Amazon EventBridge를 사용하여 Amazon Inspector 결과에 대한 사용자 지정 응답 생성 - Amazon Inspector
이벤트 스키마Amazon Inspector 결과를 알리는 EventBridge 규칙 생성Amazon Inspector 다중 계정 환경용 EventBridge

Amazon EventBridge를 사용하여 Amazon Inspector 결과에 대한 사용자 지정 응답 생성

Amazon Inspector는 새로 생성된 조사 결과와 집계된 조사 결과에 대해 Amazon EventBridge에서 이벤트를 생성합니다. 또한 Amazon Inspector는 조사 결과의 상태 변경에 대한 이벤트도 생성합니다. 즉, 리소스를 다시 시작하거나 리소스와 관련된 태그를 변경하는 등의 작업을 수행하면 Amazon Inspector에서 조사 결과에 대한 새 이벤트를 생성합니다. Amazon Inspector에서 업데이트된 조사 결과에 대해 새 이벤트를 생성할 때 조사 결과 id는 동일하게 유지됩니다.

참고

계정이 Amazon Inspector 위임된 관리자 계정인 경우 EventBridge는 이벤트가 발생한 사용자의 계정과 멤버 계정에 이벤트를 게시합니다.

Amazon Inspector와 함께 EventBridge 이벤트를 사용하면 조사 결과로 드러난 보안 문제에 대응하는 데 도움이 되는 작업을 자동화할 수 있습니다. EventBridge 이벤트에 따라 Amazon Inspector 조사 결과에 대한 알림을 받으려면 EventBridge 규칙을 생성하고 Amazon Inspector의 대상을 지정해야 합니다. EventBridge 규칙을 사용하면 EventBridge가 Amazon Inspector 조사 결과에 대한 알림을 전송할 수 있으며, 대상에는 알림을 전송할 위치를 지정합니다.

Amazon Inspector는 현재 Amazon Inspector를 사용 중인 AWS 리전의 기본 이벤트 버스로 이벤트를 전송합니다. 즉, Amazon Inspector를 활성화하고 EventBridge 이벤트를 수신하도록 Amazon Inspector를 구성한 각 AWS 리전마다 이벤트 규칙을 구성해야 합니다. Amazon Inspector는 최선의 방식으로 이벤트를 생성합니다.

이 단원에서는 이벤트 스키마의 예를 제공하고 EventBridge 규칙을 생성하는 방법에 대해 설명합니다.

이벤트 스키마

다음은 EC2 결과 이벤트에 대한 Amazon Inspector 이벤트 형식의 예입니다. 다른 결과 유형 및 이벤트 유형의 스키마 예는 Amazon Inspector 이벤트에 대한 Amazon EventBridge 이벤트 스키마를 참조하세요.


