Amazon EventBridge を使用した Security Incident Response イベントの管理
Amazon EventBridge は、イベントを使用してアプリケーションコンポーネント同士を接続するサーバーレスサービスです。これにより、スケーラブルなイベント駆動型アプリケーションを簡単に構築できます。イベント駆動型アーキテクチャとは、イベントの発信と応答によって連携する、疎結合のソフトウェアシステムを構築するスタイルです。イベントとは、リソースまたは環境で発生した変更を指します。
処理の流れ
多くの AWS サービスと同様に、Security Incident Response は EventBridge のデフォルトのイベントバスにイベントを生成して送信します。(デフォルトのイベントバスは、AWS アカウントで自動的にプロビジョニングされます)。イベントバスは、イベントを受信するルーターであり、ゼロ個以上の送信先やターゲットに配信します。イベントが受信されると、ユーザーがイベントバスに対して指定したルールによって評価されます。各ルールは、イベントがルールのイベントパターンに一致するかどうかをチェックします。一致する場合、イベントバスはそのイベントを指定されたターゲットに送信します。
EventBridge ルールを使用した Security Incident Response イベントの配信
EventBridge のデフォルトイベントバスで Security Incident Response イベントをターゲットに送信させるには、ルールを作成する必要があります。各ルールにはイベントパターンが含まれており、EventBridge はイベントバスで受信した各イベントと照合します。イベントデータが指定したイベントパターンに一致すると、EventBridge は、ルールのターゲットにそのイベントを送信します。
イベントバスルールの詳細な作成方法については、「Amazon EventBridge ユーザーガイド」の「Creating rules that react to events」を参照してください。
Security Incident Response イベントに一致するイベントパターンの作成
各イベントパターンは JSON 形式のオブジェクトで、以下が含まれています。
-
イベントを送信するサービスを識別する
source属性。Security Incident Response イベントの場合、ソースは"aws.security-ir"です。 -
(オプション): 照合するイベントタイプの配列を含む
detail-type属性。 -
(オプション): 照合対象となるその他のイベントデータを含む
detail属性。
例えば、以下のイベントパターンは、指定された AWS アカウント のすべての Case Updated by AWS Security Incident Response Service イベントと一致します。
{ "version": "0", "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "detail-type": "Case Updated", "source": "aws.security-ir", "account": "111122223333", "time": "2023-05-12T03:45:00Z", "region": "us-west-2", "resources": [ "arn:aws:security-ir:us-west-2:111122223333:case/1234567890" ], "detail": { "caseId": "1234567890", "updatedBy": "security-ir.amazonaws.com" } }
イベントパターンの記述の詳細については、「EventBridge ユーザーガイド」の「Event patterns」を参照してください。
