Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Tutorial: Verwaltung von Sicherheitsvorfällen in Incident Manager
Sie können Amazon und Incident Manager zusammen verwenden AWS Security Hub EventBridge, um Sicherheitsvorfälle in Ihren AWS gehosteten Anwendungen zu identifizieren und zu verwalten. In diesem Tutorial erfahren Sie, wie Sie eine EventBridge Regel konfigurieren, die auf automatisch gesendeten Ergebnissen von Security Hub basiert, einen Vorfall erstellt.
Anmerkung
In diesem Tutorial wird EventBridge Security Hub verwendet. Durch die Nutzung dieser Dienste können Ihnen Kosten entstehen.
Voraussetzungen
-
Richten Sie Security Hub ein. Weitere Informationen finden Sie unter Einrichten von AWS Security Hub.
-
Erstellen oder aktualisieren Sie Ergebnisse in Security Hub. Weitere Informationen finden Sie unter Ergebnisse in AWS Security Hub.
-
Konfigurieren Sie einen Reaktionsplan, den Incident Manager bei der Erstellung Ihres Sicherheitsvorfalls als Vorlage verwendet. Weitere Informationen finden Sie unter Vorbereitung auf Vorfälle im Incident Manager.
In diesem Tutorial verwenden wir ein vordefiniertes Muster, um die EventBridge Regel zu erstellen. Informationen zum Erstellen der Regel mithilfe eines benutzerdefinierten Musters finden Sie im AWS Security Hub Benutzerhandbuch unter Verwenden eines benutzerdefinierten Musters zum Erstellen der Regel.
Erstellen Sie eine EventBridge Regel
Öffnen Sie die EventBridge Amazon-Konsole unter https://console.aws.amazon.com/events/
. -
Wählen Sie im Navigationsbereich Regeln aus.
-
Wählen Sie Regel erstellen aus.
-
Geben Sie einen Name (Namen) und eine Description (Beschreibung) für die Regel ein.
Eine Regel darf nicht denselben Namen wie eine andere Regel in derselben Region und auf demselben Event Bus haben.
-
Bei Event bus (Ereignisbus) wählen Sie default (Standard) aus.
-
Bei Regeltyp wählen Sie Regel mit einem Ereignismuster aus.
-
Wählen Sie Weiter.
-
Wählen Sie als Quelle der Veranstaltung AWS Veranstaltungen oder EventBridge Partnerveranstaltungen aus.
-
Wählen Sie für Ereignismuster die Option Ereignismusterformular.
-
Als Event source (Ereignisquelle) wählen Sie AWS -Services aus.
-
Wählen Sie als AWS Service Security Hub.
-
Wählen Sie als Ereignistyp die Option Security Hub Findings — Importiert aus.
-
Standardmäßig EventBridge konfiguriert das Ereignismuster ohne Filterwerte. Für jedes Attribut ist die
attribute nameOption Beliebig ausgewählt. Aktualisieren Sie diese Filter, um Vorfälle zu erstellen, die auf den Sicherheitsergebnissen basieren, die sich am stärksten auf Ihre Umgebung auswirken. -
Klicken Sie auf Weiter.
-
Bei Zieltypen wählen Sie AWS -Service aus.
-
Wählen Sie unter Ziel auswählen die Option Incident Manager-Reaktionsplan aus.
-
Wählen Sie unter Reaktionsplan einen Reaktionsplan aus, der als Vorlage für erstellte Incidents verwendet werden soll.
-
EventBridge kann die IAM-Rolle erstellen, die für die Ausführung Ihrer Regel erforderlich ist.
-
Um eine IAM-Rolle automatisch zu erstellen, wählen Sie Neue Rolle für die spezifische Ressource erstellen aus.
-
Um eine IAM-Rolle zu verwenden, die bereits in Ihrem Konto vorhanden ist, wählen Sie Bestehende Rolle verwenden.
-
-
(Optional) Geben Sie ein oder mehrere Tags für die Regel ein.
-
Wählen Sie Weiter.
-
Überprüfen Sie die Details der Regel und wählen Sie dann Regel erstellen aus.
Nachdem Sie diese EventBridge Regel erstellt haben, führen Sicherheitsergebnisse, die den von Ihnen definierten Attributwerten entsprechen, zu Vorfällen in Incident Manager. Sie können diese Vorfälle nach dem Vorfall sortieren, verwalten, überwachen und Analysen nach dem Vorfall erstellen.
