自动添加自定义字段到Findings告警，"Tag production findings"

操作配置

比如我们要为所有生产账号内的资源相关的告警打标签。

1. 在Security Hub打开 Automations 页面。

2. 点击 Create rule.

3. 对于这个自动化规则，我们选择 Create custom rule.

4. 更改 Rule name 为 "Tag production findings".

5. 更改 Rule description 为 "Tag findings for resources in production accounts".

6. 这个规则中我们需要一个指标. 设置 Key 为 AwsAccountId. 设置 Operator 为 EQUALS. 设置 Value 为你正在使用的账号/你的生产环境的账号。 账号 ID 可以从控制台右上角找到。

7. 点击 Refresh 预览符合指标的告警。

8. 在下面找到 Automated action. 在 Note 输入 "This finding is in a production account (identified via automation rule)".

9. 点击 Add another key-value pair. 在 Key 输入 "Environment". 在 Value 输入 "Production".

10. 其他都使用默认设置，然后点击 Create rule.