翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
EventBridge のルールの設定
Findings Imported V2 イベントの受信時に実行するアクションを定義するルールを Amazon EventBridge で作成できます。Findings Imported V2 イベントは、BatchUpdateFindingsV2 による更新によってトリガーされます。
各ルールには、ルールをトリガーするイベントを識別するイベントパターンが含まれています。イベントパターンには、イベントソース (aws.securityhub) とイベントタイプ (インポートされた検出結果 V2) が必ず含まれています。イベントパターンでは、ルールが適用される結果を識別するためのフィルターを指定することもできます。
次に、イベントルールによってルールターゲットが識別されます。ターゲットは、EventBridge が「インポートされた検出結果 V2」イベントを受信し、検出結果がフィルターと一致したときに実行されるアクションです。
ここで説明する手順では、EventBridge コンソールを使用します。このコンソールを使用すると、EventBridge による Amazon CloudWatch Logs への書き込みを有効にする必要なリソースベースポリシーが EventBridge によって自動的に作成されます。
また、EventBridge API の PutRule オペレーションを使用することもできます。ただし、EventBridge API を使用する場合は、リソースベースのポリシーを作成する必要があります。必要なポリシーの詳細については、「Amazon EventBridge ユーザーガイド」の「CloudWatch Logs の許可」を参照してください。
イベントパターンの形式
インポートされた検出結果 V2 イベントのイベントパターンの形式は次のとおりです。
{ "source": [ "aws.securityhub" ], "detail-type": [ "Findings Imported V2" ], "detail": { "findings": {<attribute filter values>} } }
-
sourceは、イベントを生成するサービスとして Security Hub を示します。 -
detail-typeは、イベントのタイプを示します。 -
detailはオプションで、イベントパターンのフィルター値を提供します。イベントパターンにdetailフィールドが含まれていない場合、すべての結果でルールがトリガーされます。
結果は、どの結果属性に基づいてもフィルタリングできます。属性ごとに、1 つ以上の値のカンマ区切りの配列を指定します。
"<attribute name>": [ "<value1>", "<value2>"]
属性に複数の値を指定すると、それらの値は OR で結合されます。結果にリストされている値が含まれている場合、結果は個々の属性のフィルターと一致しています。例えば、Severity.Label の値として INFORMATIONAL と LOW の両方を指定した場合、結果に INFORMATIONAL または LOW の重要度ラベルが含まれていると、結果は一致となります。
属性が AND で結合されている場合、結果が、指定されたすべての属性のフィルター条件に一致すると、その結果は一致となります。
属性値を指定するときは、 AWS Open Cybersecurity Schema Framework (OCSF) 構造内のその属性の場所を反映する必要があります。
次の例では、イベントパターンによって ProductArn と Severity.Label のフィルタ値が提供されています。したがって、Amazon Inspector が生成し、その重要度のラベルが INFORMATIONAL または LOW である場合は、結果が一致します。
{ "source": [ "aws.securityhub" ], "detail-type": [ "Findings Imported V2" ], "detail": { "findings": { "ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"], "Severity": { "Label": ["INFORMATIONAL", "LOW"] } } } }
イベントルールの作成
定義済みのイベントパターンまたはカスタムのイベントパターンを使用して、EventBridge でルールを作成することができます。定義済みのパターンを選択した場合、EventBridge で source と detail-type が自動的に入力されます。EventBridge には、次の結果の属性のフィルター値を指定するフィールドもあります。
-
cloud.account.uid -
compliance.status -
metadata.product.name -
resources.uid -
severity -
status
EventBridge ルールを作成する (コンソール)
Amazon EventBridge コンソールの https://console.aws.amazon.com/events/
を開いてください。 -
次の値を使用して、検索イベントをモニタリングする EventBridge ルールを作成します。
-
[ルールタイプ] で、[イベントパターンを持つルール] を選択してください。
-
イベントパターンの作成方法を選択します。
次を使用してイベントパターンを作成するには 手順 テンプレート
[Event pattern] (イベントパターン) のセクションで、次のオプションを選択します。
-
[イベントソース] で、[AWS のサービス] を選択してください。
-
[AWS のサービス] で、[Security Hub] を選択します。
-
[イベントタイプ] で、[インポートされた検出結果 V2] を選択します。
-
(オプション) ルールをより具体的にしたいときは、フィルタ値を追加します。例えば、ルールを、アクティブなレコード状態を持つ結果のみに限定するときは、[Specific Record state(s)] (特定のレコード状態) で [Active] (アクティブ) を選択します。
カスタムのイベントパターン
(カスタムパターンは、EventBridge コンソールに表示されない属性に基づいて結果をフィルタリングするときに使用します)。
-
[Event pattern] (イベントパターン) セクションで [Custom patterns (JSON editor)] (カスタムパターン (JSONエディター)) を選択し、次のイベントパターンをテキストエリアに貼付けます。
{ "source": [ "aws.securityhub" ], "detail-type": [ "Findings Imported V2" ], "detail": { "findings": { "<attribute name>": [ "<value1>", "<value2>"] } } }
-
イベントパターンを更新し、フィルタとして使用する属性および属性値を追加します。
例えば、検出結果の重大度が
Criticalである結果にのみルールを適用するときは、次のパターン例を使用します。{ "source":["aws.securityhub"], "detail-type":["Findings Imported V2"], "detail":{ "findings":{ "Severity": ["Critical"] } } }
-
-
ターゲットタイプでAWS サービスを選択し、ターゲットの選択で Amazon SNS トピックや AWS Lambda 関数などのターゲットを選択します。ターゲットは、ルールで定義したイベントパターンに一致するイベントが返されたときにトリガーされます。
ルールの作成に関する詳細については、「Amazon EventBridge ユーザーガイド」の「イベントに反応する Amazon EventBridge ルールの作成」を参照してください。
-
注記
Security Hub CSPM の結果に EventBridge ルールが定義されている場合、ルールは Security Hub に定義されているルールと重複する可能性があります。結果が重複して送信されないようにするには、Security Hub CSPM に定義したルールを評価して、Security Hub に定義したルールと重複しているかどうかを確認します。該当する場合は、Security Hub ルールに置き換えられた Security Hub CSPM ルールを無効にします。
