As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criação de respostas personalizadas às descobertas do Amazon Inspector com o Amazon EventBridge
O Amazon Inspector cria um evento para o Amazon EventBridge, para descobertas recém-geradas, descobertas recém-agregadas e mudanças no estado das descobertas. Qualquer coisa que não seja uma alteração nos campos updatedAt
e lastObservedAt
publicará um novo evento. Isso significa que novos eventos para uma descoberta são gerados ao realizar ações como reiniciar um recurso ou alterar as tags associadas a um recurso. No entanto, o ID de descoberta no campo id
permanece o mesmo. Os eventos são emitidos com base no melhor esforço.
nota
Se sua conta for um administrador delegado do Amazon Inspector, o EventBridge publica eventos em sua conta, além da conta de membro da qual eles se originaram.
Ao usar eventos do EventBridge com o Amazon Inspector, você poderá automatizar tarefas para ajudá-lo a responder aos problemas de segurança revelados pelas descobertas do Amazon Inspector.
O Amazon Inspector emite eventos para o barramento de eventos padrão na mesma região. Isso significa que você deverá configurar regras de eventos para cada região na qual você está executando o Amazon Inspector para visualizar os eventos dessa região.
Para receber notificações sobre descobertas do Amazon Inspector com base em eventos do EventBridge, crie uma regra do EventBridge e um destino para o Amazon Inspector. Esta regra permite que o EventBridge envie notificações de descobertas geradas pelo Amazon Inspector ao destino especificado na regra. Para obter mais informações, consulte Regras do Amazon EventBridge no Guia do usuário do Amazon EventBridge.
Esquema de eventos
Este é um exemplo do formato de eventos do Amazon Inspector para um evento de descoberta do EC2. Por exemplo, esquema de outros tipos de descoberta e tipos de eventos, consulte Esquema de eventos do Amazon EventBridge para eventos do Amazon Inspector.
{ "version": "0", "id": "66a7a279-5f92-971c-6d3e-c92da0950992", "detail-type": "Inspector2 Finding", "source": "aws.inspector2", "account": "111122223333", "time": "2023-01-19T22:46:15Z", "region": "us-east-1", "resources": ["i-0c2a343f1948d5205"], "detail": { "awsAccountId": "111122223333", "description": "\n It was discovered that the sound subsystem in the Linux kernel contained a\n race condition in some situations. A local attacker could use this to cause\n a denial of service (system crash).", "exploitAvailable": "YES", "exploitabilityDetails": { "lastKnownExploitAt": "Oct 24, 2022, 11:08:59 PM" }, "findingArn": "arn:aws:inspector2:us-east-1:111122223333:finding/FINDING_ID", "firstObservedAt": "Jan 19, 2023, 10:46:15 PM", "fixAvailable": "YES", "lastObservedAt": "Jan 19, 2023, 10:46:15 PM", "packageVulnerabilityDetails": { "cvss": [{ "baseScore": 4.7, "scoringVector": "CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H", "source": "NVD", "version": "3.1" }], "referenceUrls": ["https://lore.kernel.org/all/CAFcO6XN7JDM4xSXGhtusQfS2mSBcx50VJKwQpCq=WeLt57aaZA@mail.gmail.com/", "https://ubuntu.com/security/notices/USN-5792-1", "https://ubuntu.com/security/notices/USN-5791-2", "https://ubuntu.com/security/notices/USN-5791-1", "https://ubuntu.com/security/notices/USN-5793-2", "https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=8423f0b6d513b259fdab9c9bf4aaa6188d054c2d", "https://ubuntu.com/security/notices/USN-5793-1", "https://ubuntu.com/security/notices/USN-5792-2", "https://ubuntu.com/security/notices/USN-5791-3", "https://ubuntu.com/security/notices/USN-5793-4", "https://ubuntu.com/security/notices/USN-5793-3", "https://git.kernel.org/linus/8423f0b6d513b259fdab9c9bf4aaa6188d054c2d(6.0-rc5)", "https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3303"], "relatedVulnerabilities": [], "source": "UBUNTU_CVE", "sourceUrl": "https://people.canonical.com/~ubuntu-security/cve/2022/CVE-2022-3303.html", "vendorCreatedAt": "Sep 