チュートリアル: Incident Manager でのセキュリティインシデントの管理

AWS Security Hub、Amazon EventBridge、Incident Manager を一緒に使用して、 AWS ホストアプリケーション内のセキュリティインシデントを特定および管理できます。このチュートリアルでは、Security Hub によって自動的に送信される調査結果に基づいてインシデントを作成する EventBridge ルールの設定について説明します。

注記

このチュートリアルでは、EventBridge Security Hub を使用します。これらのサービスの使用によりコストが発生する場合があります。

前提条件

• Security Hub を設定します。詳細については、「AWS Security Hubの設定」を参照してください。

• Security Hub で調査結果を作成または更新します。詳細については、AWS Security Hubの調査結果を参照してください。

• Incident Manager がセキュリティインシデントを作成するときに、テンプレートとして使用する対応計画を設定します。詳細については、「Incident Manager でのインシデントへの準備」を参照してください。

このチュートリアル, では、定義済みのパターンを使用して EventBridge ルールを作成します。カスタムパターンを使用してルールを作成するには、「 AWS Security Hub ユーザーガイド」の「カスタムパターンを使用してルールを作成する」を参照してください。

EventBridge ルールを作成します

1. Amazon EventBridge コンソール (https://console.aws.amazon.com/events/) を開きます。

2. ナビゲーションペインで ルール] を選択します。

3. [ルールの作成] を選択します。

4. ルールの [Name (名前)] と [Description (説明)] に入力します。

   ルールには同じリージョン内および同じイベントバス上の別のルールと同じ名前を付けることはできません。

5. [イベントバス] として、[デフォルト] を選択します。

6. [ルールタイプ] では、[イベントパターンを持つルール] を選択します。

7. [Next (次へ)] を選択します。

8. [Event source] (イベントソース) で、[AWS events or EventBridge partner events] ( イベントまたは EventBridge パートナーイベント) を選択してください。

9. [イベントパターン] で、[イベントパターンフォーム] を選択します。

10. [イベントパターンフォーム] では、AWS [サービス] を選択します。

11. [AWS のサービス] で、[Security Hub] を選択します。

12. イベントタイプでは、Security Hub 調査結果 - インポートを選択します。

13. デフォルトで、EventBridge はフィルター値なしでイベントパターンを設定します。各属性では、いずれかの 属性名 オプションが選択されます。これらのフィルターを更新して、環境に最も影響を与えるセキュリティ調査結果に基づいてインシデントを作成します。

14. [次へ] をクリックします。

15. [ターゲットタイプ] で、[AWS のサービス] を選択してください。

16. [ターゲットの選択] では、[Incident Manager 対応計画] を選択します。

17. 対応計画では、作成したインシデントのテンプレートとして使用する対応計画を選択します。

18. EventBridge は、ルールの実行に必要な IAM ロールを作成できます。

    • 自動的に IAM ロールを作成するには、[特定のリソースに対して新しいロールを作成する] を選択します。

    • アカウントに既に存在する IAM ロールを使用するには、「既存のロールの使用」を選択します。

19. (オプション) ルールに 1 つ以上のタグを入力します。

20. [Next (次へ)] を選択します。

21. ルールの詳細を確認し、ルールの作成 を選択します。

この EventBridge ルールを作成したため、定義した属性値に一致するセキュリティ調査結果によって、Incident Manager でインシデントが作成されます。これらのインシデントから、インシデント後分析をトリアージ、管理、モニタリング、作成できます。