Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Règles d'automatisation dans EventBridge EventBridge règles d'automatisation Vous pouvez utiliser les règles d'automatisation d'Amazon EventBridge pour répondre aux conclusions du Security Hub. Security Hub envoie les résultats EventBridge sous forme d'événements en temps quasi réel. Vous pouvez rédiger des règles de base qui indiquent les actions automatisées à effectuer lorsqu'un événement correspond aux règles. Les actions qui peuvent être déclenchées automatiquement sont les suivantes : + Configuration d'une destination d'API dans EventBridge. + Invocation des commandes Amazon EC2 Run + Invocation de fonctions Lambda + Invoquer les machines d'état Step Functions + Notification d’une rubrique Amazon SNS ou d’une file d’attente Amazon SQS + Transmission d'événements vers Kinesis Data Streams + Envoi d'un résultat à un service de billetterie tiers, de conversation instantané, de gestion des informations et des événements de sécurité (SIEM) ou à un outil de réponse aux incidents et de gestion des incidents + [Envoyer un événement à un EventBridge bus via un autre AWS compte](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus-example-policy-cross-account-custom-bus-source.html) Security Hub envoie les nouvelles découvertes et les mises à jour EventBridge sous forme d'événements. Vous configurez ensuite EventBridge des règles pour répondre à chaque événement du Security Hub. Pour plus d'informations, voir [Qu'est-ce que c'est EventBridge ?](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) dans le *guide de EventBridge l'utilisateur*. **Note** Si vous avez défini des EventBridge règles pour les résultats dans Security Hub CSPM, elles peuvent se chevaucher avec les règles définies pour Security Hub. Pour éviter d'envoyer des résultats dupliqués, évaluez les règles que vous avez définies pour Security Hub CSPM afin de déterminer si elles se recoupent avec les règles que vous avez définies pour Security Hub. Le cas échéant, désactivez toutes les règles CSPM de Security Hub remplacées par les règles du Security Hub. **Note** Il est recommandé de s'assurer que les utilisateurs autorisés à accéder EventBridge utilisent des Gestion des identités et des accès AWS politiques qui accordent les autorisations minimales requises. Pour plus d'informations, voir [EventBridge et Gestion des identités et des accès AWS](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-iam.html) dans le *guide de EventBridge l'utilisateur*. # EventBridge types d'événements Security Hub utilise les types d' EventBridge événements Amazon suivants pour s'intégrer EventBridge. Sur le EventBridge tableau de bord de Security Hub, **All Events** inclut tous ces types d'événements. ## Résultats importés V2 Security Hub envoie automatiquement toutes les nouvelles découvertes et toutes les mises à jour des découvertes existantes EventBridge sous forme d'**Findings Imported V2**événements. Chaque **Findings Imported V2**événement contient une seule constatation. Chaque résultat importé et chaque résultat mis à jour par le biais d'une [https://docs.aws.amazon.com/](https://docs.aws.amazon.com/)demande déclenche un **Findings Imported V2**événement. Pour les comptes administrateurs, le flux d'événements EventBridge inclut des événements contenant des informations provenant à la fois de leur compte et de leurs comptes de membres. Dans une région d'agrégation, le flux d'événements inclut les événements relatifs aux résultats de la région d'agrégation et des régions associées. Les résultats interrégionaux sont inclus dans le fil des événements en temps quasi réel. Vous pouvez définir des règles EventBridge qui acheminent automatiquement les résultats vers un flux de travail de correction, un outil tiers ou une [autre EventBridge cible prise en charge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html). Les règles peuvent inclure des filtres qui n'appliquent la règle que si le résultat comporte des valeurs d'attribut spécifiques. Vous utilisez cette méthode pour envoyer automatiquement tous les résultats, ou tous les résultats présentant des caractéristiques spécifiques, à un flux de travail de réponse ou de correction. **Note** Security Hub et Security Hub CSPM envoient tous deux leurs résultats à la EventBridge source de. `aws.securityhub` Assurez-vous que vos EventBridge règles utilisent le type de détail spécifique à Security Hub afin d'éviter les notifications dupliquées liées aux conclusions du Security Hub CSPM. # EventBridge formats d'événements Le type d'**Findings Imported V2**événement utilise le format d'événement suivant. **Exemple** Ce format est utilisé lorsque Security Hub envoie un événement à EventBridge. ``` { "version":"0", "id":"CWE-event-id", "detail-type":"Findings Imported V2", "source":"aws.securityhub", "account":"111122223333", "time":"2019-04-11T21:52:17Z", "region":"us-west-2", "resources":[ "e51603d1054aad9d9f498d82d6e81acf4cf6bc88140e8ad2273123c73b81084" ], "detail":{ "findings": [{ }] } } ``` Chaque événement envoie un résultat unique. ``est le contenu en JSON du résultat envoyé par l'événement. Pour obtenir la liste complète des attributs de recherche, consultez les [résultats de l'OCSF dans Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-adv-ocsf-findings.html). # Configuration des règles pour EventBridge Vous pouvez créer une règle dans Amazon EventBridge qui définit une action à effectuer lorsqu'un **Findings Imported V2**événement est reçu. **Findings Imported V2**les événements sont déclenchés par des mises à jour via [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindingsV2.