0

我正在尝试为“事件”模式创建 EventBridge 规则,如下所示:

在此处输入图像描述

我的 Json 结构:

{
    "Findings": [
        {
            "SchemaVersion": "2018-10-08",
            "Id": "arn:aws:securityhub:us-west-2:220307202362:subscription/aws-foundational-security-best-practices/v/1.0.0/EC2.9/finding/eeecfc8d-cb70-4686-8615-52d488f87959",
            "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/securityhub",
            "ProductName": "Security Hub",
            "CompanyName": "AWS",
            "Region": "us-west-2",
            "GeneratorId": "aws-foundational-security-best-practices/v/1.0.0/EC2.9",
            "AwsAccountId": "220311111111",
            "Types": [
                "Software and Configuration Checks/Industry and Regulatory Standards/AWS-Foundational-Security-Best-Practices"
            ],
            "FirstObservedAt": "2021-09-27T20:01:59.019Z",
            "LastObservedAt": "2021-10-12T16:35:29.556Z",
            "CreatedAt": "2021-09-27T20:01:59.019Z",
            "UpdatedAt": "2021-10-12T16:35:29.556Z",
            "Severity": {
                "Product": 0,
                "Label": "INFORMATIONAL",
                "Normalized": 0,
                "Original": "INFORMATIONAL"
            },
            "Title": "EC2.9 EC2 instances should not have a public IPv4 address"
            }
            ]
            }

我的 Json 结构看起来不像右侧上图中所示的事件模式,所以我想修改事件模式,就像我在上面发布的 json 一样。一旦我编辑事件模式,左侧的选项就会改变到“自定义模式”如下:

在此处输入图像描述

当我尝试测试我上面的 json 时,它给了我如下错误:

在此处输入图像描述

我在这里想念什么?我如何配置我的事件中心发现,以便它能够识别我上面的 json 并转到我的目标(Kinesis firehose)?

4

1 回答 1

0

在测试事件模式中,您需要编写完整的事件,包括版本、ID、...

教程展示了简单的示例(尽管适用于 EC2)。

对于安全中心调查结果,事件测试模式将如本文档中所示。

更新:

这是我尝试使用您的 JSON 的屏幕截图。请注意,事件模式只是“来源”。对于除结果之外的测试事件模式标头,我从自定义事件下拉列表的“使用 AWS 提供的示例事件”中获取代码。

在此处输入图像描述

事件模式 JSON 是:

{
  "version": "0",
  "id": "8e5622f9-d81c-4d81-612a-9319e7ee2506",
  "detail-type": "Security Hub Findings - Imported",
  "source": "aws.securityhub",
  "account": "123456789012",
  "time": "2019-04-11T21:52:17Z",
  "region": "us-west-2",
  "resources": ["arn:aws:securityhub:us-west-2::product/aws/macie/arn:aws:macie:us-west-2:123456789012:integtest/trigger/6294d71b927c41cbab915159a8f326a3/alert/f2893b211841"],
  "detail": {
        "Findings": [{
                "SchemaVersion": "2018-10-08",
                "Id": "arn:aws:securityhub:us-west-2:111122223333:subscription/aws-foundational-security-best-practices/v/1.0.0/EC2.9/finding/eeecfc8d-cb70-4686-8615-52d488f87959",
                "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/securityhub",
                "ProductName": "Security Hub",
                "CompanyName": "AWS",
                "Region": "us-west-2",
                "GeneratorId": "aws-foundational-security-best-practices/v/1.0.0/EC2.9",
                "AwsAccountId": "220311111111",
                "Types": [
                        "Software and Configuration Checks/Industry and Regulatory Standards/AWS-Foundational-Security-Best-Practices"
                ],
                "FirstObservedAt": "2021-09-27T20:01:59.019Z",
                "LastObservedAt": "2021-10-12T16:35:29.556Z",
                "CreatedAt": "2021-09-27T20:01:59.019Z",
                "UpdatedAt": "2021-10-12T16:35:29.556Z",
                "Severity": {
                        "Product": 0,
                        "Label": "INFORMATIONAL",
                        "Normalized": 0,
                        "Original": "INFORMATIONAL"
                },
                "Title": "EC2.9 EC2 instances should not have a public IPv4 address"
        }]
  }
}

您现在可以使用测试事件。

令人困惑的是,事件模式和测试事件模式太过分了。像 source 这样的属性会在 EventBridge 中自动处理。

对于检测特定属性,“事件类型->安全中心调查结果-导入”可能有用。

于 2021-10-15T23:13:17.043 回答