本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
教學課程:在 Incident Manager 中管理安全事件
您可以同時使用 AWS Security Hub Amazon EventBridge 和 Incident Manager 來識別和管理 AWS 託管應用程式中的安全事件。本教學課程會逐步引導您設定 EventBridge 規則,以根據 Security Hub 自動傳送的問題清單來建立事件。
注意
本教學課程使用 EventBridge Security Hub。使用這些服務可能會產生費用。
先決條件
-
設定 Security Hub。如需詳細資訊,請參閱設定 AWS Security Hub。
-
在 Security Hub 中建立或更新問題清單。如需詳細資訊,請參閱 中的調查結果 AWS Security Hub。
-
設定回應計劃,Inventation Manager 會在建立您的安全事件時將其用作範本。如需詳細資訊,請參閱在 Incident Manager 中準備事件。
在此教學課程中,我們使用預先定義的模式來建立 EventBridge 規則。若要使用自訂模式建立規則,請參閱 AWS Security Hub 使用者指南中的使用自訂模式來建立規則。
建立 EventBridge 規則
前往 https://console.aws.amazon.com/events/
開啟 Amazon EventBridge 主控台。 -
在導覽窗格中,選擇規則。
-
選擇建立規則。
-
輸入規則的 Name (名稱) 與 Description (描述)。
在同一個區域和同一個事件匯流排上,規則不能與另一個規則同名。
-
針對事件匯流排選擇預設值。
-
針對規則類型選擇具有事件模式的規則。
-
選擇下一步。
-
在事件來源欄位中,選擇 AWS 事件或 EventBridge 合作夥伴事件。
-
針對事件模式,選擇事件模式表單。
-
在事件來源欄位中,選擇 AWS 服務。
-
針對AWS 服務,選擇 Security Hub。
-
針對事件類型,選擇 Security Hub 調查結果 - 匯入。
-
根據預設,EventBridge 會設定不含任何篩選條件值的事件模式。針對每個屬性,會選取任何
屬性名稱選項。更新這些篩選條件,根據最影響您環境的安全調查結果來建立事件。 -
按一下 Next (下一步)。
-
在目標類型欄位中,選擇 AWS 服務。
-
針對選取目標,選擇 Incident Manager 回應計劃。
-
針對回應計劃,選擇要用作建立事件範本的回應計劃。
-
EventBridge 可建立執行您的規則所需的 IAM 角色。
-
若要自動建立 IAM 角色,請選擇為特定資源建立新角色。
-
若要使用帳戶中已存在的 IAM 角色,請選擇使用現有角色。
-
-
(選用) 為規則輸入一或多個標籤。
-
選擇 Next (下一步)。
-
檢閱規則的詳細資訊,然後選擇建立規則。
現在您已建立此 EventBridge 規則,符合您定義之屬性值的安全調查結果將在 Incident Manager 中建立事件。您可以從這些事件中分類、管理、監控和建立事件後分析。
