Amazon EventBridge를 사용하여 Security Incident Response 이벤트 관리
Amazon EventBridge는 이벤트를 사용하여 애플리케이션 구성 요소를 서로 연결하는 서버리스 서비스로, 확장 가능한 이벤트 기반 애플리케이션을 더 쉽게 구축할 수 있습니다. 이벤트 기반 아키텍처는 이벤트를 내보내고 이에 응답하여 함께 작동하는 느슨하게 결합된 소프트웨어 시스템을 구축하는 스타일입니다. 이벤트는 리소스나 환경의 변화를 나타냅니다.
운영 방식은 다음과 같습니다.
많은 AWS 서비스와 마찬가지로 Security Incident Response는 이벤트를 생성하여 EventBridge 기본 이벤트 버스로 전송합니다. (AWS 계정에서 기본 이벤트 버스는 자동으로 프로비저닝됩니다.) 이벤트 버스는 이벤트를 수신하여 0개 이상의 목적지 또는 대상에 전달하는 라우터입니다. 이벤트 버스에 대해 지정한 규칙은 이벤트가 도착할 때 이벤트를 평가합니다. 각 규칙은 이벤트가 규칙의 이벤트 패턴과 일치하는지 여부를 확인합니다. 이벤트가 일치하면 이벤트 버스는 이벤트를 지정된 대상에게 전송합니다.
EventBridge 규칙을 사용하여 Security Incident Response 이벤트 제공
EventBridge 기본 이벤트 버스가 Security Incident Response 이벤트를 대상으로 전송하도록 하려면 규칙을 생성해야 합니다. 각 규칙에는 이벤트 버스에서 수신된 각 이벤트와 일치하는 EventBridge 패턴이 포함되어 있습니다. 이벤트 데이터가 지정된 이벤트 패턴과 일치하면 EventBridge는 해당 이벤트를 규칙의 대상으로 보냅니다.
이벤트 버스 규칙 생성에 대한 포괄적인 지침은 Amazon EventBridge 사용 설명서의 Creating rules that react to events를 참조하세요.
Security Incident Response 이벤트와 일치하는 이벤트 패턴 생성
각 이벤트 패턴은 다음을 포함하는 JSON 객체입니다.
-
이벤트를 전송하는 서비스를 식별하는
source속성입니다. Security Incident Response 이벤트의 경우 소스는"aws.security-ir"입니다. -
(선택 사항): 일치시킬 이벤트 유형의 배열을 포함하는
detail-type속성입니다. -
(선택 사항): 일치시킬 다른 이벤트 데이터를 포함하는
detail속성입니다.
예를 들어, 다음 이벤트 패턴은 지정된 AWS 계정에 대한 모든 Case Updated by AWS 보안 인시던트 대응 Service 이벤트와 일치합니다.
{ "version": "0", "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "detail-type": "Case Updated", "source": "aws.security-ir", "account": "111122223333", "time": "2023-05-12T03:45:00Z", "region": "us-west-2", "resources": [ "arn:aws:security-ir:us-west-2:111122223333:case/1234567890" ], "detail": { "caseId": "1234567890", "updatedBy": "security-ir.amazonaws.com" } }
이벤트 작성에 대한 자세한 내용은 EventBridge 사용 설명서의 이벤트 패턴을 참조하세요.
