Mengelola peristiwa Respons Insiden Keamanan menggunakan Amazon EventBridge - Respons Insiden Keamanan AWS Panduan Pengguna
Mengirim peristiwa Respon Insiden Keamanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengelola peristiwa Respons Insiden Keamanan menggunakan Amazon EventBridge

Amazon EventBridge adalah layanan tanpa server yang menggunakan peristiwa untuk menghubungkan komponen aplikasi bersama-sama, sehingga memudahkan Anda untuk membangun aplikasi berbasis peristiwa yang dapat diskalakan. Arsitektur berbasis peristiwa adalah gaya membangun sistem perangkat lunak yang digabungkan secara longgar yang bekerja sama dengan memancarkan dan menanggapi peristiwa. Peristiwa mewakili perubahan dalam sumber daya atau lingkungan.

Begini cara kerjanya:

Seperti banyak AWS layanan, Security Incident Response menghasilkan dan mengirim acara ke bus acara EventBridge default. (Bus acara default secara otomatis disediakan di AWS akun Anda.) Bus acara adalah router yang menerima acara dan mengirimkannya ke nol atau lebih tujuan, atau target. Aturan yang Anda tentukan untuk bus acara mengevaluasi peristiwa saat mereka tiba. Setiap aturan memeriksa apakah suatu peristiwa cocok dengan pola acara aturan. Jika acara tidak cocok, bus acara mengirimkan acara ke target yang ditentukan.

AWS layanan mengirim acara ke bus acara EventBridge default. Jika acara cocok dengan pola acara aturan, EventBridge kirimkan acara ke target yang ditentukan untuk aturan tersebut.

Menyampaikan peristiwa Security Incident Response menggunakan EventBridge aturan

Agar bus acara EventBridge default mengirim peristiwa Respons Insiden Keamanan ke target, Anda harus membuat aturan. Setiap aturan berisi pola acara, yang EventBridge cocok dengan setiap acara yang diterima di bus acara. Jika data peristiwa cocok dengan pola peristiwa yang ditentukan, EventBridge mengirimkan peristiwa itu ke target aturan.

Untuk petunjuk komprehensif tentang cara membuat aturan bus acara, lihat Membuat aturan yang bereaksi terhadap peristiwa di Panduan EventBridge Pengguna Amazon.

Membuat pola acara yang cocok dengan peristiwa Security Incident Response

Setiap pola acara adalah objek JSON yang berisi:

  • sourceAtribut yang mengidentifikasi layanan yang mengirim acara. Untuk peristiwa Respons Insiden Keamanan, sumbernya adalah"aws.security-ir".

  • (Opsional): detail-type Atribut yang berisi array jenis acara yang cocok.

  • (Opsional): detail Atribut yang berisi data acara lain yang cocok.

Misalnya, pola acara berikut cocok dengan semua Case Updated by Respons Insiden Keamanan AWS Service peristiwa untuk yang ditentukan Akun AWS:


                {
                  "version": "0",
                  "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
                  "detail-type": "Case Updated",
                  "source": "aws.security-ir",
                  "account": "111122223333",
                  "time": "2023-05-12T03:45:00Z",
                  "region": "us-west-2",
                  "resources": [
                    "arn:aws:security-ir:us-west-2:111122223333:case/1234567890"
                  ],
                  "detail": {
                    "caseId": "1234567890",
                    "updatedBy": "security-ir.amazonaws.com"
                  }
                }

Untuk informasi selengkapnya tentang penulisan pola acara, lihat Pola acara di Panduan EventBridge Pengguna.