Création de réponses personnalisées aux résultats d'Amazon Inspector avec Amazon EventBridge

Amazon Inspector crée un événement EventBridge pour Amazon en cas de résultats récemment générés, de résultats récemment agrégés et de modifications de l'état des résultats. Tout ce qui n'est pas une modification updatedAt des lastObservedAt champs et publiera un nouvel événement. Cela signifie que de nouveaux événements relatifs à une recherche sont générés lorsque vous effectuez des actions telles que le redémarrage d'une ressource ou la modification des balises associées à une ressource. Toutefois, l'ID de recherche dans le id champ reste le même. Les événements sont générés sur la base du meilleur effort.

Note

Si votre compte est un administrateur délégué Amazon Inspector, EventBridge publie des événements sur votre compte en plus du compte membre dont ils proviennent.

Lorsque vous utilisez EventBridge des événements avec Amazon Inspector, vous pouvez automatiser des tâches pour vous aider à répondre aux problèmes de sécurité révélés par les résultats d'Amazon Inspector.

Amazon Inspector émet des événements vers le bus d'événements par défaut de la même région. Cela signifie que vous devez configurer des règles d'événements pour chaque région dans laquelle vous exécutez Amazon Inspector afin de voir les événements de cette région.

Pour recevoir des notifications concernant les résultats d'Amazon Inspector basés sur EventBridge des événements, vous devez créer une EventBridge règle et une cible pour Amazon Inspector. Cette règle permet d'EventBridgeenvoyer des notifications concernant les résultats générés par Amazon Inspector à la cible spécifiée dans la règle. Pour plus d'informations, consultez les EventBridgerègles Amazon dans le Guide de EventBridge l'utilisateur Amazon.

Schéma d'événement

Voici des exemples d'événement Amazon Inspector pour un événement pour une recherche EC2. Pour un exemple de schéma d'autres types de recherche et d'événements, voirSchéma EventBridge d'événements Amazon pour les événements Amazon Inspector.

{
    "version": "0",
    "id": "66a7a279-5f92-971c-6d3e-c92da0950992",
    "detail-type": "Inspector2 Finding",
    "source": "aws.inspector2",
    "account": "111122223333",
    "time": "2023-01-19T22:46:15Z",
    "region": "us-east-1",
    "resources": ["i-0c2a343f1948d5205"],
    "detail": {
        "awsAccountId": "111122223333",
        "description": "\n It was discovered that the sound subsystem in the Linux kernel contained a\n race condition in some situations. A local attacker could use this to cause\n a denial of service (system crash).",
        "exploitAvailable": "YES",
        "exploitabilityDetails": {
            "lastKnownExploitAt": "Oct 24, 2022, 11:08:59 PM"
        },
        "findingArn": "arn:aws:inspector2:us-east-1:111122223333:finding/FINDING_ID",
        "firstObservedAt": "Jan 19, 2023, 10:46:15 PM",
        "fixAvailable": "YES",
        "lastObservedAt": "Jan 19, 2023, 10:46:15 PM",
        "packageVulnerabilityDetails": {
            "cvss": [{
                "baseScore": 4.7,
                "scoringVector": "CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H",
                "source": "NVD",
                "version": "3.1"
            }],
            "referenceUrls": ["https://lore.kernel.org/all/CAFcO6XN7JDM4xSXGhtusQfS2mSBcx50VJKwQpCq=WeLt57aaZA@mail.gmail.com/", "https://ubuntu.com/security/notices/USN-5792-1", "https://ubuntu.com/security/notices/USN-5791-2", "https://ubuntu.com/security/notices/USN-5791-1", "https://ubuntu.com/security/notices/USN-5793-2", "https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=8423f0b6d513b259fdab9c9bf4aaa6188d054c2d", "https://ubuntu.com/security/notices/USN-5793-1", "https://ubuntu.com/security/notices/USN-5792-2", "https://ubuntu.com/security/notices/USN-5791-3", "https://ubuntu.com/security/notices/USN-5793-4", "https://ubuntu.com/security/notices/USN-5793-3", "https://git.kernel.org/linus/8423f0b6d513b259fdab9c9bf4aaa6188d054c2d(6.0-rc5)", "https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3303"],
            "relatedVulnerabilities": [],
            "source": "UBUNTU_CVE",
            "sourceUrl": "https://people.canonical.com/~ubuntu-security/cve/2022/CVE-2022-3303.html",
            "vendorCreatedAt": "Sep 27, 2022, 11:15:00 PM",
            "vendorSeverity": "medium",
            "vulnerabilityId": "CVE-2022-3303",
            "vulnerablePackages": [{
                "arch": "X86_64",
                "epoch": 0,
                "fixedInVersion": "0:5.15.0.1027.31~20.04.16",
                "name": "linux-image-aws",
                "packageManager": "OS",
                "remediation": "apt update && apt install --only-upgrade linux-image-aws",
                "version": "5.15.0.1026.30~20.04.16"
            }]
        },
        "remediation": {
            "recommendation": {
                "text": "None Provided"
            }
        },
        "resources": [{
            "details": {
                "awsEc2Instance": {
                    "iamInstanceProfileArn": "arn:aws:iam::111122223333:instance-profile/AmazonSSMRoleForInstancesQuickSetup",
                    "imageId": "ami-0b7ff1a8d69f1bb35",
                    "ipV4Addresses": ["172.31.85.212", "44.203.45.27"],
                    "ipV6Addresses": [],
                    "launchedAt": "Jan 19, 2023, 7:53:14 PM",
                    "platform": "UBUNTU_20_04",
                    "subnetId": "subnet-8213f2a3",
                    "type": "t2.micro",
                    "vpcId": "vpc-ab6650d1"
                }
            },
            "id": "i-0c2a343f1948d5205",
            "partition": "aws",
            "region": "us-east-1",
            "type": "AWS_EC2_INSTANCE"
        }],
        "severity": "MEDIUM",
        "status": "ACTIVE",
        "title": "CVE-2022-3303 - linux-image-aws",
        "type": "PACKAGE_VULNERABILITY",
        "updatedAt": "Jan 19, 2023, 10:46:15 PM"
    }
}
    

