创建自定义脚本自动隔离EC2实例

本节将向您介绍如何在Security Hub中创建一个自定义动作，以触发EventBridge规则。在这种情况下，EventBridge规则将调用一个Lambda函数来改变与Security Hub发现相关的EC2实例上的安全组。

在Security Hub中创建一个自定义脚本

1. 打开控制台的 Security Hub 。

2. 左侧菜单中选中 Settings。

3. 选择 Custom actions tab.

4. 选择 Create custom action button。

5. 输入 an Action Name, Action Description, and an Action ID 代表隔离EC2实例的行动.

Create custom action

complete

创建Amazon EventBridge规则来捕获自定义动作

在这一节中，你将定义一个EventBridge规则，它将匹配来自Security Hub的事件（发现），这些事件是由你上面定义的自定义动作转发的。

1. 打开控制台的 Amazon EventBridge

2. 点击右侧的 Create rule

3. 在 Define rule detail 页面给你的规则起一个 name 以及一个 description 描述规则的作用，然后点击 Next.

create a eventbridge rule

1. 在 Build event pattern 这一步， Event source 不需要改，还是 AWS Services。 往下找到 Event pattern. 下面的 Event source, 选中 Security Hub.

2. 在 Event Type, 选中 Security Hub Findings – Custom Action.

3. 然后选择 Specific custom action ARN(s) 单选按钮，输入 之前创建好的自定义行动的ARN。然后点击 Next.

在 Select target(s) 这一步，从 Select a target 的选项中选中 Lambda function。然后从Function 的选项中选中 isolate-ec2-security-group 。点击 Next.

1. 在 Configure tags 这一步点击 Next.

2. 在 Review and create 这一步点击 Create rule.

测试效果

现在你可以测试自动响应的效果。

1. 打开 Security Hub Dashboard.

2. 左侧菜单选择 Findings.

3. 筛选条件选择 Resource Type ，然后输入 AwsEc2Instance （大小写敏感）

4. 选中任意一个筛选出来的结果。

5. 打开finding中 Resources 的部分。

6. 点击EC2示例的Resource ID 蓝色链接

7. 点击实例记录，然后点击 Security tab 以及记下当前 security group 的名字。

1. 回到 Security Hub，然后点击同一个finding最左侧的选框。

2. 在 Actions 下拉中选择你用于隔离EC2 Instances的自定义活动custom action。

返回 EC2 browser tab。 刷新。 验证实例的安全组已经变成安全团队的安全组。