As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criação de respostas personalizadas às descobertas do Amazon Inspector com a Amazon EventBridge
O Amazon Inspector cria um evento na Amazon EventBridge para descobertas recém-geradas e descobertas agregadas. O Amazon Inspector também cria um evento para qualquer alteração no estado de uma descoberta. Isso significa que o Amazon Inspector cria um novo evento para uma descoberta quando você realiza ações como reiniciar um recurso ou alterar as tags associadas a um recurso. Quando o Amazon Inspector cria um novo evento para uma descoberta atualizada, a descoberta id
permanece a mesma.
nota
Se sua conta for uma conta de administrador delegado do Amazon Inspector, EventBridge publica eventos na sua conta e na conta do membro onde os eventos se originaram.
Ao usar EventBridge eventos com o Amazon Inspector, você pode automatizar tarefas para ajudá-lo a responder aos problemas de segurança que suas descobertas revelam. Para receber notificações sobre descobertas do Amazon Inspector com base em EventBridge eventos, você deve criar uma EventBridge regra e especificar um alvo para o Amazon Inspector. A EventBridge regra permite EventBridge enviar notificações para descobertas do Amazon Inspector, e o alvo especifica para onde enviar as notificações.
O Amazon Inspector emite eventos para o barramento de eventos padrão no local em Região da AWS que você está usando o Amazon Inspector. Isso significa que você deve configurar regras de eventos para cada um em Região da AWS que você ativou o Amazon Inspector e configurou o Amazon Inspector para receber eventos. EventBridge O Amazon Inspector emite eventos com base no melhor esforço.
Esta seção fornece um exemplo de esquema de eventos e descreve como criar uma EventBridge regra.
Esquema de eventos
A seguir está um exemplo do formato de evento do Amazon Inspector para um evento de EC2 busca. Por exemplo, esquema de outros tipos de descoberta e tipos de eventos, consulte Esquema de EventBridge eventos da Amazon para eventos do Amazon Inspector.
{ "version": "0", "id": "66a7a279-5f92-971c-6d3e-c92da0950992", "detail-type": "Inspector2 Finding", "source": "aws.inspector2", "account": "111122223333", "time": "2023-01-19T22:46:15Z", "region": "us-east-1", "resources": ["i-0c2a343f1948d5205"], "detail": { "awsAccountId": "111122223333", "description": "\n It was discovered that the sound subsystem in the Linux kernel contained a\n race condition in some situations. A local attacker could use this to cause\n a denial of service (system crash).", "exploitAvailable": "YES", "exploitabilityDetails": { "lastKnownExploitAt": "Oct 24, 2022, 11:08:59 PM" }, "findingArn": "arn:aws:inspector2:us-east-1:111122223333:finding/FINDING_ID", "firstObservedAt": "Jan 19, 2023, 10:46:15 PM", "fixAvailable": "YES", "lastObservedAt": "Jan 19, 2023, 10:46:15 PM", "packageVulnerabilityDetails": { "cvss": [{ "baseScore": 4.7, "scoringVector": "CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H", "source": "NVD", "version": "3.1" }], "referenceUrls": ["https://lore.kernel.org/all/CAFcO6XN7JDM4xSXGhtusQfS2mSBcx50VJKwQpCq=WeLt57aaZA@mail.gmail.com/", "https://ubuntu.com/security/notices/USN-5792-1", "https://ubuntu.com/security/notices/USN-5791-2", "https://ubuntu.com/security/notices/USN-5791-1", "https://ubuntu.com/security/notices/USN-5793-2", "https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=8423f0b6d513b259fdab9c9bf4aaa6188d054c2d", "https://ubuntu.com/security/notices/USN-5793-1", "https://ubuntu.com/security/notices/USN-5792-2", "https://ubuntu.com/security/notices/USN-5791-3", "https://ubuntu.com/security/notices/USN-5793-4", "https://ubuntu.com/security/notices/USN-5793-3", "https://git.kernel.org/linus/8423f0b6d513b259fdab9c9bf4aaa6188d054c2d(6.0-rc5)", "https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3303"], "relatedVulnerabilities": [], "source": "UBUNTU_CVE", "sourceUrl": "https://people.canonical.com/~ubuntu-security/cve/2022/CVE-2022-3303.html", "vendorCreatedAt": "Sep 