27, 2022, 11:15:00 PM", "vendorSeverity": "medium", "vulnerabilityId": "CVE-2022-3303", "vulnerablePackages": [{ "arch": "X86_64", "epoch": 0, "fixedInVersion": "0:5.15.0.1027.31~20.04.16", "name": "linux-image-aws", "packageManager": "OS", "remediation": "apt update && apt install --only-upgrade linux-image-aws", "version": "5.15.0.1026.30~20.04.16" }] }, "remediation": { "recommendation": { "text": "None Provided" } }, "resources": [{ "details": { "awsEc2Instance": { "iamInstanceProfileArn": "arn:aws:iam::111122223333:instance-profile/AmazonSSMRoleForInstancesQuickSetup", "imageId": "ami-0b7ff1a8d69f1bb35", "ipV4Addresses": ["172.31.85.212", "44.203.45.27"], "ipV6Addresses": [], "launchedAt": "Jan 19, 2023, 7:53:14 PM", "platform": "UBUNTU_20_04", "subnetId": "subnet-8213f2a3", "type": "t2.micro", "vpcId": "vpc-ab6650d1" } }, "id": "i-0c2a343f1948d5205", "partition": "aws", "region": "us-east-1", "type": "AWS_EC2_INSTANCE" }], "severity": "MEDIUM", "status": "ACTIVE", "title": "CVE-2022-3303 - linux-image-aws", "type": "PACKAGE_VULNERABILITY", "updatedAt": "Jan 19, 2023, 10:46:15 PM" } }
Criar uma regra do EventBridge para notificá-lo sobre descobertas do Amazon Inspector
Para aumentar a visibilidade das descobertas do Amazon Inspector, use o EventBridge para configurar alertas de busca automatizados que são enviados para um hub de mensagens. Este tópico mostra como enviar alertas para CRITICAL
e constatações de gravidade HIGH
para e-mail, Slack ou Amazon Chime. Você aprenderá como configurar um tópico do Amazon Simple Notification Service e, em seguida, conectar esse tópico a uma regra de evento do EventBridge.
Etapa 1. Configurar um tópico e um endpoint do Amazon SNS
Para configurar alertas automáticos, primeiro configure um tópico no Amazon Simple Notification Service e adicione um endpoint. Para obter mais informações, consulte o Guia do SNS.
Este procedimento estabelece para a qual você deseja enviar dados de descobertas do Amazon Inspector. O tópico do SNS pode ser adicionado a uma regra de evento do EventBridge durante ou após a criação da regra do evento.
Etapa 2. Criar uma regra do EventBridge para as descobertas do Amazon Inspector
Abra o console do Amazon EventBridge em https://console.aws.amazon.com/events/
. -
Selecione Regras no painel de navegação e selecione Criar regra.
-
Insira um nome e uma descrição opcional para a regra.
-
Selecione Regra com um padrão de evento e depois Avançar.
-
No painel Padrão de Evento, escolha Padrões personalizados (editor JSON).
-
Cole o JSON a seguir no editor.
{ "source": ["aws.inspector2"], "detail-type": ["Inspector2 Finding"], "detail": { "severity": ["HIGH", "CRITICAL"], "status": ["ACTIVE"] } }
nota
Esse padrão envia notificações para qualquer descoberta ativa
CRITICAL
ou de gravidadeHIGH
detectada pelo Amazon Inspector.Selecione Avançar quando terminar de inserir o padrão do evento.
-
Na página Selecionar destinos, escolha AWS service (Serviço da AWS). Em seguida, em Selecionar tipo de destino, escolha o tópico SNS.
-
Em Tópico selecione o nome do tópico do SNS criado na Etapa 1. Em seguida, escolha Próximo.
-
Adicione tags opcionais, se necessário, e escolha Avançar.
-
Verifique sua regra e selecione Criar regra.
EventBridge para ambientes de várias contas do Amazon Inspector
Se você for um administrador delegado do Amazon Inspector, as regras do EventBridge aparecerão em sua conta com base nas descobertas aplicáveis de suas contas de membros. Se configurar notificações de descobertas por meio do EventBridge em sua conta de administrador, conforme detalhado na seção anterior, você receberá notificações sobre várias contas. Em outras palavras, você será notificado sobre descobertas e eventos gerados por suas contas de membros, além daqueles gerados por sua própria conta.
Use os detalhes da accountId
do JSON da descoberta para identificar a conta membro da qual a descoberta do Amazon Inspector se originou.