本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
中的 Security Hub CSPM 事件类型 EventBridge
Security Hub CSPM 使用以下亚马逊 EventBridge 事件类型进行集成。 EventBridge
在 Security Hub CSPM 的 EventBridge 控制面板上,“所有事件” 包括所有这些事件类型。
所有结果(Security Hub Findings - Imported)
Security Hub CSPM 会自动将所有新发现和现有发现的所有更新 EventBridge 作为Security Hub Findings - Imported事件发送到。每个 Security Hub Findings - Imported 事件都包含一个调查发现。
每个 BatchImportFindings 和 BatchUpdateFindings 请求都会触发一个 Security Hub Findings - Imported 事件。
对于管理员账户,中的事件源 EventBridge 包括来自其账户和成员账户的调查结果的事件。
在聚合区域中,事件源包括来自聚合区域和关联区域的调查发现的事件。跨区域调查发现几乎实时地包含在事件源中。有关如何配置调查发现聚合的信息,请参阅 了解 Security Hub CSPM 中的跨区域聚合。
您可以在中定义规则 EventBridge ,自动将发现结果传送到修复工作流程、第三方工具或其他支持的 EventBridge 目标。这些规则可以包括筛选条件,使仅在调查发现具有特定属性值时才应用规则。
您可以使用此方法自动将所有结果或具有特定特征的所有结果发送到响应或补救工作流程。
请参阅为 Security Hub CSPM 发现配置 EventBridge 规则。
自定义操作的结果(Security Hub Findings - Custom Action)
Security Hub CSPM 还将与自定义操作相关的结果 EventBridge 作为Security Hub Findings - Custom Action事件发送给事件。
这对于使用 Security Hub CSPM 控制台的分析人员非常有用,他们希望将特定调查结果或一小部分调查结果发送到响应或补救工作流程。您可以每次为最多 20 个结果选择自定义操作。每个发现都 EventBridge 作为一个单独 EventBridge 的事件发送到。
创建自定义操作时,您可以为其分配一个自定义操作 ID。您可以使用此 ID 来创建 EventBridge 规则,该规则在收到与该自定义操作 ID 关联的发现后采取指定操作。
请参阅使用自定义操作将调查结果和见解结果发送到 EventBridge。
例如,您可以在 Security Hub CSPM 中创建一个名为的自定义操作。send_to_ticketing然后 EventBridge,您创建一条规则,该规则在 EventBridge 收到包含send_to_ticketing自定义操作 ID 的调查结果时触发。该规则包括将结果发送到票证系统的逻辑。然后,您可以在 Security Hub CSPM 中选择调查结果,然后使用 Security Hub CSPM 中的自定义操作将发现结果手动发送到您的票务系统。
有关如何将 Security Hub CSPM 调查结果发送给进一步处理的示例,请参阅 AWS 合作伙伴网络 (APN) 博客上的 “如何将 Sec AWS urity Hub 云安全态势管理 (CSPM) 自定义操作与 Security Hub AWS 云安全态势管理 (CSPM) 集成 PagerDuty
自定义操作的见解结果(Security Hub Insight Results)
您还可以使用自定义操作将分析结果集 EventBridge 作为Security Hub Insight Results事件发送到。见解结果是与见解相匹配的资源。请注意,当您将洞察结果发送到时 EventBridge,您不会将调查结果发送给 EventBridge。您仅发送与见解结果关联的资源标识符。您每次最多可以发送 100 个资源标识符。
与查找结果的自定义操作类似,您首先要在 Security Hub CSPM 中创建自定义操作,然后在中创建规则。 EventBridge
请参阅使用自定义操作将调查结果和见解结果发送到 EventBridge。
例如,假设你看到了一个你感兴趣的特定见解结果,想与同事分享。在这种情况下,您可以使用自定义操作通过聊天或票务系统将见解结果发送给同事。