27, 2022, 11:15:00 PM", "vendorSeverity": "medium", "vulnerabilityId": "CVE-2022-3303", "vulnerablePackages": [{ "arch": "X86_64", "epoch": 0, "fixedInVersion": "0:5.15.0.1027.31~20.04.16", "name": "linux-image-aws", "packageManager": "OS", "remediation": "apt update && apt install --only-upgrade linux-image-aws", "version": "5.15.0.1026.30~20.04.16" }] }, "remediation": { "recommendation": { "text": "None Provided" } }, "resources": [{ "details": { "awsEc2Instance": { "iamInstanceProfileArn": "arn:aws:iam::111122223333:instance-profile/AmazonSSMRoleForInstancesQuickSetup", "imageId": "ami-0b7ff1a8d69f1bb35", "ipV4Addresses": ["172.31.85.212", "44.203.45.27"], "ipV6Addresses": [], "launchedAt": "Jan 19, 2023, 7:53:14 PM", "platform": "UBUNTU_20_04", "subnetId": "subnet-8213f2a3", "type": "t2.micro", "vpcId": "vpc-ab6650d1" } }, "id": "i-0c2a343f1948d5205", "partition": "aws", "region": "us-east-1", "type": "AWS_EC2_INSTANCE" }], "severity": "MEDIUM", "status": "ACTIVE", "title": "CVE-2022-3303 - linux-image-aws", "type": "PACKAGE_VULNERABILITY", "updatedAt": "Jan 19, 2023, 10:46:15 PM" } }
Criação de uma EventBridge regra para notificá-lo das descobertas do Amazon Inspector
Para aumentar a visibilidade das descobertas do Amazon Inspector, você pode usar EventBridge para configurar alertas de busca automatizados que são enviados para um hub de mensagens. Este tópico mostra como enviar alertas para CRITICAL
e descobertas de gravidade HIGH
para e-mail, Slack ou Amazon Chime. Você aprenderá como configurar um tópico do Amazon Simple Notification Service e depois conectar esse tópico a uma regra de EventBridge evento.
Etapa 1. Configurar um SNS tópico e um endpoint da Amazon
Para configurar alertas automáticos, primeiro configure um tópico no Amazon Simple Notification Service e adicione um endpoint. Para obter mais informações, consulte o SNSguia.
Este procedimento estabelece para a qual você deseja enviar dados de descobertas do Amazon Inspector. O SNS tópico pode ser adicionado a uma regra de EventBridge evento durante ou após a criação da regra de evento.
Etapa 2. Crie uma EventBridge regra para as descobertas do Amazon Inspector
-
Faça login usando suas credenciais.
Abra o EventBridge console da Amazon em https://console.aws.amazon.com/events/
. -
Selecione Regras no painel de navegação e selecione Criar regra.
-
Insira um nome e uma descrição opcional para a regra.
-
Selecione Regra com um padrão de evento e depois Avançar.
-
No painel Padrão de evento, escolha Padrões personalizados (JSONeditor).
-
Cole o seguinte JSON no editor.
{ "source": ["aws.inspector2"], "detail-type": ["Inspector2 Finding"], "detail": { "severity": ["HIGH", "CRITICAL"], "status": ["ACTIVE"] } }
nota
Esse padrão envia notificações para qualquer descoberta ativa
CRITICAL
ou de gravidadeHIGH
detectada pelo Amazon Inspector.Selecione Avançar quando terminar de inserir o padrão do evento.
-
Na página Selecionar destinos, escolha AWS service (Serviço da AWS). Em seguida, em Selecionar tipo de alvo, escolha SNStópico.
-
Em Tópico, selecione o nome do SNS tópico que você criou na etapa 1. Em seguida, escolha Próximo.
-
Adicione tags opcionais, se necessário, e escolha Avançar.
-
Verifique sua regra e selecione Criar regra.
EventBridge para ambientes de várias contas do Amazon Inspector
Se você for um administrador delegado do Amazon Inspector, EventBridge as regras aparecerão em sua conta com base nas descobertas aplicáveis de suas contas de membros. Se você configurar notificações de descobertas por meio EventBridge de sua conta de administrador, conforme detalhado na seção anterior, você receberá notificações sobre várias contas. Em outras palavras, você será notificado sobre descobertas e eventos gerados por suas contas de membros, além daqueles gerados por sua própria conta.
Você pode usar os JSON detalhes accountId
da descoberta para identificar a conta do membro da qual a descoberta do Amazon Inspector se originou.