Verwaltung von Ereignissen zur Reaktion auf Sicherheitsvorfälle mithilfe von Amazon EventBridge - AWS Security Incident Response Benutzerleitfaden
Senden von Ereignissen zur Reaktion auf Sicherheitsvorfälle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwaltung von Ereignissen zur Reaktion auf Sicherheitsvorfälle mithilfe von Amazon EventBridge

Amazon EventBridge ist ein serverloser Service, der Ereignisse verwendet, um Anwendungskomponenten miteinander zu verbinden, sodass Sie leichter skalierbare, ereignisgesteuerte Anwendungen erstellen können. Bei der ereignisgesteuerten Architektur werden lose gekoppelte Softwaresysteme entwickelt, die zusammenarbeiten, indem sie Ereignisse senden und darauf reagieren. Ereignisse stellen eine Veränderung in einer Ressource oder Umgebung dar.

Funktionsweise:

Wie bei vielen AWS Diensten generiert Security Incident Response Ereignisse und sendet sie an den EventBridge Standard-Event-Bus. (Der Standard-Event-Bus wird automatisch in Ihrem AWS Konto bereitgestellt.) Ein Event Bus ist ein Router, der Ereignisse empfängt und sie an null oder mehr Ziele weiterleitet. Regeln, die Sie für den Event-Bus angeben, bewerten Ereignisse, sobald sie eintreffen. Jede Regel prüft, ob ein Ereignis mit dem Ereignismuster der Regel übereinstimmt. Wenn das Ereignis übereinstimmt, sendet der Event-Bus das Ereignis an die angegebenen Ziele.

AWS Dienste senden Ereignisse an den EventBridge Standard-Event-Bus. Wenn das Ereignis mit dem Ereignismuster einer Regel übereinstimmt, wird das Ereignis an die für diese Regel angegebenen Ziele EventBridge gesendet.

Bereitstellen von Ereignissen zur Reaktion auf Sicherheitsvorfälle mithilfe von EventBridge Regeln

Damit der EventBridge Standardereignisbus Security Incident Response-Ereignisse an ein Ziel sendet, müssen Sie eine Regel erstellen. Jede Regel enthält ein Ereignismuster, das EventBridge mit jedem Ereignis übereinstimmt, das auf dem Event-Bus empfangen wurde. Wenn die Ereignisdaten mit dem angegebenen Ereignismuster EventBridge übereinstimmen, wird dieses Ereignis an die Ziele der Regel gesendet.

Umfassende Anweisungen zur Erstellung von Event-Bus-Regeln finden Sie im EventBridge Amazon-Benutzerhandbuch unter Regeln erstellen, die auf Ereignisse reagieren.

Erstellen eines Ereignismusters, das den Ereignissen von Security Incident Response entspricht

Jedes Ereignismuster ist ein JSON-Objekt, das Folgendes enthält:

  • Ein source-Attribut, das den Service identifiziert, der das Ereignis sendet. Für Security Incident Response-Ereignisse lautet die Quelle"aws.security-ir".

  • (Optional): Ein detail-type-Attribut, das ein Array der zuzuordnenden Ereignistypen enthält.

  • (Optional): Ein detail-Attribut, das alle anderen Ereignisdaten für den Abgleich enthält.

Das folgende Ereignismuster entspricht beispielsweise allen Case Updated by AWS Security Incident Response Service Ereignissen für ein bestimmtes Ereignis AWS-Konto:


                {
                  "version": "0",
                  "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
                  "detail-type": "Case Updated",
                  "source": "aws.security-ir",
                  "account": "111122223333",
                  "time": "2023-05-12T03:45:00Z",
                  "region": "us-west-2",
                  "resources": [
                    "arn:aws:security-ir:us-west-2:111122223333:case/1234567890"
                  ],
                  "detail": {
                    "caseId": "1234567890",
                    "updatedBy": "security-ir.amazonaws.com"
                  }
                }

Weitere Informationen zum Schreiben von Ereignismustern finden Sie unter Ereignismuster im EventBridge Benutzerhandbuch.