{
    "version": "0",
    "id": "66a7a279-5f92-971c-6d3e-c92da0950992",
    "detail-type": "Inspector2 Finding",
    "source": "aws.inspector2",
    "account": "111122223333",
    "time": "2023-01-19T22:46:15Z",
    "region": "us-east-1",
    "resources": ["i-0c2a343f1948d5205"],
    "detail": {
        "awsAccountId": "111122223333",
        "description": "\n It was discovered that the sound subsystem in the Linux kernel contained a\n race condition in some situations. A local attacker could use this to cause\n a denial of service (system crash).",
        "exploitAvailable": "YES",
        "exploitabilityDetails": {
            "lastKnownExploitAt": "Oct 24, 2022, 11:08:59 PM"
        },
        "findingArn": "arn:aws:inspector2:us-east-1:111122223333:finding/FINDING_ID",
        "firstObservedAt": "Jan 19, 2023, 10:46:15 PM",
        "fixAvailable": "YES",
        "lastObservedAt": "Jan 19, 2023, 10:46:15 PM",
        "packageVulnerabilityDetails": {
            "cvss": [{
                "baseScore": 4.7,
                "scoringVector": "CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H",
                "source": "NVD",
                "version": "3.1"
            }],
            "referenceUrls": ["https://lore.kernel.org/all/CAFcO6XN7JDM4xSXGhtusQfS2mSBcx50VJKwQpCq=WeLt57aaZA@mail.gmail.com/", "https://ubuntu.com/security/notices/USN-5792-1", "https://ubuntu.com/security/notices/USN-5791-2", "https://ubuntu.com/security/notices/USN-5791-1", "https://ubuntu.com/security/notices/USN-5793-2", "https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=8423f0b6d513b259fdab9c9bf4aaa6188d054c2d", "https://ubuntu.com/security/notices/USN-5793-1", "https://ubuntu.com/security/notices/USN-5792-2", "https://ubuntu.com/security/notices/USN-5791-3", "https://ubuntu.com/security/notices/USN-5793-4", "https://ubuntu.com/security/notices/USN-5793-3", "https://git.kernel.org/linus/8423f0b6d513b259fdab9c9bf4aaa6188d054c2d(6.0-rc5)", "https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3303"],
            "relatedVulnerabilities": [],
            "source": "UBUNTU_CVE",
            "sourceUrl": "https://people.canonical.com/~ubuntu-security/cve/2022/CVE-2022-3303.html",
            "vendorCreatedAt": "Sep 27, 2022, 11:15:00 PM",
            "vendorSeverity": "medium",
            "vulnerabilityId": "CVE-2022-3303",
            "vulnerablePackages": [{
                "arch": "X86_64",
                "epoch": 0,
                "fixedInVersion": "0:5.15.0.1027.31~20.04.16",
                "name": "linux-image-aws",
                "packageManager": "OS",
                "remediation": "apt update && apt install --only-upgrade linux-image-aws",
                "version": "5.15.0.1026.30~20.04.16"
            }]
        },
        "remediation": {
            "recommendation": {
                "text": "None Provided"
            }
        },
        "resources": [{
            "details": {
                "awsEc2Instance": {
                    "iamInstanceProfileArn": "arn:aws:iam::111122223333:instance-profile/AmazonSSMRoleForInstancesQuickSetup",
                    "imageId": "ami-0b7ff1a8d69f1bb35",
                    "ipV4Addresses": ["172.31.85.212", "44.203.45.27"],
                    "ipV6Addresses": [],
                    "launchedAt": "Jan 19, 2023, 7:53:14 PM",
                    "platform": "UBUNTU_20_04",
                    "subnetId": "subnet-8213f2a3",
                    "type": "t2.micro",
                    "vpcId": "vpc-ab6650d1"
                }
            },
            "id": "i-0c2a343f1948d5205",
            "partition": "aws",
            "region": "us-east-1",
            "type": "AWS_EC2_INSTANCE"
        }],
        "severity": "MEDIUM",
        "status": "ACTIVE",
        "title": "CVE-2022-3303 - linux-image-aws",
        "type": "PACKAGE_VULNERABILITY",
        "updatedAt": "Jan 19, 2023, 10:46:15 PM"
    }
}

Amazon Inspector 결과를 알리는 EventBridge 규칙 생성

Amazon Inspector 결과의 가시성을 높이기 위해 EventBridge를 사용하여 자동 결과 알림을 메시징 허브로 보내도록 설정할 수 있습니다. 이 주제에서는 CRITICALHIGH 심각도 결과에 대한 알림을 이메일, Slack 또는 Amazon Chime으로 보내는 방법에 대해 설명합니다. Amazon Simple Notification Service 주제를 설정한 다음 해당 주제를 EventBridge 이벤트 규칙에 연결하는 방법을 알아봅니다.

단계 1. Amazon SNS 주제 및 엔드포인트 설정

자동 알림을 설정하려면 먼저 Amazon Simple Notification Service에서 주제를 설정하고 엔드포인트를 추가해야 합니다. 자세한 내용은 SNS 설명서를 참조하세요.

