Security Hub CSPM 検出結果の EventBridge ルールの設定

Security Hub Findings - Imported イベントの受信時に実行するアクションを定義するルールを Amazon EventBridge で作成できます。Security Hub Findings - Imported イベントは、BatchImportFindings オペレーションと BatchUpdateFindings オペレーションの両方による更新によってトリガーされます。

各ルールには、ルールをトリガーするイベントを識別するイベントパターンが含まれています。イベントパターンにはイベントソース (aws.securityhub) とイベントタイプ (Security Hub Findings - Imported) が必ず含まれています。イベントパターンでは、ルールが適用される結果を識別するためのフィルターを指定することもできます。

次に、イベントルールによってルールターゲットが識別されます。ターゲットは、EventBridge が Security Hub Findings - Imported イベントを受信し、検索条件がフィルターと一致したときに実行されるアクションです。

ここで説明する手順では、EventBridge コンソールを使用します。このコンソールを使用すると、EventBridge による Amazon CloudWatch Logs への書き込みを有効にする必要なリソースベースポリシーが EventBridge によって自動的に作成されます。

また、EventBridge API の PutRule オペレーションを使用することもできます。ただし、EventBridge API を使用する場合は、リソースベースのポリシーを作成する必要があります。必要なポリシーの詳細については、「Amazon EventBridge ユーザーガイド」の「CloudWatch Logs の許可」を参照してください。

イベントパターンの形式

Security Hub Findings - Imported イベントのイベントパターンの形式は次のとおりです。


{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Findings - Imported"
  ],
  "detail": {
    "findings": {
      <attribute filter values>
    }
  }
}

source は、Security Hub CSPM をイベントを生成するサービスとして識別します。
detail-type は、イベントのタイプを示します。
detail はオプションで、イベントパターンのフィルター値を提供します。イベントパターンに detail フィールドが含まれていない場合、すべての結果でルールがトリガーされます。

結果は、どの結果属性に基づいてもフィルタリングできます。属性ごとに、1 つ以上の値のカンマ区切りの配列を指定します。


"<attribute name>": [ "<value1>", "<value2>"]

属性に複数の値を指定すると、それらの値は OR で結合されます。結果にリストされている値が含まれている場合、結果は個々の属性のフィルターと一致しています。例えば、Severity.Label の値として INFORMATIONAL と LOW の両方を指定した場合、結果に INFORMATIONAL または LOW の重要度ラベルが含まれていると、結果は一致となります。

属性が AND で結合されている場合、結果が、指定されたすべての属性のフィルター条件に一致すると、その結果は一致となります。

属性値を指定するときは、 AWS Security Finding Format (ASFF) 構造内のその属性の場所を反映する必要があります。

ヒント

コントロールの検出結果をフィルタリングする場合は、Title または Description ではなく、SecurityControlId または SecurityControlArn ASFF フィールドをフィルターとして使用することをお勧めします。前者のフィールドは変更される可能性がありますが、コントロール ID と ARN は静的な識別子です。

次の例では、イベントパターンによって ProductArn と Severity.Label のフィルタ値が提供されています。したがって、Amazon Inspector が生成し、その重要度のラベルが INFORMATIONAL または LOW である場合は、結果が一致します。


{
    "source": [
        "aws.securityhub"
     ],
    "detail-type": [
        "Security Hub Findings - Imported"
    ],
    "detail": {
        "findings": {
            "ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"],
            "Severity": {
                "Label": ["INFORMATIONAL", "LOW"]
            }
        }
    }
}

イベントルールの作成

定義済みのイベントパターンまたはカスタムのイベントパターンを使用して、EventBridge でルールを作成することができます。定義済みのパターンを選択した場合、EventBridge で source と detail-type が自動的に入力されます。EventBridge には、次の結果の属性のフィルター値を指定するフィールドもあります。

