问题
需要给AWS Security Hub设置邮件告警。
前提
已经启用AWS Security Hub。
AWS SNS
创建一个AWS Security Hub告警主题SecurityHub-Topic,如下图:
创建完成后,订阅该主题。
AWS EventBridge
设置规则名SecurityHubFindings-Rules,如下图:
设置过滤规则如下图:
这里配置事件内容如下:
{"source": ["aws.securityhub"],"detail-type": ["Security Hub Findings - Imported"]
}
这里不对Security Hub事件进行过滤,我们统统接受邮件。建议最好过滤一下告警级别,不然正常的消息也过来了,具体内容如下:
{"source": ["aws.securityhub"],"detail-type": ["Security Hub Findings - Imported"],"detail": {"findings": {"Severity": {"Label": ["HIGH", "CRITICAL", "MEDIUM"]}}}
}
接下来,设置推送的SNS主题,如下图:
下一步配置标签,直接下一步。最后审核没问题后,直接创建这个规则即可,如下图:
总结
有AWS SNS和AWS EventBridge还是很容易支持,邮件推送的。
参考
- 为 Security Hub 发现配置 EventBridge 规则
- 通过 Amazon SNS 订阅 Security Hub 公告
- Use EventBridge for Security Hub Alerts
- Manage findings in Security Hub
- Correlate Security Findings With AWS Security Hub and Amazon EventBridge
- Severity
渗透测试指南)
