EventBridge の Security Hub CSPM イベントタイプ - AWS Security Hub
すべての結果 (Security Hub Findings - Imported)カスタムアクションの結果 (Security Hub Findings - Custom Action)カスタムアクションのインサイト結果 (Security Hub Insight Results)

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

EventBridge の Security Hub CSPM イベントタイプ

Security Hub CSPM は、次の Amazon EventBridge イベントタイプを使用して EventBridge と統合します。

Security Hub CSPM の EventBridge ダッシュボードでは、すべてのイベントにこれらのイベントタイプがすべて含まれています。

すべての結果 (Security Hub Findings - Imported)

Security Hub CSPM は、すべての新しい検出結果と既存の検出結果へのすべての更新をSecurity Hub Findings - Importedイベントとして EventBridge に自動的に送信します。各 Security Hub Findings - Imported イベントには 1 つの結果が含まれています。

どの BatchImportFindings および BatchUpdateFindings リクエストでも Security Hub Findings - Imported イベントがトリガーされます。

管理者アカウントの場合、EventBridge のイベントフィードには、管理者アカウントとメンバーアカウントの両方からの結果に関するイベントが含まれます。

集約リージョンでは、イベントフィードには、集約リージョンとリンクされたリージョンからの結果のイベントが含まれます。クロスリージョン結果は、ほぼリアルタイムでイベントフィードに追加されます。結果の集約を設定する方法については、「Security Hub CSPM でのクロスリージョン集約について」を参照してください。

検出結果を自動的に修復ワークフロー、サードパーティーツール、またはその他のサポートされている EventBridge ターゲットにルーティングするルールを EventBridge で定義できます。ルールでは、結果に特定の属性値が含まれている場合にのみルールを適用するフィルターを指定できます。

このメソッドを使用して、すべての結果、または固有の特徴を持つすべての結果を応答または修復ワークフローに自動的に送信します。

Security Hub CSPM 検出結果の EventBridge ルールの設定」を参照してください。

カスタムアクションの結果 (Security Hub Findings - Custom Action)

Security Hub CSPM は、カスタムアクションに関連付けられた検出結果をSecurity Hub Findings - Custom Actionイベントとして EventBridge に送信します。

これは、Security Hub CSPM コンソールを操作するアナリストが、特定の検出結果、または少数の検出結果をレスポンスまたは修復ワークフローに送信する場合に便利です。一度に最大 20 件の結果のカスタムアクションを選択できます。各結果は、個別の EventBridge イベントとして EventBridge に送信されます。

カスタムアクションを作成したら、カスタムアクションにカスタムアクション ID を割り当てます。この ID を使用すると、そのカスタムアクション ID に関連付けられた結果を受け取った後、指定されたアクションを実行する EventBridge ルールを作成できます。

カスタムアクションを使用して結果とインサイト結果を EventBridge に送信する」を参照してください。

たとえば、 というカスタムアクションを Security Hub CSPM で作成できますsend_to_ticketing。次に EventBridge で、send_to_ticketing カスタムアクション ID を含む結果を EventBridge が受信したときにトリガーされるルールを作成します。ルールには、結果をチケット発行システムに送信するロジックが含まれています。その後、Security Hub CSPM 内で検出結果を選択し、Security Hub CSPM のカスタムアクションを使用して、検出結果をチケット発行システムに手動で送信できます。

さらなる処理のために Security Hub CSPM の検出結果を EventBridge に送信する方法の例については、「 AWS パートナーネットワーク (APN) ブログ」の AWS 「Security Hub Cloud Security Posture Management (CSPM) カスタムアクションを PagerDuty と統合する方法」およびAWS 「Security Hub Cloud Security Posture Management (CSPM) でカスタムアクションを有効にする方法」を参照してください。

カスタムアクションのインサイト結果 (Security Hub Insight Results)

カスタムアクションを使用すると、インサイト結果のセットも Security Hub Insight Results イベントとして EventBridge に送信できます。インサイト結果は、インサイトに一致するリソースです。インサイト結果を EventBridge に送信するとき、結果を EventBridge に送信しているわけではないことに注意してください。インサイト結果に関連付けられたリソース識別子を送信しているだけです。最大 100 個のリソース識別子を一度に送信できます。

検出結果のカスタムアクションと同様に、まず Security Hub CSPM でカスタムアクションを作成し、次に EventBridge でルールを作成します。

カスタムアクションを使用して結果とインサイト結果を EventBridge に送信する」を参照してください。

例えば、同僚と共有する必要がある特定のインサイト結果があるとします。この場合、カスタムアクションを使用して、チャットまたはチケット発行システム経由で、そのインサイト結果を同僚に送信できます。