Envío de eventos de Respuesta ante incidentes de seguridad

Administración de eventos de Respuesta ante incidentes de seguridad mediante Amazon EventBridge

Amazon EventBridge es un servicio sin servidor que utiliza eventos para conectar los componentes de la aplicación entre sí, lo que facilita la creación de aplicaciones escalables basadas en eventos. La arquitectura basada en eventos es un estilo de creación de sistemas de software de acoplamiento flexible que funcionan juntos emitiendo eventos y respondiendo a ellos. Los eventos representan un cambio en un recurso o entorno.

Así es como funciona:

Como ocurre con muchos servicios de AWS, Respuesta ante incidentes de seguridad genera y envía eventos al bus de eventos predeterminado de EventBridge. (El bus de eventos predeterminado se aprovisiona de manera automática en su cuenta de AWS). Un bus de eventos es un enrutador que recibe eventos y los envía a cero o más destinos u objetivos. Las reglas que se especifican al bus de eventos evalúan los eventos a medida que llegan. Cada regla comprueba si un evento coincide con el patrón de evento de la regla. Si el evento coincide, el bus de eventos envía el evento a los destinos especificados.

Los servicios de AWS envían eventos al bus de eventos predeterminado de EventBridge. Si un evento coincide con el patrón de eventos de una regla, EventBridge envía el evento a los destinos especificados en la regla.

Entrega de eventos de Respuesta ante incidentes de seguridad mediante reglas de EventBridge

Para que el bus de eventos predeterminado de EventBridge envíe los eventos de Respuesta ante incidentes de seguridad a un destino, debe crear una regla. Cada regla contiene un patrón de eventos, que EventBridge compara con cada evento recibido en el bus de eventos. Si los datos del evento coinciden con el patrón de evento especificado, EventBridge entrega ese evento al o a los destinos de la regla.

Para obtener instrucciones detalladas sobre cómo crear reglas de bus de eventos, consulte Creating rules that react to events en la Guía del usuario de Amazon EventBridge.

Creación de patrones de eventos que coincidan con los eventos de Respuesta ante incidentes de seguridad

Cada patrón de eventos es un objeto JSON que contiene:

Un atributo source que identifica el servicio que envía el evento. En el caso de los eventos de Respuesta ante incidentes de seguridad, el origen es "aws.security-ir".
(Opcional): un atributo detail-type que contiene una matriz de los tipos de eventos que deben coincidir.
(Opcional): un atributo detail que contiene cualquier otro dato de evento con el que coincidir.

Por ejemplo, el siguiente patrón de eventos coincide con todos los eventos de Case Updated by Respuesta frente a incidencias de seguridad de AWS Service de una Cuenta de AWS especificada:



                {
                  "version": "0",
                  "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
                  "detail-type": "Case Updated",
                  "source": "aws.security-ir",
                  "account": "111122223333",
                  "time": "2023-05-12T03:45:00Z",
                  "region": "us-west-2",
                  "resources": [
                    "arn:aws:security-ir:us-west-2:111122223333:case/1234567890"
                  ],
                  "detail": {
                    "caseId": "1234567890",
                    "updatedBy": "security-ir.amazonaws.com"
                  }
                }

Para obtener más información sobre la escritura de los patrones de eventos, consulte Patrones de eventos en la Guía del usuario de EventBridge.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Referencia detallada de los eventos