通过AWS SNS和EventBridge来生成SecurityHub的通知

Amazon Web Services (AWS) Security Hub 是 AWS 提供的一项服务，可从安全角度详细概述其他服务。它根据 AWS 安全最佳实践为我们概述了符合和不符合要求的 AWS 资源。它还提供了预定义的基准安全控制，适用于大多数情况。但是，根据您的组织需求，您可能希望在 Security Hub 中生成和管理一些自定义发现。

本博客演示了在 AWS Security Hub 中生成和管理自定义安全发现的方法。

架构如下：

AWS Security Hub-> EventBridge -> SNS。

前提条件：

1. 启用Security Hub

2.启用AWS Config

步骤 1：创建SNS Topic

步骤2 创建 AWS EventBridge 规则

创建 AWS EventBridge 规则，该规则触发 SNS 以导入特定于自定义 Security Hub 发现的事件。作为 Eventbridge 规则的来源，指定事件的来源模式。在以下示例中，我们指定所有来自security hub 的event。

{
  "source": ["aws.securityhub"],
  "detail-type": ["Security Hub Findings - Imported"]
}

将目标设置为步骤1中创建的SNS topic

这里也可以通过lambda 来实现。

要导入自定义 Security Hub 调查结果，您需要创建一个 lambda 函数，该函数将调查结果发送到 Security Hub。

要导入自定义 Security Hub 调查结果，我们可以使用以下代码：

boto3.client('securityhub').batch_import_findings(Findings=<Your_event_Json>)

步骤3: 在Security Hub中的检测结果中，将某条调查结果的状态改为已解决。

过几分钟后，检查邮箱，会收到下面的alert。