Tutti i risultati (Security Hub Findings - Imported)Risultati per azioni personalizzate (Security Hub Findings - Custom Action)Risultati di analisi per le operazioni personalizzate (Security Hub Insight Results)

Tipi di eventi CSPM di Security Hub in EventBridge

Security Hub CSPM utilizza i seguenti tipi di EventBridge eventi Amazon con cui integrarsi. EventBridge

Nella EventBridge dashboard di Security Hub CSPM, All Events include tutti questi tipi di eventi.

Tutti i risultati (Security Hub Findings - Imported)

Security Hub CSPM invia automaticamente tutti i nuovi risultati e tutti gli aggiornamenti ai risultati esistenti EventBridge come Security Hub Findings - Importedeventi. Ogni Security Hub Findings - Importedevento contiene un singolo risultato.

Ogni BatchImportFindingsBatchUpdateFindingsrichiesta fa scattare un Security Hub Findings - Importedevento.

Per gli account amministratore, il feed degli eventi EventBridge include gli eventi relativi ai risultati sia del loro account che dei loro account membro.

In una regione di aggregazione, il feed degli eventi include gli eventi relativi ai risultati della regione di aggregazione e delle regioni collegate. I risultati interregionali sono inclusi nel feed degli eventi quasi in tempo reale. Per informazioni su come configurare l'aggregazione dei risultati, consulta. Comprendere l'aggregazione interregionale in Security Hub CSPM

È possibile definire regole EventBridge che indirizzino automaticamente i risultati a un flusso di lavoro di riparazione, a uno strumento di terze parti o a un altro obiettivo supportato EventBridge . Le regole possono includere filtri che applicano la regola solo se il risultato ha valori di attributo specifici.

Si utilizza questo metodo per inviare automaticamente tutti i risultati, o tutti i risultati con caratteristiche specifiche, a un flusso di lavoro di risposta o correzione.

Consultare Configurazione di una EventBridge regola per i risultati CSPM di Security Hub.

Risultati per azioni personalizzate (Security Hub Findings - Custom Action)

Security Hub CSPM invia anche i risultati associati ad azioni personalizzate agli eventi EventBridge as Security Hub Findings - Custom Action.

Ciò è utile per gli analisti che lavorano con la console CSPM di Security Hub e desiderano inviare un risultato specifico, o un piccolo insieme di risultati, a un flusso di lavoro di risposta o correzione. È possibile selezionare un'operazione personalizzata per un massimo di 20 risultati alla volta. Ogni risultato viene inviato EventBridge come evento separato. EventBridge

Quando si crea un'azione personalizzata, le si assegna un ID di azione personalizzato. Puoi utilizzare questo ID per creare una EventBridge regola che esegua un'azione specifica dopo aver ricevuto un risultato associato a quell'ID di azione personalizzato.

Consultare Utilizzo di azioni personalizzate per inviare risultati e approfondimenti a EventBridge.

Ad esempio, è possibile creare un'azione personalizzata in Security Hub CSPM chiamata. send_to_ticketing Quindi EventBridge, si crea una regola che viene attivata quando si EventBridge riceve un risultato che include l'ID dell'azione send_to_ticketing personalizzato. La regola include la logica per inviare il risultato al sistema di ticket. È quindi possibile selezionare i risultati all'interno di Security Hub CSPM e utilizzare l'azione personalizzata in Security Hub CSPM per inviare manualmente i risultati al sistema di ticketing.

Per esempi su come inviare i risultati CSPM di Security Hub EventBridge per un'ulteriore elaborazione, consulta Come integrare le azioni personalizzate di AWS Security Hub Cloud Security Posture Management (CSPM) con PagerDuty e Come abilitare le azioni personalizzate in Security Hub AWS Cloud Security Posture Management (CSPM) sul blog Partner Network (APN). AWS

Risultati di analisi per le operazioni personalizzate (Security Hub Insight Results)

Puoi anche utilizzare azioni personalizzate per inviare serie di risultati di analisi come eventi. EventBridge Security Hub Insight Results I risultati di Insight sono le risorse che corrispondono a un'intuizione. Tieni presente che quando invii i risultati degli approfondimenti a EventBridge, non invii i risultati a EventBridge. Stai inviando solo gli identificatori delle risorse associati ai risultati degli approfondimenti. È possibile inviare fino a 100 identificatori di risorse alla volta.

Analogamente alle azioni personalizzate per i risultati, devi prima creare l'azione personalizzata in Security Hub CSPM, quindi creare una regola in. EventBridge

Consultare Utilizzo di azioni personalizzate per inviare risultati e approfondimenti a EventBridge.

Ad esempio, supponiamo di vedere un particolare risultato di interesse approfondito che desideri condividere con un collega. In tal caso, puoi utilizzare un'azione personalizzata per inviare il risultato di tale analisi al collega tramite una chat o un sistema di ticketing.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Risposta e correzione automatizzate

EventBridge formati di eventi