Gerenciamento de eventos de Resposta a Incidentes de Segurança usando o Amazon EventBridge - Guia do usuário do AWS Security Incident Response
Envio de eventos da Resposta a Incidentes de Segurança

Gerenciamento de eventos de Resposta a Incidentes de Segurança usando o Amazon EventBridge

O Amazon EventBridge é um serviço sem servidor que usa eventos para conectar os componentes da aplicação, facilitando a criação de aplicações escaláveis orientadas por eventos. A arquitetura orientada por eventos é um estilo de criação de sistemas de software com acoplamento fraco que funcionam juntos emitindo e respondendo a eventos. Os eventos representam uma mudança em um recurso ou ambiente.

Como isso funciona:

Assim como muitos serviços da AWS, a Resposta a Incidentes de Segurança gera e envia eventos para o barramento de eventos padrão do EventBridge. (O barramento de eventos padrão é provisionado automaticamente em sua conta da AWS.) Um barramento de eventos é um roteador que recebe eventos e os entrega a zero ou mais destinos, ou alvos. As regras especificadas para o barramento de eventos avaliam os eventos à medida que eles chegam. Cada regra verifica se um evento corresponde ao padrão do evento. Se o evento corresponder, o barramento de eventos enviará o evento para os destinos especificados.

Os serviços da AWS enviam eventos para o barramento de eventos padrão do EventBridge. Se um evento corresponder ao padrão de evento de uma regra, o EventBridge enviará o evento aos destinos especificados para essa regra.

Distribuição de eventos da Resposta a Incidentes de Segurança usando as regras do EventBridge

Para que o barramento de eventos padrão do EventBridge envie eventos da Resposta a Incidentes de Segurança para um destino, é necessário criar uma regra. Cada regra contém um padrão de evento, que o EventBridge compara a cada evento recebido no barramento de eventos. Se os dados do evento corresponderem ao padrão de evento especificado, o EventBridge fornecerá o evento aos destinos da regra.

Para obter instruções completas sobre como criar regras para o barramento de eventos, consulte a seção Creating rules that react to events no Guia do usuário do Amazon EventBridge.

Criação de padrões de eventos que correspondem a eventos da Resposta a Incidentes de Segurança

Cada padrão de evento é um objeto JSON que contém:

  • Um atributo source que identifica o serviço que envia o evento. Para eventos da Resposta a Incidentes de Segurança, a origem é "aws.security-ir".

  • (Opcional): um atributo detail-type que contém uma matriz dos tipos de eventos a serem correlacionados.

  • (Opcional): um atributo detail que contém quaisquer outros dados relacionados aos eventos a serem correlacionados.

Por exemplo, o seguinte padrão de evento corresponde a todos os eventos de Case Updated by AWS Security Incident Response Service para uma Conta da AWS específica:


                {
                  "version": "0",
                  "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
                  "detail-type": "Case Updated",
                  "source": "aws.security-ir",
                  "account": "111122223333",
                  "time": "2023-05-12T03:45:00Z",
                  "region": "us-west-2",
                  "resources": [
                    "arn:aws:security-ir:us-west-2:111122223333:case/1234567890"
                  ],
                  "detail": {
                    "caseId": "1234567890",
                    "updatedBy": "security-ir.amazonaws.com"
                  }
                }

Consulte mais informações sobre como escrever padrões de eventos, consulte Padrões de eventos no Guia do usuário do EventBridge.