Création d'une EventBridge règle pour vous informer des résultats d'Amazon Inspector

Pour améliorer la visibilité des résultats d'Amazon Inspector, vous pouvez EventBridge configurer des alertes de recherche automatisées qui sont envoyées à un hub de messagerie. Cette rubrique explique comment envoyer des alertes CRITICAL et des résultats de HIGH gravité par e-mail, Slack ou Amazon Chime. Vous allez apprendre à configurer une rubrique Amazon Simple Notification Service, puis à associer cette rubrique à une règle d'EventBridgeévénement.

Étape 1. Configuration d'une rubrique et d'un point de terminaison Amazon SNS

Pour configurer des alertes automatiques, vous devez d'abord configurer une rubrique dans Amazon Simple Notification Service et ajouter un point de terminaison. Pour plus d'informations, consultez le guide SNS.

Cette procédure définit à l'endroit où vous voulez envoyer les données de résultats Amazon Inspector. La rubrique SNS peut être ajoutée à une règle d'EventBridgeévénement pendant ou après la création de la règle d'événement.

Email setup

Création d'une rubrique SNS

1. Connectez-vous à la console Amazon SNS à l'adresse https://console.aws.amazon.com/sns/v3/home.

2. Dans le volet de navigation, sélectionnez Rubriques, puis sélectionnez Créer une rubrique.

3. Dans la section Créer une rubrique, sélectionnez Standard. Saisissez ensuite un nom pour une rubrique, par exempleInspector_to_Email. D'autres détails sont facultatifs.

4. Choisissez Créer la rubrique. Cela ouvre un nouveau panneau avec des détails pour votre nouveau sujet.

5. Dans la section Abonnements, sélectionnez Créer un abonnement.

6. 1. Dans le menu Protocole sélectionnez E-mail.

   2. Dans le champ Endpoint, saisissez l'adresse e-mail à laquelle vous souhaitez recevoir des notifications.

      Note

      Il vous sera demandé de confirmer votre abonnement via votre client de messagerie après avoir créé l'abonnement.

   3. Choisissez Create subscription (Créer un abonnement).

7. Recherchez un message d'abonnement dans votre boîte de réception et choisissez Confirmer l'abonnement.

Slack setup

Création d'une rubrique SNS

1. Connectez-vous à la console Amazon SNS à l'adresse https://console.aws.amazon.com/sns/v3/home.

2. Dans le volet de navigation, sélectionnez Rubriques, puis sélectionnez Créer une rubrique.

3. Dans la section Créer une rubrique, sélectionnez Standard. Saisissez ensuite un nom pour une rubrique, par exempleInspector_to_Slack. D'autres détails sont facultatifs. Choisissez Créer un sujet pour terminer la création du point de terminaison.

Configuration d'un AWS Chatbot client

1. Accédez à la console AWS Chatbot à l'adresse https://console.aws.amazon.com/chatbot/.

2. Dans le volet Clients configurés, sélectionnez Configurer un nouveau client.

3. Choisissez Slack, puis sélectionnez Configurer pour confirmer.

   Note

   Lorsque vous choisissez Slack, vous devez confirmer les autorisations d'accès AWS Chatbot à votre chaîne en sélectionnant Autoriser.

4. Sélectionnez Configurer un nouveau canal pour ouvrir le volet des détails de configuration.

   1. Saisissez un nom pour la chaîne.

   2. Pour un canal Slack, choisissez le canal que vous voulez utiliser.

   3. Dans Slack, copiez l'identifiant de la chaîne privée en cliquant avec le bouton droit sur le nom de la chaîne et en sélectionnant Copier le lien.

   4. Dans la AWS Chatbot fenêtreAWS Management Console, collez l'ID de la chaîne que vous avez copié depuis Slack dans le champ ID de la chaîne privée.

