EventBridge formatos de eventos para o Security Hub CSPM - AWS Security Hub
Security Hub Findings - ImportedSecurity Hub Findings - Custom ActionSecurity Hub Insight Results

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

EventBridge formatos de eventos para o Security Hub CSPM

Os tipos de eventos Security Hub Findings - Imported, Security Findings - Custom Action, e Security Hub Insight Results usam os formatos de evento a seguir.

O formato do evento é o formato usado quando o Security Hub CSPM envia um evento para. EventBridge

Security Hub Findings - Imported

Security Hub Findings - Importedeventos que são enviados do Security Hub CSPM para EventBridge usar o seguinte formato.

{
   "version":"0",
   "id":"CWE-event-id",
   "detail-type":"Security Hub Findings - Imported",
   "source":"aws.securityhub",
   "account":"111122223333",
   "time":"2019-04-11T21:52:17Z",
   "region":"us-west-2",
   "resources":[
      "arn:aws:securityhub:us-west-2::product/aws/macie/arn:aws:macie:us-west-2:111122223333:integtest/trigger/6294d71b927c41cbab915159a8f326a3/alert/f2893b211841"
   ],
   "detail":{
      "findings": [{
         <finding content>
       }]
   }
}

<finding content> é o conteúdo, no formato JSON, da descoberta enviada pelo evento. Cada evento envia uma única descoberta.

Para obter uma lista completa de atributos de descoberta, consulte AWS Formato de descoberta de segurança (ASFF).

Para obter informações sobre como configurar EventBridge regras que são acionadas por esses eventos, consulteConfigurando uma EventBridge regra para as descobertas do CSPM do Security Hub.

Security Hub Findings - Custom Action

Security Hub Findings - Custom Actioneventos que são enviados do Security Hub CSPM para EventBridge usar o seguinte formato. Cada descoberta é enviada em um evento separado.

{
  "version": "0",
  "id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
  "detail-type": "Security Hub Findings - Custom Action",
  "source": "aws.securityhub",
  "account": "111122223333",
  "time": "2019-04-11T18:43:48Z",
  "region": "us-west-1",
  "resources": [
    "arn:aws:securityhub:us-west-1:111122223333:action/custom/custom-action-name"
  ],
  "detail": {
    "actionName":"custom-action-name",
    "actionDescription": "description of the action",
    "findings": [
      {
        <finding content>
      }
    ]
  }
}

<finding content> é o conteúdo, no formato JSON, da descoberta enviada pelo evento. Cada evento envia uma única descoberta.

Para obter uma lista completa de atributos de descoberta, consulte AWS Formato de descoberta de segurança (ASFF).

Para obter informações sobre como configurar EventBridge regras que são acionadas por esses eventos, consulteUsando ações personalizadas para enviar descobertas e resultados de insights para EventBridge.

Security Hub Insight Results

Security Hub Insight Resultseventos que são enviados do Security Hub CSPM para EventBridge usar o seguinte formato.

{ 
  "version": "0",
  "id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
  "detail-type": "Security Hub Insight Results",
  "source": "aws.securityhub",
  "account": "111122223333",
  "time": "2017-12-22T18:43:48Z",
  "region": "us-west-1",
  "resources": [
      "arn:aws:securityhub:us-west-1:111122223333::product/aws/macie:us-west-1:222233334444:test/trigger/1ec9cf700ef6be062b19584e0b7d84ec/alert/f2893b211841"
  ],
  "detail": {
    "actionName":"name of the action",
    "actionDescription":"description of the action",
    "insightArn":"ARN of the insight",
    "insightName":"Name of the insight",
    "resultType":"ResourceAwsIamAccessKeyUserName",
    "number of results":"number of results, max of 100",
    "insightResults": [
        {"result 1": 5},
        {"result 2": 6}
    ]
  }
}

Para obter informações sobre como criar uma EventBridge regra que é acionada por esses eventos, consulteUsando ações personalizadas para enviar descobertas e resultados de insights para EventBridge.