Formato do padrão do evento Criar uma regra de evento

Configurando regras para EventBridge

Você pode criar uma regra na Amazon EventBridge que define uma ação a ser tomada quando um Findings Imported V2evento é recebido. Findings Imported V2os eventos são acionados por meio de atualizações por meio de BatchUpdateFindingsV2.

Cada regra contém um padrão de evento, que identifica os eventos que acionam a regra. O padrão do evento sempre contém a origem do evento (aws.securityhub) e o tipo de evento (Findings Imported V2). O padrão do evento também pode especificar filtros para identificar as descobertas às quais a regra se aplica.

A regra de eventos então identifica os alvos da regra. Os alvos são as ações a serem tomadas ao EventBridge receber um evento Findings Imported V2 e a descoberta corresponder aos filtros.

As instruções fornecidas aqui usam o EventBridge console. Quando você usa o console, cria EventBridge automaticamente a política baseada em recursos necessária que permite EventBridge gravar no Amazon CloudWatch Logs.

Você também pode usar a PutRuleoperação da EventBridge API. No entanto, se você usar a EventBridge API, deverá criar a política baseada em recursos. Para obter informações sobre a política necessária, consulte Permissões de CloudWatch registros no Guia EventBridge do usuário da Amazon.

Formato do padrão do evento

O formato do padrão de eventos para os eventos Findings Imported V2 é o seguinte:


{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Findings Imported V2"
  ],
  "detail": {
    "findings": {
      <attribute filter values>
    }
  }
}

source identifica o Security Hub como o serviço que gera o evento.
detail-type identifica o tipo de evento.
detail é opcional e fornece os valores do filtro para o padrão do evento. Se o padrão do evento não contiver um campo detail, todas as descobertas acionarão a regra.

É possível filtrar as descobertas com base em qualquer atributo de descoberta. Para cada atributo, você fornece uma matriz separada por vírgula de um ou mais valores.


"<attribute name>": [ "<value1>", "<value2>"]

Se você fornecer mais de um valor para um atributo, esses valores serão unidos por OR. Uma descoberta corresponde ao filtro de um atributo individual se a descoberta tiver algum dos valores listados. Por exemplo, se você fornecer ambos INFORMATIONAL e LOW como valores para Severity.Label, a descoberta corresponderá se tiver um rótulo de gravidade de INFORMATIONAL ouLOW.

Os atributos são unidos por AND. Uma descoberta corresponde se atender aos critérios de filtro de todos os atributos fornecidos.

Quando você fornece um valor de atributo, ele deve refletir a localização desse atributo na estrutura do AWS Open Cybersecurity Schema Framework (OCSF).

No exemplo a seguir, o padrão de evento fornece valores de filtro para ProductArn eSeverity.Label, portanto, uma descoberta corresponde se for gerada pelo Amazon Inspector e tiver um rótulo de gravidade deINFORMATIONAL ou LOW.


{
    "source": [
        "aws.securityhub"
     ],
    "detail-type": [
        "Findings Imported V2"
    ],
    "detail": {
        "findings": {
            "ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"],
            "Severity": {
                "Label": ["INFORMATIONAL", "LOW"]
            }
        }
    }
}

Criar uma regra de evento

Você pode usar um padrão de evento predefinido ou um padrão de evento personalizado para criar uma regra em EventBridge. Se você selecionar um padrão predefinido, preenche EventBridge automaticamente e. source detail-type EventBridge também fornece campos para especificar valores de filtro para os seguintes atributos de descoberta:

cloud.account.uid
compliance.status
metadata.product.name
resources.uid
severity
status

Para criar uma EventBridge regra (console)

Abra o EventBridge console da Amazon em https://console.aws.amazon.com/events/.

Usando os valores a seguir, crie uma EventBridge regra que monitore a localização de eventos:

Para Tipo de regra, escolha Regra com padrão de evento.

Selecione como criar o padrão do evento.

Para criar o padrão de eventos com... Fazer isso...

Para criar o padrão de eventos com...	Fazer isso...
Um modelo	Na seção Padrão de evento, selecione um dos seguintes procedimentos: Em Fonte do evento, selecione Serviços da AWS. Para o serviço AWS, selecione Security Hub. Em Tipo de evento, escolha Findings Imported V2. (Opcional) Para tornar a regra mais específica, adicione valores de filtros. Por exemplo, para limitar a regra às descobertas com estados de registro ativos, em Estado(s) de registro específico, selecione Ativo.
Um padrão de eventos personalizado (Use um padrão personalizado se quiser filtrar as descobertas com base em atributos que não aparecem no EventBridge console.)	Em Padrão de evento, selecione JSON editor, e, em seguida, cole um dos seguintes exemplos de padrão de evento na área de texto: `{ "source": [ "aws.securityhub" ], "detail-type": [ "Findings Imported V2" ], "detail": { "findings": { "<attribute name>": [ "<value1>", "<value2>"] } } }` Atualize o padrão do evento para incluir o atributo e os valores de atributos que você deseja usar como filtro. Por exemplo, para aplicar a regra às descobertas que tenham uma gravidade `Critical`, use o exemplo de padrão a seguir: `{ "source":["aws.securityhub"], "detail-type":["Findings Imported V2"], "detail":{ "findings":{ "Severity": ["Critical"] } } }`

Um modelo

Na seção Padrão de evento, selecione um dos seguintes procedimentos:

Em Fonte do evento, selecione Serviços da AWS.
Para o serviço AWS, selecione Security Hub.
Em Tipo de evento, escolha Findings Imported V2.
(Opcional) Para tornar a regra mais específica, adicione valores de filtros. Por exemplo, para limitar a regra às descobertas com estados de registro ativos, em Estado(s) de registro específico, selecione Ativo.

Um padrão de eventos personalizado

(Use um padrão personalizado se quiser filtrar as descobertas com base em atributos que não aparecem no EventBridge console.)

Em Padrão de evento, selecione JSON editor, e, em seguida, cole um dos seguintes exemplos de padrão de evento na área de texto:


{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Findings Imported V2"
  ],
  "detail": {
    "findings": {
      "<attribute name>": [ "<value1>", "<value2>"]
    }
  }
}

Atualize o padrão do evento para incluir o atributo e os valores de atributos que você deseja usar como filtro.

Por exemplo, para aplicar a regra às descobertas que tenham uma gravidade Critical, use o exemplo de padrão a seguir:
```
{
    "source":["aws.securityhub"],
    "detail-type":["Findings Imported V2"],
    "detail":{
        "findings":{
           "Severity": ["Critical"]
          }
    }
}
```

Para Tipos de destino, escolha AWSserviço e, para Selecionar um destino, escolha um destino, como um tópico ou AWS Lambda função do Amazon SNS. O destino é acionado quando é recebido um evento que corresponde ao padrão de evento definido na regra.

Para obter detalhes sobre a criação de regras, consulte Criação de EventBridge regras da Amazon que reagem a eventos no Guia EventBridge do usuário da Amazon.

nota

Se você tiver EventBridge regras definidas para descobertas no CSPM do Security Hub, as regras podem se sobrepor às regras definidas para o Security Hub. Para evitar o envio de descobertas duplicadas, avalie as regras que você definiu para o CSPM do Security Hub para determinar se elas se sobrepõem às regras que você definiu para o Security Hub. Quando aplicável, desative todas as regras CSPM do Security Hub que sejam substituídas pelas regras do Security Hub.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

EventBridge formatos de eventos

Integrações de terceiros