Tutorial: Mengelola insiden keamanan di Manajer Insiden

Anda dapat menggunakan AWS Security Hub, Amazon EventBridge, dan Manajer Insiden bersama-sama untuk mengidentifikasi dan mengelola insiden keamanan di aplikasi yang AWS di-hosted Anda. Tutorial ini memandu Anda melalui konfigurasi EventBridge aturan yang membuat insiden berdasarkan temuan Security Hub yang dikirim secara otomatis.

catatan

Tutorial ini menggunakan EventBridge Security Hub. Anda mungkin dikenakan biaya dari menggunakan layanan ini.

Prasyarat

• Siapkan Security Hub. Untuk informasi selengkapnya, lihat Menyiapkan AWS Security Hub.

• Buat atau perbarui temuan di Security Hub. Untuk informasi lebih lanjut, lihat Temuan di AWS Security Hub.

• Konfigurasikan rencana respons yang akan digunakan Manajer Insiden sebagai templat saat membuat insiden keamanan Anda. Untuk informasi selengkapnya, lihat Mempersiapkan Insiden di Manajer Insiden.

Untuk tutorial ini, kita menggunakan pola yang telah ditentukan untuk membuat EventBridge aturan. Untuk membuat aturan menggunakan pola kustom, lihat Menggunakan pola kustom untuk membuat aturan dalam panduan AWS Security Hub pengguna.

Buat EventBridge aturan

1. Buka EventBridge konsol Amazon di https://console.aws.amazon.com/events/.

2. Di panel navigasi, pilih Aturan.

3. Pilih Buat aturan.

4. Masukkan Nama dan Deskripsi untuk aturan tersebut.

   Aturan tidak boleh memiliki nama yang sama dengan aturan lain di Wilayah yang sama dan di bus peristiwa yang sama.

5. Untuk Bus peristiwa, pilih default.

6. Untuk Tipe aturan, pilih Aturan dengan pola peristiwa.

7. Pilih Selanjutnya.

8. Untuk sumber Acara, pilih AWS acara atau acara EventBridge mitra.

9. Untuk pola Acara, pilih Formulir pola acara.

10. Untuk Sumber peristiwa, pilih Layanan AWS .

11. Untuk AWS layanan, pilih Security Hub.

12. Untuk jenis Acara, pilih Temuan Security Hub - Imported.

13. Secara default, EventBridge mengkonfigurasi pola acara tanpa nilai filter apa pun. Untuk setiap atribut, attribute name opsi Any dipilih. Perbarui filter ini untuk membuat insiden berdasarkan temuan keamanan yang paling memengaruhi lingkungan Anda.

14. Klik Berikutnya.

15. Untuk Jenis target, pilih Layanan AWS .

16. Untuk Pilih target, pilih Rencana respons Manajer Insiden.

17. Untuk paket Respons, pilih paket respons yang akan digunakan sebagai templat untuk insiden yang dibuat.

18. EventBridge dapat membuat peran IAM yang diperlukan agar aturan Anda berjalan.

    • Untuk membuat peran IAM secara otomatis, pilih Buat peran baru untuk sumber daya tertentu.

    • Untuk menggunakan peran IAM yang sudah ada di akun Anda, pilih Gunakan peran yang ada.

19. (Opsional) Masukkan satu atau lebih tanda untuk aturan.

20. Pilih Berikutnya.

21. Tinjau detail aturan dan pilih Buat aturan.

Sekarang setelah Anda membuat EventBridge aturan ini, temuan keamanan yang cocok dengan nilai atribut yang Anda tentukan akan membuat insiden di Manajer Insiden. Anda dapat melakukan triase, mengelola, memantau, dan membuat analisis pasca-insiden dari insiden ini.