviar automáticamente todos los resultados ,o todos aquellos con determinadas características, a un flujo de trabajo de corrección o respuesta.

Consulte Configuración de una EventBridge regla para las conclusiones del CSPM de Security Hub.

Resultados para acciones personalizadas (Security Hub Findings - Custom Action)

El CSPM de Security Hub también envía las conclusiones asociadas a acciones personalizadas a eventos EventBridge as Security Hub Findings - Custom Action.

Esto resulta útil para los analistas que trabajan con la consola CSPM de Security Hub y desean enviar un hallazgo específico, o un conjunto pequeño de hallazgos, a un flujo de trabajo de respuesta o corrección. Puede seleccionar una acción personalizada para un máximo de 20 resultados a la vez. Cada hallazgo se envía EventBridge como un evento independiente. EventBridge

Al crear una acción personalizada, usted asigna un ID de acción personalizada. Puedes usar este identificador para crear una EventBridge regla que lleve a cabo una acción específica tras recibir un hallazgo asociado a ese identificador de acción personalizado.

Consulte Utilizar acciones personalizadas para enviar las conclusiones y los resultados de información a EventBridge.

Por ejemplo, puede crear una acción personalizada en Security Hub llamada CSPM. send_to_ticketing A continuación EventBridge, se crea una regla que se activa cuando se EventBridge recibe un resultado que incluye el identificador de la acción send_to_ticketing personalizada. La regla incluye lógica para enviar el resultado a su sistema de tickets. A continuación, puede seleccionar las conclusiones en Security Hub CSPM y utilizar la acción personalizada en Security Hub CSPM para enviar las conclusiones manualmente a su sistema de emisión de tickets.

Para ver ejemplos de cómo enviar las conclusiones del CSPM del Security Hub EventBridge para su posterior procesamiento, consulte Cómo integrar las acciones personalizadas de AWS Security Hub Cloud Security Posture Management (CSPM) PagerDuty y Cómo habilitar las acciones personalizadas en Security Hub AWS Cloud Security Posture Management (CSPM) en el blog AWS Partner Network (APN).

Resultados de Insight para acciones personalizadas (Security Hub Insight Results)

También puede utilizar acciones personalizadas para enviar conjuntos de información y resultados a eventos como eventos. EventBridge Security Hub Insight Results Los resultados de información son los recursos que coinciden con una información. Tenga en cuenta que cuando envía los resultados de la información a EventBridge, no envía los resultados a EventBridge. Solo está enviando los identificadores de recursos asociados a los resultados de información. Puede enviar hasta 100 identificadores de recursos a la vez.

De forma similar a las acciones personalizadas para los hallazgos, primero se crea la acción personalizada en Security Hub CSPM y, a continuación, se crea una regla en. EventBridge

Consulte Utilizar acciones personalizadas para enviar las conclusiones y los resultados de información a EventBridge.

Por ejemplo, supongamos que ve un determinado resultado de información de interés que desea compartir con un colega. En ese caso, puede utilizar una acción personalizada para enviar ese resultado de información al colega a través de un chat o de un sistema de tickets.