翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Inspector の検出結果へのカスタムレスポンスを Amazon で作成する EventBridge
Amazon Inspector は、新しく生成された検出結果と集計された検出結果のイベントを Amazon EventBridge に作成します。また、Amazon Inspector は、検出結果の状態に対する変更のイベントを作成します。つまり、リソースの再起動やリソースに関連付けられたタグの変更などのアクションを実行すると、Amazon Inspector は検出結果の新しいイベントを作成します。Amazon Inspector が更新された検出結果の新しいイベントを作成すると、検出結果は変わりid
ません。
注記
アカウントが Amazon Inspector の委任された管理者アカウントである場合、 はイベントが発生したアカウントとメンバーアカウントにイベント EventBridge を発行します。
Amazon Inspector で EventBridge イベントを使用する場合、タスクを自動化して、検出結果によって明らかになったセキュリティ問題に対処できます。 EventBridge イベントに基づいて Amazon Inspector の検出結果に関する通知を受信するには、 EventBridge ルールを作成し、Amazon Inspector のターゲットを指定する必要があります。この EventBridge ルールは、 EventBridge が Amazon Inspector の検出結果の通知を送信することを許可し、ターゲットは通知の送信先を指定します。
Amazon Inspector AWS リージョン は、現在 Amazon Inspector を使用している のデフォルトのイベントバスにイベントを発行します。つまり、Amazon Inspector をアクティブ化し、イベントを受信するように Amazon Inspector AWS リージョン を設定した各 の EventBridge イベントルールを設定する必要があります。Amazon Inspector はベストエフォートベースでイベントを発行します。
このセクションでは、イベントスキーマの例と、 EventBridge ルールの作成方法について説明します。
イベントスキーマ
以下は、EC2検出結果イベントの Amazon Inspector イベント形式の例です。他の検出結果タイプやイベントタイプのスキーマの例については、「Amazon Inspector EventBridge イベントの Amazon イベントスキーマ Amazon Inspector 」を参照してください。
{ "version": "0", "id": "66a7a279-5f92-971c-6d3e-c92da0950992", "detail-type": "Inspector2 Finding", "source": "aws.inspector2", "account": "111122223333", "time": "2023-01-19T22:46:15Z", "region": "us-east-1", "resources": ["i-0c2a343f1948d5205"], "detail": { "awsAccountId": "111122223333", "description": "\n It was discovered that the sound subsystem in the Linux kernel contained a\n race condition in some situations. A local attacker could use this to cause\n a denial of service (system crash).", "exploitAvailable": "YES", "exploitabilityDetails": { "lastKnownExploitAt": "Oct 24, 2022, 11:08:59 PM" }, "findingArn": "arn:aws:inspector2:us-east-1:111122223333:finding/FINDING_ID", "firstObservedAt": "Jan 19, 2023, 10:46:15 PM", "fixAvailable": "YES", "lastObservedAt": "Jan 19, 2023, 10:46:15 PM", "packageVulnerabilityDetails": { "cvss": [{ "baseScore": 4.7, "scoringVector": "CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H", "source": "NVD", "version": "3.1" }], "referenceUrls": ["https://lore.kernel.org/all/CAFcO6XN7JDM4xSXGhtusQfS2mSBcx50VJKwQpCq=WeLt57aaZA@mail.gmail.com/", "https://ubuntu.com/security/notices/USN-5792-1", "https://ubuntu.com/security/notices/USN-5791-2", "https://ubuntu.com/security/notices/USN-5791-1", "https://ubuntu.com/security/notices/USN-5793-2", "https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=8423f0b6d513b259fdab9c9bf4aaa6188d054c2d", "https://ubuntu.com/security/notices/USN-5793-1", "https://ubuntu.com/security/notices/USN-5792-2", "https://ubuntu.com/security/notices/USN-5791-3", "https://ubuntu.com/security/notices/USN-5793-4", "https://ubuntu.com/security/notices/USN-5793-3", "https://git.kernel.org/linus/8423f0b6d513b259fdab9c9bf4aaa6188d054c2d(6.0-rc5)", "https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3303"], "relatedVulnerabilities": [], "source": "UBUNTU_CVE", "sourceUrl": "https://people.canonical.com/~ubuntu-security/cve/2022/CVE-2022-3303.html", "vendorCreatedAt": "Sep 