設定 EventBridge 的規則 - AWS Security Hub
事件模式的格式建立事件規則

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定 EventBridge 的規則

您可以在 Amazon EventBridge 中建立規則,定義在收到Findings Imported V2事件時要採取的動作。 Findings Imported V2 事件是由透過 的更新觸發BatchUpdateFindingsV2

每個規則都包含事件模式,可識別觸發規則的事件。事件模式一律包含事件來源 (aws.securityhub) 和事件類型 (調查結果匯入 V2)。事件模式也可以指定篩選條件,以識別規則套用的調查結果。

事件規則接著會識別規則目標。目標是當 EventBridge 收到調查結果匯入的 V2 事件,且調查結果符合篩選條件時要採取的動作。

此處提供的指示使用 EventBridge 主控台。當您使用主控台時,EventBridge 會自動建立必要的資源型政策,讓 EventBridge 能夠寫入 Amazon CloudWatch Logs。

您也可以使用 EventBridge API PutRule的操作。不過,如果您使用 EventBridge API,則必須建立以資源為基礎的政策。如需所需政策的資訊,請參閱《Amazon EventBridge 使用者指南》中的 CloudWatch Logs 許可

事件模式的格式

匯入的調查結果 V2 事件的事件模式格式如下:

{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Findings Imported V2"
  ],
  "detail": {
    "findings": {
      <attribute filter values>
    }
  }
}

  • source 會將 Security Hub 識別為產生事件的服務。

  • detail-type 會識別事件的類型。

  • detail 是選用的,並提供事件模式的篩選條件值。如果事件模式不包含detail欄位,則所有調查結果都會觸發規則。

您可以根據任何問題清單屬性來篩選問題清單。對於每個屬性,您提供一或多個值的逗號分隔陣列。

"<attribute name>": [ "<value1>", "<value2>"]

如果您為屬性提供多個值,則這些值會由 聯結OR。如果問題清單具有任何列出的值,則問題清單會比對個別屬性的篩選條件。例如,如果您同時提供 INFORMATIONALLOW作為 的值Severity.Label,則如果問題清單的嚴重性標籤為 INFORMATIONAL或 ,則問題清單會相符LOW

屬性由 聯結AND。如果問題清單符合所有所提供屬性的篩選條件,則問題清單會相符。

當您提供屬性值時,它必須反映 AWS 開放網路安全結構描述架構 (OCSF) 結構中該屬性的位置。

在下列範例中,事件模式提供 ProductArn和 的篩選條件值Severity.Label,因此如果問題清單是由 Amazon Inspector 產生且嚴重性標籤為 INFORMATIONAL或 ,則問題清單會相符LOW

{
    "source": [
        "aws.securityhub"
     ],
    "detail-type": [
        "Findings Imported V2"
    ],
    "detail": {
        "findings": {
            "ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"],
            "Severity": {
                "Label": ["INFORMATIONAL", "LOW"]
            }
        }
    }
}

建立事件規則

您可以使用預先定義的事件模式或自訂事件模式,在 EventBridge 中建立規則。如果您選取預先定義的模式,EventBridge 會自動填入 sourcedetail-type。EventBridge 也提供欄位,以指定下列調查結果屬性的篩選條件值:

  • cloud.account.uid

  • compliance.status

  • metadata.product.name

  • resources.uid

  • severity

  • status

建立 EventBridge 規則 (主控台)

  1. 前往 https://console.aws.amazon.com/events/ 開啟 Amazon EventBridge 主控台。

  2. 使用下列值,建立可監控調查結果事件的 EventBridge 規則:

    • 針對規則類型,選擇具有事件模式的規則

    • 選擇如何建置事件模式。

      若要使用 建置事件模式... 執行此作業...

      範本

      事件模式區段中,選擇下列選項:

      • 事件來源欄位中,選擇 AWS 服務

      • 針對AWS 服務,選擇 Security Hub

      • 針對事件類型,選擇已匯入的調查結果 V2

      • (選用) 若要使規則更具體,請新增篩選條件值。例如,若要將規則限制為具有作用中記錄狀態的問題清單 (特定記錄狀態),請選擇作用中

      自訂事件模式

      (如果您想要根據 EventBridge 主控台中未顯示的屬性來篩選問題清單,請使用自訂模式。)

      • 事件模式區段中,選擇自訂模式 (JSON 編輯器),然後將下列事件模式貼入文字區域:

        {
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Findings Imported V2"
  ],
  "detail": {
    "findings": {
      "<attribute name>": [ "<value1>", "<value2>"]
    }
  }
}

      • 更新事件模式,以包含您要用作篩選條件的屬性和屬性值。

        例如,若要將規則套用至嚴重性為 的調查結果Critical,請使用下列模式範例:

        {
    "source":["aws.securityhub"],
    "detail-type":["Findings Imported V2"],
    "detail":{
        "findings":{
           "Severity": ["Critical"]
          }
    }
}

    • 對於目標類型,請選擇AWS 服務,對於選取目標,選擇目標,例如 Amazon SNS 主題或 AWS Lambda 函數。當接收到符合規則中定義之事件模式的事件時,就會觸發目標。

    如需建立規則的詳細資訊,請參閱《Amazon EventBridge 使用者指南》中的建立對事件做出反應的 Amazon EventBridge 規則。

注意

如果您為 Security Hub CSPM 中的調查結果定義了 EventBridge 規則,則這些規則可能會與 Security Hub 定義的規則重疊。為了避免傳送重複的問題清單,請評估您為 Security Hub CSPM 定義的規則,以判斷它們是否與您為 Security Hub 定義的規則重疊。如適用,請停用由 Security Hub 規則取代的任何 Security Hub CSPM 規則。