기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon을 사용하여 Amazon Inspector의 조사 결과에 대한 사용자 지정 응답 생성 EventBridge
Amazon Inspector는 새로 생성된 검색 결과 및 집계된 결과에 EventBridge 대해 Amazon에서 이벤트를 생성합니다. Amazon Inspector는 검색 결과 상태의 변경 사항에 대한 이벤트도 생성합니다. 즉, Amazon Inspector는 사용자가 리소스를 다시 시작하거나 리소스와 관련된 태그를 변경하는 등의 작업을 수행할 때 검색 결과에 대한 새 이벤트를 생성합니다. Amazon Inspector에서 업데이트된 결과에 대해 새 이벤트를 생성해도 검색 결과는 id 동일하게 유지됩니다.
참고
Amazon Inspector의 위임 관리자 계정인 경우 이벤트가 발생한 사용자 계정 및 멤버 계정에 이벤트를 EventBridge 게시합니다.
Amazon Inspector에서 EventBridge 이벤트를 사용하면 작업을 자동화하여 조사 결과로 드러난 보안 문제에 대응하는 데 도움이 될 수 있습니다. EventBridge 이벤트를 기반으로 Amazon Inspector 조사 결과에 대한 알림을 받으려면 EventBridge 규칙을 생성하고 Amazon Inspector의 대상을 지정해야 합니다. EventBridge 규칙은 Amazon Inspector 조사 결과에 대한 알림을 보낼 수 EventBridge 있도록 허용하며, 대상은 알림을 보낼 위치를 지정합니다.
Amazon Inspector는 현재 Amazon Inspector를 사용하고 AWS 리전 있는 곳의 기본 이벤트 버스로 이벤트를 내보냅니다. 즉, Amazon Inspector를 활성화하고 이벤트를 수신하도록 Amazon Inspector를 구성한 각 AWS 리전 위치에 대해 이벤트 규칙을 구성해야 합니다. EventBridge Amazon Inspector는 최선을 다해 이벤트를 내보냅니다.
이 섹션에서는 이벤트 스키마의 예를 제공하고 규칙을 생성하는 방법을 설명합니다. EventBridge
이벤트 스키마
다음은 EC2 찾기 이벤트에 사용되는 Amazon Inspector 이벤트 형식의 예입니다. 다른 결과 유형 및 이벤트 유형의 스키마 예는 아마존 인스펙터 EventBridge 이벤트를 위한 아마존 이벤트 스키마를 참조하세요.
{ "version": "0", "id": "66a7a279-5f92-971c-6d3e-c92da0950992", "detail-type": "Inspector2 Finding", "source": "aws.inspector2", "account": "111122223333", "time": "2023-01-19T22:46:15Z", "region": "us-east-1", "resources": ["i-0c2a343f1948d5205"], "detail": { "awsAccountId": "111122223333", "description": "\n It was discovered that the sound subsystem in the Linux kernel contained a\n race condition in some situations. A local attacker could use this to cause\n a denial of service (system crash).", "exploitAvailable": "YES", "exploitabilityDetails": { "lastKnownExploitAt": "Oct 24, 2022, 11:08:59 PM" }, "findingArn": "arn:aws:inspector2:us-east-1:111122223333:finding/FINDING_ID", "firstObservedAt": "Jan 19, 2023, 10:46:15 PM", "fixAvailable": "YES", "lastObservedAt": "Jan 19, 2023, 10:46:15 PM", "packageVulnerabilityDetails": { "cvss": [{ "baseScore": 4.7, "scoringVector": "CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H", "source": "NVD", "version": "3.1" }], "referenceUrls": ["https://lore.kernel.org/all/CAFcO6XN7JDM4xSXGhtusQfS2mSBcx50VJKwQpCq=WeLt57aaZA@mail.gmail.com/", "https://ubuntu.com/security/notices/USN-5792-1", "https://ubuntu.com/security/notices/USN-5791-2", "https://ubuntu.com/security/notices/USN-5791-1", "https://ubuntu.com/security/notices/USN-5793-2", "https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=8423f0b6d513b259fdab9c9bf4aaa6188d054c2d", "https://ubuntu.com/security/notices/USN-5793-1", "https://ubuntu.com/security/notices/USN-5792-2", "https://ubuntu.com/security/notices/USN-5791-3", "https://ubuntu.com/security/notices/USN-5793-4", "https://ubuntu.com/security/notices/USN-5793-3", "https://git.kernel.org/linus/8423f0b6d513b259fdab9c9bf4aaa6188d054c2d(6.0-rc5)", "https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3303"], "relatedVulnerabilities": [], "source": "UBUNTU_CVE", "sourceUrl": "https://people.canonical.com/~ubuntu-security/cve/2022/CVE-2022-3303.html", "vendorCreatedAt": "Sep 