   5. Dans Autorisations, choisissez de créer un rôle IAM à l'aide d'un modèle si vous ne possédez pas encore de rôle.

   6. Pour les modèles de politiques, choisissez Autorisations de notification. Il s'agit du modèle de politique IAM pourAWS Chatbot. Cette politique fournit les autorisations de lecture et de liste nécessaires pour les CloudWatch alarmes, les événements et les journaux, ainsi que pour les rubriques Amazon SNS.

   7. Pour les politiques de garde-corps de la chaîne, choisissez AmazonInspector 2. ReadOnlyAccess

   8. Choisissez la région dans laquelle vous avez précédemment créé votre rubrique SNS, puis sélectionnez la rubrique Amazon SNS que vous avez créée pour envoyer des notifications au canal Slack.

5. Sélectionnez Configure (Configurer).

Amazon Chime setup

Création d'une rubrique SNS

1. Connectez-vous à la console Amazon SNS à l'adresse https://console.aws.amazon.com/sns/v3/home.

2. Sélectionnez Rubriques dans le volet de navigation, puis sélectionnez Créer une rubrique.

3. Dans la section Créer une rubrique, sélectionnez Standard. Saisissez ensuite un nom pour une rubrique, par exempleInspector_to_Chime. D'autres détails sont facultatifs. Choisissez Créer un sujet pour terminer.

Configuration d'un AWS Chatbot client

1. Accédez à la console AWS Chatbot à l'adresse https://console.aws.amazon.com/chatbot/.

2. Dans le panneau Clients configurés, sélectionnez Configurer un nouveau client.

3. Choisissez Chime, puis sélectionnez Configurer pour confirmer.

4. Dans le volet Détails de configuration, entrez le nom du canal.

5. Dans Amazon Chime, ouvrez la salle de conversation de votre choix.

   1. Choisissez l'icône d'engrenage dans le coin supérieur droit, puis sélectionnez Manage webhooks (Gérer les webhooks) .

   2. Sélectionnez Copier l'URL pour copier l'URL du webhook dans votre presse-papiers.

6. Dans la AWS Chatbot fenêtreAWS Management Console, collez l'URL que vous avez copiée dans le champ URL du Webhook.

7. Dans Autorisations, choisissez de créer un rôle IAM à l'aide d'un modèle si vous ne possédez pas encore de rôle.

8. Pour les modèles de politiques, choisissez Autorisations de notification. Il s'agit du modèle de politique IAM pourAWS Chatbot. Il fournit les autorisations de lecture et de liste nécessaires pour les CloudWatch alarmes, les événements et les journaux, ainsi que pour les rubriques Amazon SNS.

9. Choisissez la région dans laquelle vous avez précédemment créé votre rubrique SNS, puis sélectionnez la rubrique Amazon SNS que vous avez créée pour envoyer des notifications à la salle Amazon Chime.

10. Sélectionnez Configure (Configurer).

Étape 2. Création d'une EventBridge règle pour les résultats d'Amazon Inspector

1. Ouvrez la EventBridge console Amazon à l'adresse https://console.aws.amazon.com/events/.

2. Sélectionnez Règles dans le volet de navigation, puis sélectionnez Créer une règle.

3. Saisissez un nom et une description facultative pour votre règle.

4. Sélectionnez Règle avec un modèle d'événements, puis Suivant.

5. Dans le volet Modèle d'événement, choisissez Modèles personnalisés (éditeur JSON).

6. Collez le JSON suivant dans l'éditeur.

   {
     "source": ["aws.inspector2"],
     "detail-type": ["Inspector2 Finding"],
     "detail": {
       "severity": ["HIGH", "CRITICAL"],
       "status": ["ACTIVE"]
     }
   }               

   Note

   Ce modèle envoie des notifications pour tout indice actif CRITICAL ou de HIGH gravité détecté par Amazon Inspector.

   Sélectionnez Suivant lorsque vous avez fini de saisir le modèle d'événement.

7. Sur la page Sélectionner les cibles, choisissez Service AWS. Ensuite, pour Sélectionner le type de cible, choisissez la rubrique SNS.

8. Pour Rubrique, sélectionnez le nom de la rubrique SNS que vous avez créée à l'étape 1. Sélectionnez ensuite Next (Suivant).

9. Ajoutez des balises facultatives si nécessaire et choisissez Suivant.

10. Vérifiez votre règle, puis choisissez Créer une règle.

EventBridgepour les environnements multicomptes Amazon Inspector

Si vous êtes administrateur délégué d'Amazon Inspector, EventBridge les règles apparaissent sur votre compte en fonction des résultats applicables provenant de vos comptes de membre. Si vous configurez les notifications de résultats via EventBridge votre compte administrateur, comme indiqué dans la section précédente, vous recevrez des notifications concernant plusieurs comptes. En d'autres termes, vous serez informé des résultats et des événements générés par vos comptes de membre en plus de ceux générés par votre propre compte.

Vous pouvez utiliser les détails JSON accountId issus de la recherche pour identifier le compte membre à l'origine de la recherche Amazon Inspector.