AwsAccountId
Compliance.Status
Criticality
ProductArn
RecordState
ResourceId
ResourceType
Severity.Label
Types
Workflow.Status

EventBridge ルールを作成する (コンソール)

Amazon EventBridge コンソールの https://console.aws.amazon.com/events/ を開いてください。

次の値を使用して、検索イベントをモニタリングする EventBridge ルールを作成します。

[ルールタイプ] で、[イベントパターンを持つルール] を選択してください。

イベントパターンの作成方法を選択します。

次を使用してイベントパターンを作成するには手順

次を使用してイベントパターンを作成するには	手順
テンプレート	[Event pattern] (イベントパターン) のセクションで、次のオプションを選択します。 [イベントソース] で、[AWS のサービス] を選択してください。 [AWS のサービス] で、[Security Hub] を選択します。 [Event type] (イベントタイプ)で、[Security Hub Findings - Imported] (Security Hub 調査結果 - インポート) を選択します。 (オプション) ルールをより具体的にしたいときは、フィルタ値を追加します。例えば、ルールを、アクティブなレコード状態を持つ結果のみに限定するときは、[Specific Record state(s)] (特定のレコード状態) で [Active] (アクティブ) を選択します。
カスタムのイベントパターン (カスタムパターンは、EventBridge コンソールに表示されない属性に基づいて結果をフィルタリングするときに使用します)。	[Event pattern] (イベントパターン) セクションで [Custom patterns (JSON editor)] (カスタムパターン (JSONエディター)) を選択し、次のイベントパターンをテキストエリアに貼付けます。 `{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Imported" ], "detail": { "findings": { "<attribute name>": [ "<value1>", "<value2>"] } } }` イベントパターンを更新し、フィルタとして使用する属性および属性値を追加します。例えば、検証状態が `TRUE_POSITIVE` である結果にのみルールを適用するときは、次のパターン例を使用します。 `{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Imported" ], "detail": { "findings": { "VerificationState": ["TRUE_POSITIVE"] } } }`

テンプレート

[Event pattern] (イベントパターン) のセクションで、次のオプションを選択します。

[イベントソース] で、[AWS のサービス] を選択してください。
[AWS のサービス] で、[Security Hub] を選択します。
[Event type] (イベントタイプ)で、[Security Hub Findings - Imported] (Security Hub 調査結果 - インポート) を選択します。
(オプション) ルールをより具体的にしたいときは、フィルタ値を追加します。例えば、ルールを、アクティブなレコード状態を持つ結果のみに限定するときは、[Specific Record state(s)] (特定のレコード状態) で [Active] (アクティブ) を選択します。

カスタムのイベントパターン

(カスタムパターンは、EventBridge コンソールに表示されない属性に基づいて結果をフィルタリングするときに使用します)。

[Event pattern] (イベントパターン) セクションで [Custom patterns (JSON editor)] (カスタムパターン (JSONエディター)) を選択し、次のイベントパターンをテキストエリアに貼付けます。
```
{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Findings - Imported"
  ],
  "detail": {
    "findings": {
      "<attribute name>": [ "<value1>", "<value2>"]
    }
  }
}
```

イベントパターンを更新し、フィルタとして使用する属性および属性値を追加します。

例えば、検証状態が TRUE_POSITIVE である結果にのみルールを適用するときは、次のパターン例を使用します。
```
{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Findings - Imported"
  ],
  "detail": {
    "findings": {
      "VerificationState": ["TRUE_POSITIVE"]
    }
  }
}
```

ターゲットタイプでAWS サービスを選択し、ターゲットの選択で Amazon SNS トピックや AWS Lambda 関数などのターゲットを選択します。ターゲットは、ルールで定義したイベントパターンに一致するイベントが返されたときにトリガーされます。

ルールの作成に関する詳細については、「Amazon EventBridge ユーザーガイド」の「イベントに反応する Amazon EventBridge ルールの作成」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

EventBridge イベント形式

カスタムアクションの設定と使用方法