Tutorial: Gerenciando incidentes de segurança no Incident Manager

Você pode usar AWS Security Hub a Amazon EventBridge e o Incident Manager juntos para identificar e gerenciar incidentes de segurança em seus aplicativos AWS hospedados. Este tutorial explica como configurar uma EventBridge regra que cria um incidente com base nas descobertas enviadas automaticamente pelo Security Hub.

nota

Este tutorial usa o EventBridge Security Hub. Você pode incorrer em custos com o uso desses serviços.

Pré-requisitos

Configure o Security Hub. Para obter mais informações, consulte Configurar AWS Security Hub.
Crie ou atualize descobertas no Security Hub. Para obter mais informações, consulte Descobertas no AWS Security Hub.
Configure um plano de resposta que o Incident Manager usará como modelo ao criar seu incidente de segurança. Para obter mais informações, consulte Preparação para incidentes no Incident Manager.

Neste tutorial, usamos um padrão predefinido para criar a EventBridge regra. Para criar a regra usando um padrão personalizado, consulte Usando um padrão personalizado para criar a regra no guia do AWS Security Hub usuário.

Crie uma EventBridge regra

Abra o EventBridge console da Amazon em https://console.aws.amazon.com/events/.
No painel de navegação, escolha Regras.
Escolha Create rule.
Insira um Name (Nome) e uma Description (Descrição) para a regra.

Uma regra não pode ter o mesmo nome que outra na mesma Região e barramento de eventos.
Em Barramento de eventos, escolha padrão.
Em Tipo de Regra, escolha Regra com Padrão de Evento.
Escolha Próximo.
Em Origem do evento, escolha AWS eventos ou eventos de EventBridge parceiros.
Em Padrão de evento, selecione Formulário de padrão de evento.
Em Fonte do evento, selecione Serviços da AWS .
Para o AWS serviço, selecione Security Hub.
Em Tipo de evento, escolha Security Hub Findings - Imported.
Por padrão, EventBridge configura o padrão do evento sem nenhum valor de filtro. Para cada atributo, a attribute name opção Qualquer é selecionada. Atualize esses filtros para criar incidentes com base nas descobertas de segurança que mais afetam seu ambiente.
Clique em Next.
Em Tipos de destino, escolha Serviço da AWS .
Em Selecionar um destino, escolha plano de resposta do Incident Manager.
Em Plano de resposta, escolha um plano de resposta para usar como modelo para os incidentes criados.
EventBridge pode criar a função do IAM necessária para que sua regra seja executada.
- Para criar um perfil do IAM automaticamente, escolha Criar novo perfil para este recurso específico.
- Para usar um perfil do IAM já existente, escolha Usar perfil existente.
(Opcional) Insira uma ou mais tags para a regra.
Escolha Próximo.
Analise os detalhes da regra e selecione Criar regra.

Agora que você criou essa EventBridge regra, as descobertas de segurança que correspondem aos valores de atributos que você definiu criarão incidentes no Incident Manager. Você pode fazer a triagem, gerenciar, monitorar e criar análises pós-incidentes a partir desses incidentes.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Usar runbooks com o Incident Manager

Marcar recursos