使用 Amazon EventBridge 管理安全事件响应事件

Amazon EventBridge 是一项无服务器服务，使用事件将应用程序组件连接在一起，可让您更轻松地构建可扩展的事件驱动型应用程序。事件驱动型架构是一种构建松耦合软件系统的风格，这些系统通过发出和响应事件来协同工作。事件代表资源或环境中的变化。

下面将介绍操作方式：

与许多 AWS 服务一样，安全事件响应会生成事件并将其发送到 EventBridge 的默认事件总线。（默认事件总线会在您的 AWS 账户中自动预置。） 事件总线是接收事件并将其传送到零个或多个目的地或目标的路由器。为事件总线指定的规则会在事件到达时进行评估。每条规则都会检查事件是否与规则的事件模式相匹配。如果事件确实匹配，事件总线会将事件发送到指定的目标。

使用 EventBridge 规则传送安全事件响应事件

要让 EventBridge 默认事件总线将安全事件响应事件发送到目标，必须创建规则。每条规则都包含一个事件模式，EventBridge 将其与在事件总线上接收到的每个事件进行匹配。如果事件数据与指定的事件模式匹配，EventBridge 会将该事件传送给规则的目标。

有关创建事件总线规则的全面说明，请参阅《Amazon EventBridge User Guide》中的 Creating rules that react to events。

创建与安全事件响应事件相匹配的事件模式

每个事件模式是一个 JSON 对象，其中包含：

• 标识发送事件的服务的 source 属性。对于安全事件响应事件，来源是 "aws.security-ir"。

• （可选）：包含要匹配的事件类型数组的 detail-type 属性。

• （可选）：包含要匹配的其他事件数据的 detail 属性。

例如，以下事件模式与特定 AWS 账户的所有 Case Updated by AWS 安全事件响应 Service 事件相匹配：

                {
                  "version": "0",
                  "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
                  "detail-type": "Case Updated",
                  "source": "aws.security-ir",
                  "account": "111122223333",
                  "time": "2023-05-12T03:45:00Z",
                  "region": "us-west-2",
                  "resources": [
                    "arn:aws:security-ir:us-west-2:111122223333:case/1234567890"
                  ],
                  "detail": {
                    "caseId": "1234567890",
                    "updatedBy": "security-ir.amazonaws.com"
                  }
                }
              

有关写入事件模式的更多信息，请参阅《EventBridge 用户指南》中的 Event patterns。