27, 2022, 11:15:00 PM", "vendorSeverity": "medium", "vulnerabilityId": "CVE-2022-3303", "vulnerablePackages": [{ "arch": "X86_64", "epoch": 0, "fixedInVersion": "0:5.15.0.1027.31~20.04.16", "name": "linux-image-aws", "packageManager": "OS", "remediation": "apt update && apt install --only-upgrade linux-image-aws", "version": "5.15.0.1026.30~20.04.16" }] }, "remediation": { "recommendation": { "text": "None Provided" } }, "resources": [{ "details": { "awsEc2Instance": { "iamInstanceProfileArn": "arn:aws:iam::111122223333:instance-profile/AmazonSSMRoleForInstancesQuickSetup", "imageId": "ami-0b7ff1a8d69f1bb35", "ipV4Addresses": ["172.31.85.212", "44.203.45.27"], "ipV6Addresses": [], "launchedAt": "Jan 19, 2023, 7:53:14 PM", "platform": "UBUNTU_20_04", "subnetId": "subnet-8213f2a3", "type": "t2.micro", "vpcId": "vpc-ab6650d1" } }, "id": "i-0c2a343f1948d5205", "partition": "aws", "region": "us-east-1", "type": "AWS_EC2_INSTANCE" }], "severity": "MEDIUM", "status": "ACTIVE", "title": "CVE-2022-3303 - linux-image-aws", "type": "PACKAGE_VULNERABILITY", "updatedAt": "Jan 19, 2023, 10:46:15 PM" } }
Amazon Inspector の検出結果を通知する EventBridge ルールの作成
Amazon Inspector の検出結果の可視性を高めるために、 を使用してメッセージングハブ EventBridge に送信される自動検出結果アラートを設定できます。このトピックでは、E メール、Slack、または Amazon Chime に、CRITICAL
および HIGH
の重要度の検出結果に対するアラートを送信する方法を説明します。Amazon Simple Notification Service トピックをセットアップし、そのトピックを EventBridge イベントルールに接続する方法について説明します。
Step 1. Amazon SNSトピックとエンドポイントを設定する
自動アラートを設定するには、まず Amazon Simple Notification Service でトピックを設定し、エンドポイントを追加する必要があります。詳細については、SNS「」ガイドを参照してください。
この手順では、Amazon Inspector の検出結果データを送信したい場所を設定します。SNS トピックは、 EventBridge イベントルールの作成中または作成後にイベントルールに追加できます。
Step 2. Amazon Inspector の検出結果の EventBridge ルールを作成する
-
認証情報を使用してサインインします。
で Amazon EventBridge コンソールを開きますhttps://console.aws.amazon.com/events/
。 -
ナビゲーションペインから [ルール] を選択し、[ルールの作成] を選択します。
-
ルールの名前と必要に応じて説明を入力します。
-
[イベントパターンを持つルール] を選択してから、[次へ] を選択します。
-
イベントパターンペインで、カスタムパターン (JSON エディタ) を選択します。
-
エディタJSONに以下を貼り付けます。
{ "source": ["aws.inspector2"], "detail-type": ["Inspector2 Finding"], "detail": { "severity": ["HIGH", "CRITICAL"], "status": ["ACTIVE"] } }
注記
このパターンは、Amazon Inspector によって検出されたアクティブな
CRITICAL
またはHIGH
重要度の検出結果に関する通知を送信します。イベントパターンの入力が終了したら、[次へ] を選択します。
-
[ターゲットを選択] ページで、[AWS のサービス] を選択します。次に、ターゲットタイプを選択 で、SNSトピック を選択します。
-
トピック で、ステップ 1 で作成したSNSトピックの名前を選択します。次いで、[次へ] を選択します。
-
必要に応じてオプションのタグを追加し、[次へ] を選択します。
-
ルールを確認し、[ルールの作成] を選択します。
EventBridge for Amazon Inspector マルチアカウント環境
Amazon Inspector の委任された管理者の場合、 EventBridge メンバーアカウントからの該当する検出結果に基づいてルールがアカウントに表示されます。前のセクションで説明したように、管理者アカウント EventBridge で を使用して検出結果通知を設定すると、複数のアカウントに関する通知が届きます。つまり、ご自身のアカウントで生成された結果とイベントに加え、メンバーアカウントによって生成された結果とイベントが通知されます。
検出結果JSONの詳細accountId
から を使用して、Amazon Inspector の検出結果が発生したメンバーアカウントを特定できます。