27, 2022, 11:15:00 PM", "vendorSeverity": "medium", "vulnerabilityId": "CVE-2022-3303", "vulnerablePackages": [{ "arch": "X86_64", "epoch": 0, "fixedInVersion": "0:5.15.0.1027.31~20.04.16", "name": "linux-image-aws", "packageManager": "OS", "remediation": "apt update && apt install --only-upgrade linux-image-aws", "version": "5.15.0.1026.30~20.04.16" }] }, "remediation": { "recommendation": { "text": "None Provided" } }, "resources": [{ "details": { "awsEc2Instance": { "iamInstanceProfileArn": "arn:aws:iam::111122223333:instance-profile/AmazonSSMRoleForInstancesQuickSetup", "imageId": "ami-0b7ff1a8d69f1bb35", "ipV4Addresses": ["172.31.85.212", "44.203.45.27"], "ipV6Addresses": [], "launchedAt": "Jan 19, 2023, 7:53:14 PM", "platform": "UBUNTU_20_04", "subnetId": "subnet-8213f2a3", "type": "t2.micro", "vpcId": "vpc-ab6650d1" } }, "id": "i-0c2a343f1948d5205", "partition": "aws", "region": "us-east-1", "type": "AWS_EC2_INSTANCE" }], "severity": "MEDIUM", "status": "ACTIVE", "title": "CVE-2022-3303 - linux-image-aws", "type": "PACKAGE_VULNERABILITY", "updatedAt": "Jan 19, 2023, 10:46:15 PM" } }
Amazon Inspector 조사 결과를 알려주는 EventBridge 규칙 생성
Amazon Inspector 검색 결과의 가시성을 높이기 EventBridge 위해 메시징 허브로 전송되는 자동 검색 알림을 설정하는 데 사용할 수 있습니다. 이 주제에서는 CRITICAL 및 HIGH 심각도 결과에 대한 알림을 이메일, Slack 또는 Amazon Chime으로 보내는 방법에 대해 설명합니다. Amazon Simple Notification Service 주제를 설정한 다음 해당 주제를 EventBridge 이벤트 규칙에 연결하는 방법을 알아봅니다.
단계 1. Amazon SNS 주제 및 엔드포인트 설정
자동 알림을 설정하려면 먼저 Amazon Simple Notification Service에서 주제를 설정하고 엔드포인트를 추가해야 합니다. 자세한 내용은 SNS가이드를 참조하십시오.
이 절차는 Amazon Inspector 결과 데이터를 보낼 위치를 설정합니다. 이벤트 규칙을 생성하는 동안 또는 생성한 후에 EventBridge 이벤트 규칙에 SNS 주제를 추가할 수 있습니다.
단계 2. Amazon EventBridge Inspector 조사 결과에 대한 규칙 생성
-
자격 증명을 사용하여 로그인합니다.
에서 Amazon EventBridge 콘솔을 엽니다 https://console.aws.amazon.com/events/
. -
탐색 창에서 규칙을 선택한 다음 규칙 생성을 선택합니다.
-
규칙의 이름과 설명(선택 사항)을 입력합니다.
-
이벤트 패턴이 있는 규칙을 선택한 후다음을 선택합니다.
-
이벤트 패턴 창에서 사용자 지정 패턴 (JSON편집기) 을 선택합니다.
-
다음을 편집기에 JSON 붙여넣습니다.
{ "source": ["aws.inspector2"], "detail-type": ["Inspector2 Finding"], "detail": { "severity": ["HIGH", "CRITICAL"], "status": ["ACTIVE"] } }참고
이 패턴은 Amazon Inspector에서 탐지한 모든 활성
CRITICAL또는HIGH심각도 결과에 대해 알림을 보냅니다.이벤트 패턴 입력을 완료하면 다음을 선택합니다.
-
대상 선택 페이지에서 AWS 서비스를 선택합니다. 그런 다음 대상 유형 선택에서 SNS주제를 선택합니다.
-
주제의 경우 1단계에서 만든 SNS 주제의 이름을 선택합니다. 다음을 선택합니다.
-
필요한 경우 선택적 태그를 추가하고 다음을 선택합니다.
-
규칙을 검토한 다음 규칙 생성을 선택합니다.
EventBridge Amazon Inspector 다중 계정 환경용
Amazon Inspector의 위임을 받은 관리자인 경우 멤버 계정에서 발생한 해당 결과에 따라 계정에 EventBridge 규칙이 표시됩니다. 이전 섹션에 설명된 대로 관리자 계정을 통해 EventBridge 조사 결과 알림을 설정하면 여러 계정에 대한 알림을 받게 됩니다. 즉, 내 계정에서 생성된 결과와 이벤트 외에도 멤버 계정에서 생성된 결과와 이벤트에 대한 알림을 받게 됩니다.
조사 결과 JSON 세부 정보를 사용하여 Amazon Inspector 검색 결과가 나온 회원 계정을 식별할 수 있습니다. accountId