이 절차는 Amazon Inspector 결과 데이터를 보낼 위치를 설정합니다. SNS 주제는 이벤트 규칙을 생성하는 동안 또는 생성한 후에 EventBridge 이벤트 규칙에 추가할 수 있습니다.

Email setup
SNS 주제 생성

  1. Amazon SNS 콘솔(https://console.aws.amazon.com/sns/v3/home)에 로그인합니다.

  2. 탐색 창에서 주제를 선택한 다음 주제 생성을 선택합니다.

  3. 주제 생성 섹션에서 표준을 선택합니다. 주제 이름을 입력합니다(예: Inspector_to_Email). 기타 세부 정보는 선택 사항입니다.

  4. 주제 생성을 선택합니다. 그러면 새 주제에 대한 세부 정보가 포함된 새 패널이 열립니다.

  5. 구독 섹션에서 구독 생성을 선택합니다.

    1. 프로토콜 메뉴에서 이메일을 선택합니다.

    2. 엔드포인트 필드에 알림을 받을 이메일 주소를 입력합니다.

      참고

      구독을 생성한 후 이메일 클라이언트를 통해 구독을 확인해야 합니다.

    3. 구독 생성을 선택합니다.

  7. 받은 편지함에서 구독 메시지를 확인하고 구독 확인을 선택합니다.

Slack setup
SNS 주제 생성

  1. Amazon SNS 콘솔(https://console.aws.amazon.com/sns/v3/home)에 로그인합니다.

  2. 탐색 창에서 주제를 선택한 다음 주제 생성을 선택합니다.

  3. 주제 생성 섹션에서 표준을 선택합니다. 주제 이름을 입력합니다(예: Inspector_to_Slack). 기타 세부 정보는 선택 사항입니다. 주제 생성을 선택하여 엔드포인트 생성을 완료합니다.

AWS Chatbot 클라이언트 구성

  1. AWS Chatbot 콘솔(https://console.aws.amazon.com/chatbot/)로 이동합니다.

  2. 구성된 클라이언트 창에서 새 클라이언트 구성을 선택합니다.

  3. Slack을 선택한 다음 구성을 선택하여 확인합니다.

    참고

    Slack을 선택할 때는 허용을 선택하여 AWS Chatbot의 채널 액세스 권한을 확인해야 합니다.

  4. 새 채널 구성을 선택하여 구성 세부 정보 창을 엽니다.

    1. 채널 이름을 입력합니다.

    2. Slack 채널에서 사용할 채널을 선택합니다.

    3. Slack에서 채널 이름을 마우스 오른쪽 버튼으로 클릭하고 링크 복사를 선택하여 프라이빗 채널의 채널 ID를 복사합니다.

    4. AWS Management Console의 AWS Chatbot 창에서 Slack에서 복사한 채널 ID를 프라이빗 채널 ID 필드에 붙여넣습니다.

    5. 아직 역할이 없는 경우 권한에서 템플릿을 사용하여 IAM 역할을 생성하도록 선택합니다.

    6. 정책 템플릿에서 알림 권한을 선택합니다. 이는 AWS Chatbot에 대한 IAM 정책 템플릿입니다. 이 정책은 CloudWatch 경보, 이벤트, 로그, Amazon SNS 주제에 필요한 읽기 및 나열 권한을 제공합니다.

    7. 채널 가드레일 정책으로 AmazonInspector2ReadOnlyAccess를 선택합니다.

    8. 이전에 SNS 주제를 생성할 때 사용한 리전을 선택한 다음 생성한 Amazon SNS 주제를 선택하여 Slack 채널에 알림을 보냅니다.

  5. 구성을 선택합니다.

Amazon Chime setup
SNS 주제 생성

  1. Amazon SNS 콘솔(https://console.aws.amazon.com/sns/v3/home)에 로그인합니다.

  2. 탐색 창에서 주제를 선택한 다음 주제 생성을 선택합니다.

  3. 주제 생성 섹션에서 표준을 선택합니다. 주제 이름을 입력합니다(예: Inspector_to_Chime). 기타 세부 정보는 선택 사항입니다. 주제 생성을 선택하여 완료합니다.

