本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
教程:在事件管理器中管理安全事件
您可以同时使用 AWS Security Hub Amazon EventBridge 和 Incident Manager 来识别和管理 AWS 托管应用程序中的安全事件。本教程将引导您配置一条 EventBridge 规则,该规则将基于 Security Hub 自动发送的发现结果创建事件。
注意
本教程使用 S EventBridge ecurity Hub。您可能会因使用这些服务而产生费用。
先决条件
-
设置 Security Hub。有关更多信息,请参阅设置 AWS Security Hub。
-
在 Security Hub 中创建或更新调查发现。有关更多信息,请参阅AWS Security Hub中的调查发现。
-
配置响应计划,以便 Incident Manager 在创建安全事件时将其用作模板。有关更多信息,请参阅 在 Incident Manager 中为事件做准备。
在本教程中,我们使用预定义的模式来创建 EventBridge 规则。要使用自定义模式创建规则,请参阅 AWS Security Hub 用户指南中的使用自定义模式创建规则。
创建 EventBridge 规则
打开 Amazon EventBridge 控制台,网址为https://console.aws.amazon.com/events/
。 -
在导航窗格中,选择规则。
-
选择创建规则。
-
为规则输入名称和描述。
规则不能与同一区域中的另一个规则和同一事件总线上的名称相同。
-
对于事件总线,选择默认。
-
对于规则类型,选择具有事件模式的规则。
-
选择下一步。
-
对于事件来源,选择AWS 事件或 EventBridge合作伙伴事件。
-
对于事件模式,选择事件模式表。
-
对于事件源,选择AWS 服务。
-
对于AWS 服务,选择 Security Hub。
-
对于事件类型,选择 Security Hub 调查发现——已导入。
-
默认情况下, EventBridge 配置不带任何筛选值的事件模式。对于每个属性,都
attribute name选择 “任意” 选项。更新这些筛选器,以便根据对您的环境影响最大的安全调查发现创建事件。 -
单击下一步。
-
对于目标类型,选择AWS 服务。
-
对于选择目标,选择 Incident Manager 响应计划。
-
对于响应计划,选择一个响应计划,作为已创建事件的模板。
-
EventBridge 可以创建规则运行所需的 IAM 角色。
-
要自动创建 IAM 角色,请选择为此特定资源创建新角色。
-
要使用账户中已存在的 IAM 角色,请选择 使用现有角色。
-
-
(可选)为规则输入一个或多个标签。
-
选择下一步。
-
查看规则详细信息并选择创建规则。
既然您已经创建了此 EventBridge 规则,那么与您定义的属性值相匹配的安全发现将在事件管理器中创建事件。您可以对这些事件进行分类、管理、监控并创建事件后分析。
