Todos los resultados (Security Hub Findings - Imported)Resultados para acciones personalizadas (Security Hub Findings - Custom Action)Resultados de Insight para acciones personalizadas (Security Hub Insight Results)

Tipos de eventos del CSPM de Security Hub en EventBridge

El CSPM de Security Hub utiliza los siguientes tipos de eventos de Amazon EventBridge para la integración con EventBridge.

En el panel de EventBridge dedicado al CSPM de Security Hub, la sección Todos los eventos reúne todos estos tipos de eventos.

Todos los resultados (Security Hub Findings - Imported)

El CSPM de Security Hub envía automáticamente todos los nuevos resultados y todas las actualizaciones de los resultados existentes a EventBridge como eventos de Security Hub Findings - Imported. Cada evento Security Hub Findings - Imported contiene un único resultado.

Cada solicitud BatchImportFindings y BatchUpdateFindings desencadena un evento de Security Hub Findings - Imported.

En el caso de cuentas de administrador, el feed de eventos de EventBridge incluye eventos para los resultados tanto de su cuenta como de cuentas miembro.

En una región de agregación, el feed de eventos incluye eventos con los resultados de la región de agregación y las regiones vinculadas. Los hallazgos entre regiones se incluyen en el feed de eventos casi en tiempo real. Para obtener información sobre cómo configurar la agregación de resultados, consulte Descripción de la agregación entre regiones en el CSPM de Security Hub.

Puede definir reglas en EventBridge para dirigir automáticamente los resultados generados a un flujo de trabajo de corrección, herramientas de terceros u otros destinos admitidos por EventBridge. Las reglas pueden incluir filtros que solo apliquen la regla si el resultado tiene valores de atributo específicos.

Este método le permite enviar automáticamente todos los resultados ,o todos aquellos con determinadas características, a un flujo de trabajo de corrección o respuesta.

Consulte Configuración de una regla de EventBridge para los resultados del CSPM de Security Hub.

Resultados para acciones personalizadas (Security Hub Findings - Custom Action)

El CSPM de Security Hub también envía resultados que están asociados a acciones personalizadas a EventBridge como eventos de Security Hub Findings - Custom Action.

Esto resulta útil para los analistas que trabajan con la consola del CSPM de Security Hub y desean enviar un resultado específico, o un pequeño conjunto de resultados, a un flujo de trabajo de respuesta o corrección. Puede seleccionar una acción personalizada para un máximo de 20 resultados a la vez. Cada resultado se envía a EventBridge como un evento EventBridge independiente.

Al crear una acción personalizada, usted asigna un ID de acción personalizada. Puede utilizar este ID para crear una regla EventBridge que realice una acción específica tras recibir un resultado asociado a ese ID de acción personalizada.

Consulte Uso de acciones personalizadas para enviar resultados y resultados de información a EventBridge.

Por ejemplo, puede crear una acción personalizada en el CSPM de Security Hub llamada send_to_ticketing. A continuación, en EventBridge, crea una regla que se active cuando EventBridge reciba un resultado que incluya el ID de acción personalizada send_to_ticketing. La regla incluye lógica para enviar el resultado a su sistema de tickets. Posteriormente, puede seleccionar resultados en el CSPM de Security Hub y utilizar la acción personalizada en el CSPM de Security Hub para enviar manualmente los resultados al sistema de tickets.

Para consultar ejemplos de cómo enviar resultados del CSPM de Security Hub a EventBridge para su posterior procesamiento, consulte Cómo integrar acciones personalizadas del CSPM de AWS Security Hub con PagerDuty y Cómo habilitar acciones personalizadas en el CSPM de AWS Security Hub en el blog de la Red de socios de AWS (APN).

Resultados de Insight para acciones personalizadas (Security Hub Insight Results)

También puede utilizar acciones personalizadas para enviar conjuntos de resultados de información a EventBridge como eventos Security Hub Insight Results. Los resultados de información son los recursos que coinciden con una información. Tenga en cuenta que al enviar resultados de información a EventBridge, no está enviando los resultados a EventBridge. Solo está enviando los identificadores de recursos asociados a los resultados de información. Puede enviar hasta 100 identificadores de recursos a la vez.

Al igual que con las acciones personalizadas para los resultados, primero debe crear la acción personalizada en el CSPM de Security Hub y, después, crear una regla en EventBridge.

Consulte Uso de acciones personalizadas para enviar resultados y resultados de información a EventBridge.

Por ejemplo, supongamos que ve un determinado resultado de información de interés que desea compartir con un colega. En ese caso, puede utilizar una acción personalizada para enviar ese resultado de información al colega a través de un chat o de un sistema de tickets.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Respuesta y corrección automatizadas

Formatos de eventos de EventBridge