Invio di eventi Security Incident Response

Gestione degli eventi di Security Incident Response tramite Amazon EventBridge

Amazon EventBridge è un servizio serverless che utilizza gli eventi per connettere tra loro i componenti delle applicazioni, semplificando la creazione di applicazioni scalabili basate sugli eventi. L'architettura basata su eventi è uno stile di creazione di sistemi software ad accoppiamento debole che interagiscono emettendo e rispondendo a eventi. Gli eventi rappresentano un cambiamento in una risorsa o in un ambiente.

Come funziona:

Come molti AWS servizi, Security Incident Response genera e invia eventi al bus eventi EventBridge predefinito. (Il bus degli eventi predefinito viene fornito automaticamente nel tuo AWS account.) Un router di eventi è un router che riceve eventi e li invia a nessuna o a più destinazioni o target. Le regole specificate per il bus degli eventi valutano gli eventi man mano che arrivano. Ogni regola verifica se un evento corrisponde al modello di evento della regola. Se l'evento corrisponde, il bus degli eventi invia l'evento alle destinazioni specificate.

AWS i servizi inviano gli eventi al bus degli eventi EventBridge predefinito. Se l'evento corrisponde al modello di evento di una regola, EventBridge invia l'evento ai target specificati per quella regola.

Distribuzione di eventi Security Incident Response utilizzando EventBridge le regole

Per fare in modo che il bus degli eventi EventBridge predefinito invii gli eventi di Security Incident Response a una destinazione, è necessario creare una regola. Ogni regola contiene uno schema di eventi, che EventBridge corrisponde a ogni evento ricevuto sull'event bus. Se i dati dell'evento corrispondono al modello di evento specificato, EventBridge invia quell'evento ai destinatari della regola.

Per istruzioni complete sulla creazione di regole per i bus degli eventi, consulta la sezione Creazione di regole che reagiscono agli eventi nella Amazon EventBridge User Guide.

Creazione di pattern di eventi che corrispondano agli eventi di Security Incident Response

Ogni modello di evento è un oggetto JSON che contiene:

Un attributo source che identifica il servizio che invia l'evento. Per gli eventi Security Incident Response, l'origine è"aws.security-ir".
(Facoltativo): Un attributo detail-type che contiene una serie di tipi di eventi da abbinare.
(Facoltativo): Un attributo detail contenente qualsiasi altro dato relativo all'evento da abbinare.

Ad esempio, il seguente schema di eventi corrisponde a tutti Case Updated by AWS Security Incident Response Service gli eventi di un determinato periodo Account AWS:



                {
                  "version": "0",
                  "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
                  "detail-type": "Case Updated",
                  "source": "aws.security-ir",
                  "account": "111122223333",
                  "time": "2023-05-12T03:45:00Z",
                  "region": "us-west-2",
                  "resources": [
                    "arn:aws:security-ir:us-west-2:111122223333:case/1234567890"
                  ],
                  "detail": {
                    "caseId": "1234567890",
                    "updatedBy": "security-ir.amazonaws.com"
                  }
                }

Per ulteriori informazioni sulla scrittura di modelli di eventi, consultate Event pattern nella Guida EventBridge per l'utente.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Riferimento ai dettagli sugli eventi