Запретить отправку дублированных результатов Securityhub в Slack

Question

Запретить отправку дублированных результатов Securityhub в Slack

Я отправляю результаты SecurityHub New в канал Slack, однако проблема в том, что он отправляет одни и те же результаты снова и снова, и это будет очень шумно в канале.

Правило события, как показано ниже:

      EventRule: 
    Type: AWS::Events::Rule
    Properties: 
      Description: "EventRule"
      EventPattern: 
        source: 
          - "aws.securityhub"
        detail-type: 
          - "Security Hub Findings - Imported" 
        detail:
          findings: 
            Workflow:
              Status:
                - "NEW" 
      State: "ENABLED"
      Targets: 
        - 
          Arn: 
            Fn::GetAtt: 
              - "LambdaFunction"
              - "Arn"
          Id: "TargetFunctionV1"

Я попробовал способ, упомянутый в сообщении, установив для вывода значение «Уведомлено» после отправки нового вывода в Slack:

      responsestatus = client.batch_update_findings(
        FindingIdentifiers=[
            {
                'Id': ID,
                'ProductArn': productarn
            },
        ],
        Workflow={
            'Status': 'NOTIFIED'
        }
      )
      print("State updated as Notified!")

Однако на следующий день я увидел, что те же результаты были снова отправлены в канал Slack. После проверки в документе AWS кажется, что AWS меняет статус рабочего процесса Notified на New:https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Workflow.html

Кто-нибудь нашел способ предотвратить отправку повторяющихся результатов?

1

python aws-security-hub

Источник

user5946384 20 май '21 в 15:28

0 ответов

Другие вопросы по тегам python aws-security-hub