Tutoriel : Gestion des incidents de sécurité dans Incident Manager

Vous pouvez utiliser AWS Security Hub Amazon EventBridge et Incident Manager ensemble pour identifier et gérer les incidents de sécurité dans vos applications AWS hébergées. Ce didacticiel explique comment configurer une EventBridge règle qui crée un incident en fonction des résultats envoyés automatiquement par Security Hub.

Note

Ce didacticiel utilise EventBridge Security Hub. L'utilisation de ces services peut entraîner des frais.

Prérequis

Configurez Security Hub. Pour plus d’informations, consultez Configuration de AWS Security Hub.
Créez ou mettez à jour des résultats dans Security Hub. Pour plus d'informations, voir Conclusions dans AWS Security Hub.
Configurez un plan de réponse qu'Incident Manager utilisera comme modèle lors de la création de votre incident de sécurité. Pour de plus amples informations, veuillez consulter Préparation aux incidents dans Incident Manager.

Pour ce didacticiel, nous utilisons un modèle prédéfini pour créer la EventBridge règle. Pour créer la règle à l'aide d'un modèle personnalisé, consultez la section Utilisation d'un modèle personnalisé pour créer la règle dans le guide de AWS Security Hub l'utilisateur.

Création d'une EventBridge règle

Ouvrez la EventBridge console Amazon à l'adresse https://console.aws.amazon.com/events/.
Dans le volet de navigation, choisissez Règles.
Choisissez Créer une règle.
Saisissez un Nom et une Description pour la règle.

Une règle ne peut pas avoir le même nom qu’une autre règle de la même région et sur le même bus d’événement.
Pour Event bus (Bus d’événement), choisissez default (défaut).
Pour Type de règle, choisissez Règle avec un modèle d’événement.
Choisissez Suivant.
Dans Source de l'événement, choisissez AWS des événements ou des événements EventBridge partenaires.
Pour Modèle d'événement, choisissez Formulaire de modèle d'événement.
Pour Source d'événement, choisissez Services AWS .
Pour le AWS service, choisissez Security Hub.
Dans Type d'événement, choisissez Security Hub Findings - Imported.
Par défaut, EventBridge configure le modèle d'événement sans aucune valeur de filtre. Pour chaque attribut, l'attribute nameoption Tous est sélectionnée. Mettez à jour ces filtres pour créer des incidents basés sur les résultats de sécurité qui ont le plus d'impact sur votre environnement.
Cliquez sur Next (Suivant).
Pour Types de cibles, choisissez service AWS .
Pour Sélectionner une cible, choisissez le plan de réponse d'Incident Manager.
Pour Plan de réponse, choisissez un plan de réponse à utiliser comme modèle pour les incidents créés.
EventBridge peut créer le rôle IAM nécessaire à l'exécution de votre règle.
- Pour créer automatiquement un rôle IAM, choisissez Créer un nouveau rôle pour la ressource spécifique.
- Pour utiliser un rôle IAM qui existe déjà dans votre compte, choisissez Utiliser un rôle existant.
(Facultatif) Saisissez une ou plusieurs balises pour la règle.
Choisissez Suivant.
Consultez les détails de la règle et choisissez Create rule (Créer une règle).

Maintenant que vous avez créé cette EventBridge règle, les résultats de sécurité correspondant aux valeurs d'attribut que vous avez définies créeront des incidents dans Incident Manager. Vous pouvez trier, gérer, surveiller et créer une analyse post-incident à partir de ces incidents.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Utilisation de runbooks avec Incident Manager

Balisage de ressources