Todas as descobertas (Security Hub Findings - Imported)Descobertas para ações personalizadas (Security Hub Findings - Custom Action)Resultados de insight para ações personalizadas (Security Hub Insight Results)

Tipos de eventos CSPM do Security Hub em EventBridge

O Security Hub CSPM usa os seguintes tipos de EventBridge eventos da Amazon para integração com. EventBridge

No EventBridge painel do Security Hub CSPM, Todos os eventos inclui todos esses tipos de eventos.

Todas as descobertas (Security Hub Findings - Imported)

O Security Hub CSPM envia automaticamente todas as novas descobertas e todas as atualizações das descobertas existentes EventBridge como Security Hub Findings - Importedeventos. Cada evento Security Hub Findings - Importedcontém uma única descoberta.

Cada solicitação BatchImportFindings e BatchUpdateFindings aciona um evento Security Hub Findings - Imported.

Para contas de administrador, o feed de eventos EventBridge inclui eventos para descobertas de suas contas e de suas contas de membros.

Em uma região de agregação, o feed de eventos inclui eventos para descobertas da região de agregação e das regiões vinculadas. As descobertas entre regiões são incluídas no feed de eventos quase em tempo real. Para obter informações sobre como configurar a agregação de descoberta, consulte Compreendendo a agregação entre regiões no Security Hub CSPM.

Você pode definir regras EventBridge que encaminhem automaticamente as descobertas para um fluxo de trabalho de remediação, ferramenta de terceiros ou outro EventBridge alvo compatível. As regras podem incluir filtros que só aplicam a regra se a descoberta tiver valores de atributos específicos.

Você usa esse método para enviar automaticamente todas as descobertas, ou todas as descobertas que possuem características específicas, para um fluxo de trabalho de resposta ou correção.

Consulte Configurando uma EventBridge regra para as descobertas do CSPM do Security Hub.

Descobertas para ações personalizadas (Security Hub Findings - Custom Action)

O CSPM do Security Hub também envia descobertas associadas a ações personalizadas para eventos EventBridge . Security Hub Findings - Custom Action

Isso é útil para analistas que trabalham com o console CSPM do Security Hub que desejam enviar uma descoberta específica, ou um pequeno conjunto de descobertas, para um fluxo de trabalho de resposta ou remediação. É possível selecionar uma ação personalizada para até 20 descobertas por vez. Cada descoberta é enviada EventBridge como um EventBridge evento separado.

Ao criar uma ação personalizada, você atribui a ela uma ID de ação personalizada. Você pode usar essa ID para criar uma EventBridge regra que executa uma ação específica depois de receber uma descoberta associada a essa ID de ação personalizada.

Consulte Usando ações personalizadas para enviar descobertas e resultados de insights para EventBridge.

Por exemplo, você pode criar uma ação personalizada no CSPM do Security Hub chamada. send_to_ticketing Em seguida EventBridge, você cria uma regra que é acionada quando EventBridge recebe uma descoberta que inclui o ID da ação send_to_ticketing personalizada. A regra inclui a lógica para enviar a descoberta ao sistema de emissão de tíquetes. Em seguida, você pode selecionar as descobertas no CSPM do Security Hub e usar a ação personalizada no CSPM do Security Hub para enviar manualmente as descobertas ao seu sistema de tíquetes.

Para ver exemplos de como enviar as descobertas do CSPM do Security Hub EventBridge para processamento posterior, consulte Como integrar as ações personalizadas do AWS Security Hub Cloud Security Posture Management (CSPM) com PagerDuty e Como habilitar ações personalizadas no Security Hub AWS Cloud Security Posture Management (CSPM) no blog da Partner Network (APN). AWS

Resultados de insight para ações personalizadas (Security Hub Insight Results)

Você também pode usar ações personalizadas para enviar conjuntos de resultados de insights EventBridge como Security Hub Insight Resultseventos. Os resultados do insight são os recursos que combinam com um insight. Observe que quando você envia os resultados do insight para EventBridge, você não está enviando as descobertas para EventBridge. Você está enviando apenas os identificadores de recursos associados aos resultados do insight. É possível enviar até 100 identificadores de recursos de uma vez.

Semelhante às ações personalizadas para descobertas, primeiro você cria a ação personalizada no CSPM do Security Hub e, em seguida, cria uma regra no. EventBridge

Consulte Usando ações personalizadas para enviar descobertas e resultados de insights para EventBridge.

Por exemplo, suponha que você veja um resultado interessante de um insight específico que deseja compartilhar com um colega. Nesse caso, você pode usar uma ação personalizada para enviar o resultado do insight para o colega por meio de um sistema de bate-papo ou emissão de tíquetes.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Resposta e remediação automatizadas

EventBridge formatos de eventos