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindingsV2.html). Chaque règle contient un modèle d'événements qui identifie les événements qui déclenchent la règle. Le modèle d'événement contient toujours la source de l'événement (`aws.securityhub`) et le type d'événement (**Findings Imported V2**). Le modèle d'événement peut également spécifier des filtres pour identifier les résultats auxquels s'applique la règle. La règle d'événement identifie ensuite les cibles de la règle. Les cibles sont les actions à entreprendre lorsque EventBridge reçoit un événement **Findings Imported V2** et que le résultat correspond aux filtres. Les instructions fournies ici utilisent la EventBridge console. Lorsque vous utilisez la console, elle crée EventBridge automatiquement la politique basée sur les ressources requise qui permet d' EventBridge écrire sur Amazon CloudWatch Logs. Vous pouvez également utiliser le [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html)fonctionnement de l' EventBridge API. Toutefois, si vous utilisez l' EventBridge API, vous devez créer la politique basée sur les ressources. Pour plus d'informations sur la politique requise, consultez la section [Autorisations relatives CloudWatch aux journaux](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions) dans le *guide de EventBridge l'utilisateur Amazon*. ## Format du modèle d'événement Le format du modèle d'événement pour les événements **Findings Imported V2** est le suivant : ``` { "source": [ "aws.securityhub" ], "detail-type": [ "Findings Imported V2" ], "detail": { "findings": { } } } ``` + `source`identifie Security Hub comme le service qui génère l'événement. + `detail-type`identifie le type d'événement. + `detail`est facultatif et fournit les valeurs de filtre pour le modèle d'événement. Si le modèle d'événement ne contient aucun `detail` champ, tous les résultats déclenchent la règle. Vous pouvez filtrer les résultats en fonction de n'importe quel attribut de recherche. Pour chaque attribut, vous fournissez un tableau séparé par des virgules contenant une ou plusieurs valeurs. ``` "": [ "", ""] ``` Si vous fournissez plusieurs valeurs pour un attribut, ces valeurs sont jointes par`OR`. Une recherche correspond au filtre d'un attribut individuel si la recherche contient l'une des valeurs répertoriées. Par exemple, si vous fournissez les deux `INFORMATIONAL` et `LOW` en tant que valeurs pour`Severity.Label`, le résultat correspond s'il possède une étiquette de gravité égale à `INFORMATIONAL` ou`LOW`. Les attributs sont joints par`AND`. Un résultat correspond s'il correspond aux critères de filtre pour tous les attributs fournis. Lorsque vous fournissez une valeur d'attribut, elle doit refléter l'emplacement de cet attribut dans la structure OCSF ( AWS Open Cybersecurity Schema Framework). Dans l'exemple suivant, le modèle d'événement fournit des valeurs de filtre pour `ProductArn` et`Severity.Label`, par conséquent, un résultat correspond s'il est généré par Amazon Inspector et s'il possède une étiquette de gravité égale à `INFORMATIONAL` ou`LOW`. ``` { "source": [ "aws.securityhub" ], "detail-type": [ "Findings Imported V2" ], "detail": { "findings": { "ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"], "Severity": { "Label": ["INFORMATIONAL", "LOW"] } } } } ``` ## Création d'une règle d'événement Vous pouvez utiliser un modèle d'événement prédéfini ou un modèle d'événement personnalisé pour créer une règle dans EventBridge. Si vous sélectionnez un modèle prédéfini, les champs `source` et EventBridge sont automatiquement renseignés`detail-type`. EventBridge fournit également des champs permettant de spécifier les valeurs de filtre pour les attributs de recherche suivants : + `cloud.account.uid` + `compliance.status` + `metadata.product.name` + `resources.uid` + `severity` + `status` **Pour créer une EventBridge règle (console)** 1. Ouvrez la EventBridge console Amazon à l'adresse [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/). 1. À l'aide des valeurs suivantes, créez une EventBridge règle qui surveille les événements de recherche : + Pour **Type de règle**, choisissez **Règle avec un modèle d’événement**. + Choisissez comment créer le modèle d'événement. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/securityhub-v2-cwe-event-rules.html) + Pour les **types de cibles**, choisissez un **AWS service**, et pour **Sélectionner une cible**, choisissez une cible telle qu'un sujet ou AWS Lambda une fonction Amazon SNS. La cible est déclenchée lorsqu'un événement correspond au modèle d'événement défini dans la règle est reçu. Pour en savoir plus sur la création de règles, consultez [la section Création de EventBridge règles Amazon qui réagissent aux événements](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) dans le *guide de EventBridge l'utilisateur Amazon*. **Note** Si vous avez défini des EventBridge règles pour les résultats dans Security Hub CSPM, elles peuvent se chevaucher avec les règles définies pour Security Hub. Pour éviter d'envoyer des résultats dupliqués, évaluez les règles que vous avez définies pour Security Hub CSPM afin de déterminer si elles se recoupent avec les règles que vous avez définies pour Security Hub. Le cas échéant, désactivez toutes les règles CSPM de Security Hub remplacées par les règles du Security Hub.