Formatos de eventos EventBridge para el CSPM de Security Hub - AWS Security Hub
Security Hub Findings - ImportedSecurity Hub Findings - Custom ActionSecurity Hub Insight Results

Formatos de eventos EventBridge para el CSPM de Security Hub

Los tipos de eventos Security Hub Findings - Imported, Security Findings - Custom Action y Security Hub Insight Results utilizan los siguientes formatos de eventos.

El formato de eventos es el formato que se utiliza cuando el CSPM de Security Hub envía un evento a EventBridge.

Security Hub Findings - Imported

Los eventos Security Hub Findings - Imported que se envían del CSPM de Security Hub a EventBridge utilizan el siguiente formato.

{
   "version":"0",
   "id":"CWE-event-id",
   "detail-type":"Security Hub Findings - Imported",
   "source":"aws.securityhub",
   "account":"111122223333",
   "time":"2019-04-11T21:52:17Z",
   "region":"us-west-2",
   "resources":[
      "arn:aws:securityhub:us-west-2::product/aws/macie/arn:aws:macie:us-west-2:111122223333:integtest/trigger/6294d71b927c41cbab915159a8f326a3/alert/f2893b211841"
   ],
   "detail":{
      "findings": [{
         <finding content>
       }]
   }
}

<finding content> es el contenido, en formato JSON, del resultado que envía el evento. Cada evento envía un único resultado.

Para obtener una lista completa de los atributos de los resultados, consulte Formato de resultados de seguridad de AWS (ASFF).

Para obtener información sobre cómo configurar reglas de EventBridge que se activen con estos eventos, consulte Configuración de una regla de EventBridge para los resultados del CSPM de Security Hub.

Security Hub Findings - Custom Action

Los eventos Security Hub Findings - Custom Action que se envían del CSPM de Security Hub a EventBridge utilizan el siguiente formato. Cada resultado se envía en un evento independiente.

{
  "version": "0",
  "id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
  "detail-type": "Security Hub Findings - Custom Action",
  "source": "aws.securityhub",
  "account": "111122223333",
  "time": "2019-04-11T18:43:48Z",
  "region": "us-west-1",
  "resources": [
    "arn:aws:securityhub:us-west-1:111122223333:action/custom/custom-action-name"
  ],
  "detail": {
    "actionName":"custom-action-name",
    "actionDescription": "description of the action",
    "findings": [
      {
        <finding content>
      }
    ]
  }
}

<finding content> es el contenido, en formato JSON, del resultado que envía el evento. Cada evento envía un único resultado.

Para obtener una lista completa de los atributos de los resultados, consulte Formato de resultados de seguridad de AWS (ASFF).

Para obtener información sobre cómo configurar reglas de EventBridge que se activen con estos eventos, consulte Uso de acciones personalizadas para enviar resultados y resultados de información a EventBridge.

Security Hub Insight Results

Los eventos Security Hub Insight Results que se envían del CSPM de Security Hub a EventBridge utilizan el siguiente formato.

{ 
  "version": "0",
  "id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
  "detail-type": "Security Hub Insight Results",
  "source": "aws.securityhub",
  "account": "111122223333",
  "time": "2017-12-22T18:43:48Z",
  "region": "us-west-1",
  "resources": [
      "arn:aws:securityhub:us-west-1:111122223333::product/aws/macie:us-west-1:222233334444:test/trigger/1ec9cf700ef6be062b19584e0b7d84ec/alert/f2893b211841"
  ],
  "detail": {
    "actionName":"name of the action",
    "actionDescription":"description of the action",
    "insightArn":"ARN of the insight",
    "insightName":"Name of the insight",
    "resultType":"ResourceAwsIamAccessKeyUserName",
    "number of results":"number of results, max of 100",
    "insightResults": [
        {"result 1": 5},
        {"result 2": 6}
    ]
  }
}

Para obtener información sobre cómo crear una regla de EventBridge que se active con estos eventos, consulte Uso de acciones personalizadas para enviar resultados y resultados de información a EventBridge.