AWS Systems Manager Incident Manager 不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [AWS Systems Manager Incident Manager 可用性变更](https://docs.aws.amazon.com/incident-manager/latest/userguide/incident-manager-availability-change.html)。 本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 教程:在事件管理器中管理安全事件 您可以同时使用 AWS Security Hub CSPM Amazon EventBridge 和 Incident Manager 来识别和管理 AWS 托管应用程序中的安全事件。本教程将引导你配置一条 EventBridge 规则,该规则基于 Security Hub CSPM 自动发送的调查结果来创建事件。 **注意** 本教程使用 S EventBridge ecurity Hub CSPM。您可能会因使用这些服务而产生费用。 **先决条件** + 设置 Security Hub CSPM。有关更多信息,请参阅[设置 AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html)。 + 在 Security Hub CSPM 中创建或更新调查结果。有关更多信息,请参阅[AWS Security Hub CSPM中的调查发现](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings.html)。 + 配置响应计划,以便 Incident Manager 在创建安全事件时将其用作模板。有关更多信息,请参阅 [在 Incident Manager 中为事件做准备](incident-response.md)。 在本教程中,我们使用预定义的模式来创建 EventBridge 规则。要使用自定义模式创建规则,请参阅 AWS Security Hub CSPM 用户指南中的[使用自定义模式创建规则](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cwe-all-findings.html#securityhub-cwe-all-findings-custom-pattern)。 **创建 EventBridge 规则** 1. 打开 Amazon EventBridge 控制台,网址为[https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/)。 1. 在导航窗格中,选择**规则**。 1. 选择**创建规则**。 1. 为规则输入**名称**和**描述**。 规则不能与同一区域中的另一个规则和同一事件总线上的名称相同。 1. 对于**事件总线**,选择**默认**。 1. 对于**规则类型**,选择**具有事件模式的规则**。 1. 选择**下一步**。 1. 对于**事件来源**,选择**AWS 事件或 EventBridge合作伙伴事件**。 1. 对于**事件模式**,选择**事件模式表**。 1. 对于**事件源**,选择**AWS 服务**。 1. 要获得**AWS 服务**,请选择 Sec **urity Hub CSPM**。 1. 对于**事件类型**,选择 Sec **urity Hub CSPM 调查结果-** 已导入。 1. 默认情况下, EventBridge 配置不带任何筛选值的事件模式。对于每个属性,都*attribute name*选择 “**任**意” 选项。更新这些筛选器,以便根据对您的环境影响最大的安全调查发现创建事件。 1. 单击**下一步**。 1. 对于**目标类型**,选择**AWS 服务**。 1. 对于**选择目标**,选择 **Incident Manager 响应计划**。 1. 对于**响应计划**,选择一个响应计划,作为已创建事件的模板。 1. EventBridge 可以创建规则运行所需的 IAM 角色。 + 要自动创建 IAM 角色,请选择**为此特定资源创建新角色**。 + 要使用账户中已存在的 IAM 角色,请选择 **使用现有角色**。 1. (可选)为规则输入一个或多个标签。 1. 选择**下一步**。 1. 查看规则详细信息并选择**创建规则**。 既然您已经创建了此 EventBridge 规则,那么与您定义的属性值相匹配的安全发现将在事件管理器中创建事件。您可以对这些事件进行分类、管理、监控并创建事件后分析。