AWS Chatbot 클라이언트 구성

  1. AWS Chatbot 콘솔(https://console.aws.amazon.com/chatbot/)로 이동합니다.

  2. 구성된 클라이언트 패널에서 새 클라이언트 구성을 선택합니다.

  3. Chime을 선택한 다음 구성을 선택하여 확인합니다.

  4. 구성 세부 정보 창에서 채널 이름을 입력합니다.

  5. Amazon Chime에서 원하는 채팅룸을 엽니다.

    1. 오른쪽 상단 모서리에 있는 기어 모양 아이콘을 선택하고 Manage webhooks(Webhook 관리)를 선택합니다.

    2. URL 복사를 선택하여 웹후크 URL을 클립보드에 복사합니다.

  6. AWS Management Console의 AWS Chatbot 창에서 웹후크 URL 필드로 복사한 URL을 붙여넣습니다.

  7. 아직 역할이 없는 경우 권한에서 템플릿을 사용하여 IAM 역할을 생성하도록 선택합니다.

  8. 정책 템플릿에서 알림 권한을 선택합니다. 이는 AWS Chatbot에 대한 IAM 정책 템플릿입니다. CloudWatch 경보, 이벤트, 로그, Amazon SNS 주제에 필요한 읽기 및 나열 권한을 제공합니다.

  9. 이전에 SNS 주제를 생성할 때 사용한 리전을 선택한 다음 생성한 Amazon SNS 주제를 선택하여 Amazon Chime 룸에 알림을 보냅니다.

  10. 구성을 선택합니다.

단계 2. Amazon Inspector 결과에 대한 EventBridge 규칙 생성

  1. 자격 증명을 사용하여 로그인합니다.

  2. Amazon EventBridge 콘솔(https://console.aws.amazon.com/events/)을 엽니다.

  3. 탐색 창에서 규칙을 선택한 다음 규칙 생성을 선택합니다.

  4. 규칙의 이름과 설명(선택 사항)을 입력합니다.

  5. 이벤트 패턴이 있는 규칙을 선택한 후다음을 선택합니다.

  6. 이벤트 패턴 창에서 사용자 지정 패턴(JSON 편집기)을 선택합니다.

  7. 다음 JSON을 편집기에 붙여넣습니다.

    {
  "source": ["aws.inspector2"],
  "detail-type": ["Inspector2 Finding"],
  "detail": {
    "severity": ["HIGH", "CRITICAL"],
    "status": ["ACTIVE"]
  }
}
    참고

    이 패턴은 Amazon Inspector에서 탐지한 모든 활성 CRITICAL 또는 HIGH 심각도 결과에 대해 알림을 보냅니다.

    이벤트 패턴 입력을 완료하면 다음을 선택합니다.

  8. 대상 선택 페이지에서 AWS 서비스를 선택합니다. 그런 다음 대상 유형 선택에서 SNS 주제를 선택합니다.

  9. 주제에서 1단계에서 생성한 SNS 주제의 이름을 선택합니다. 다음을 선택합니다.

  10. 필요한 경우 선택적 태그를 추가하고 다음을 선택합니다.

  11. 규칙을 검토한 다음 규칙 생성을 선택합니다.

Amazon Inspector 다중 계정 환경용 EventBridge

Amazon Inspector 위임 관리자인 경우 멤버 계정의 해당 결과에 따라 EventBridge 규칙이 계정에 표시됩니다. 이전 섹션에 설명된 대로, 관리자 계정의 EventBridge를 통해 결과 알림을 설정하면 다중 계정에 대한 알림을 받게 됩니다. 즉, 내 계정에서 생성된 결과와 이벤트 외에도 멤버 계정에서 생성된 결과와 이벤트에 대한 알림을 받게 됩니다.

결과의 JSON 세부 정보에 있는 accountId를 사용하여 Amazon Inspector 결과가 발생한 멤버 계정을 식별할 수 있습니다.