Envoi d'événements de réponse aux incidents de sécurité

Gestion des événements de réponse aux incidents de sécurité à l'aide d'Amazon EventBridge

Amazon EventBridge est un service sans serveur qui utilise des événements pour connecter les composants de l'application entre eux, ce qui vous permet de créer plus facilement des applications évolutives pilotées par des événements. Une architecture pilotée par les événements est un style de création de systèmes logiciels faiblement couplés qui fonctionnent ensemble en émettant des événements et en y répondant. Les événements représentent une modification d'une ressource ou d'un environnement.

Voici comment cela fonctionne :

Comme c'est le cas pour de nombreux AWS services, Security Incident Response génère et envoie des événements au bus d'événements EventBridge par défaut. (Le bus d'événements par défaut est automatiquement configuré dans votre AWS compte.) Un bus d'événements est un routeur qui reçoit des événements et les transmet à zéro ou plusieurs destinations, ou cibles. Les règles que vous définissez pour le bus d'événements évaluent les événements à leur arrivée. Chaque règle vérifie si un événement correspond au modèle d'événements de la règle. Si l'événement correspond, le bus d'événements envoie l'événement aux cibles spécifiées.

AWS les services envoient des événements au bus d'événements EventBridge par défaut. Si l'événement correspond au modèle d'événement d'une règle, EventBridge envoie l'événement aux cibles spécifiées pour cette règle.

Organisation d'événements de réponse aux incidents de sécurité à l'aide de EventBridge règles

Pour que le bus d'événements EventBridge par défaut envoie des événements de réponse aux incidents de sécurité à une cible, vous devez créer une règle. Chaque règle contient un modèle d'événement, qui EventBridge correspond à chaque événement reçu sur le bus d'événements. Si les données de l'événement correspondent au modèle d'événement spécifié, EventBridge transmet cet événement aux cibles de la règle.

Pour obtenir des instructions complètes sur la création de règles de bus d'événements, consultez la section Création de règles qui réagissent aux événements dans le guide de EventBridge l'utilisateur Amazon.

Création d'un modèle d'événements correspondant aux événements de réponse aux incidents de sécurité

Chaque modèle d'événement est un objet JSON qui contient :

Un attribut source qui identifie le service qui envoie l’événement. Pour les événements de réponse aux incidents de sécurité, la source est"aws.security-ir".
(Facultatif) : un attribut detail-type qui contient un tableau des types d’événements à associer.
(Facultatif) : un attribut detail qui contient toute autre donnée d’événement à rechercher.

Par exemple, le modèle d'événement suivant correspond à tous les Case Updated by Réponse aux incidents de sécurité AWS Service événements d'un événement spécifique Compte AWS :



                {
                  "version": "0",
                  "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
                  "detail-type": "Case Updated",
                  "source": "aws.security-ir",
                  "account": "111122223333",
                  "time": "2023-05-12T03:45:00Z",
                  "region": "us-west-2",
                  "resources": [
                    "arn:aws:security-ir:us-west-2:111122223333:case/1234567890"
                  ],
                  "detail": {
                    "caseId": "1234567890",
                    "updatedBy": "security-ir.amazonaws.com"
                  }
                }

Pour plus d'informations sur la rédaction de modèles d'événements, consultez la section Modèles d'événements dans le guide de EventBridge l'utilisateur.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Référence détaillée des événements