AWS Security Hub邮件告警设置

问题

需要给AWS Security Hub设置邮件告警。

前提

已经启用AWS Security Hub。

AWS SNS

创建一个AWS Security Hub告警主题SecurityHub-Topic，如下图：

创建完成后，订阅该主题。

AWS EventBridge

设置规则名SecurityHubFindings-Rules，如下图：

设置过滤规则如下图：

这里配置事件内容如下：

{"source": ["aws.securityhub"],"detail-type": ["Security Hub Findings - Imported"]
}

这里不对Security Hub事件进行过滤，我们统统接受邮件。建议最好过滤一下告警级别，不然正常的消息也过来了，具体内容如下：

{"source": ["aws.securityhub"],"detail-type": ["Security Hub Findings - Imported"],"detail": {"findings": {"Severity": {"Label": ["HIGH", "CRITICAL", "MEDIUM"]}}}
}

接下来，设置推送的SNS主题，如下图：

下一步配置标签，直接下一步。最后审核没问题后，直接创建这个规则即可，如下图：

总结

有AWS SNS和AWS EventBridge还是很容易支持，邮件推送的。

参考

• 为 Security Hub 发现配置 EventBridge 规则
• 通过 Amazon SNS 订阅 Security Hub 公告
• Use EventBridge for Security Hub Alerts
• Manage findings in Security Hub
• Correlate Security Findings With AWS Security Hub and Amazon EventBridge
• Severity