使用 Amazon 創建對 Amazon Inspector 發現的自定義 EventBridge

Amazon Inspector 會在 Amazon EventBridge 為新產生的發現項目和彙總發現建立事件。Amazon Inspector 也會為發現項目狀態的任何變更建立事件。這表示當您採取重新啟動資源或變更與資源相關聯的標籤等動作時，Amazon Inspector 會建立新的事件以供發現。當 Amazon Inspector 為更新的發現項目建立新事件時，發現項目會id保持不變。

注意

如果您的帳戶是 Amazon Inspector 委派的管理員帳戶，請將事件 EventBridge 發佈到您的帳戶和事件起源的成員帳戶。

搭配 Amazon Inspector 使用 EventBridge 事件時，您可以自動執行任務，協助您回應發現結果所揭示的安全問題。若要根據 EventBridge 事件接收有關 Amazon Inspector 發現項目的通知，您必須建立 EventBridge 規則並為 Amazon Inspector 指定目標。此 EventBridge 規則 EventBridge 允許傳送 Amazon Inspector 發現項目的通知，且目標會指定傳送通知的位置。

Amazon Inspector 將事件發送到您當前使用 Amazon Inspector AWS 區域 的默認事件總線。這表示您必須為每個啟用 Amazon Inspector 並設定 Amazon Inspector 以接收事件的每個 AWS 區域 地方設定 EventBridge 事件規則。Amazon Inspector 發出最大努力的基礎上的事件。

本節提供事件結構描述的範例，並說明如何建立 EventBridge 規則。

事件模式

以下是EC2尋找事件之 Amazon Inspector 事件格式的範例。如需其他尋找項目類型和事件類型的綱要範例，請參閱Amazon EventBridge 事件模式 Amazon Inspector 事件。

{
    "version": "0",
    "id": "66a7a279-5f92-971c-6d3e-c92da0950992",
    "detail-type": "Inspector2 Finding",
    "source": "aws.inspector2",
    "account": "111122223333",
    "time": "2023-01-19T22:46:15Z",
    "region": "us-east-1",
    "resources": ["i-0c2a343f1948d5205"],
    "detail": {
        "awsAccountId": "111122223333",
        "description": "\n It was discovered that the sound subsystem in the Linux kernel contained a\n race condition in some situations. A local attacker could use this to cause\n a denial of service (system crash).",
        "exploitAvailable": "YES",
        "exploitabilityDetails": {
            "lastKnownExploitAt": "Oct 24, 2022, 11:08:59 PM"
        },
        "findingArn": "arn:aws:inspector2:us-east-1:111122223333:finding/FINDING_ID",
        "firstObservedAt": "Jan 19, 2023, 10:46:15 PM",
        "fixAvailable": "YES",
        "lastObservedAt": "Jan 19, 2023, 10:46:15 PM",
        "packageVulnerabilityDetails": {
            "cvss": [{
                "baseScore": 4.7,
                "scoringVector": "CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H",
                "source": "NVD",
                "version": "3.1"
            }],
            "referenceUrls": ["https://lore.kernel.org/all/CAFcO6XN7JDM4xSXGhtusQfS2mSBcx50VJKwQpCq=WeLt57aaZA@mail.gmail.com/", "https://ubuntu.com/security/notices/USN-5792-1", "https://ubuntu.com/security/notices/USN-5791-2", "https://ubuntu.com/security/notices/USN-5791-1", "https://ubuntu.com/security/notices/USN-5793-2", "https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=8423f0b6d513b259fdab9c9bf4aaa6188d054c2d", "https://ubuntu.com/security/notices/USN-5793-1", "https://ubuntu.com/security/notices/USN-5792-2", "https://ubuntu.com/security/notices/USN-5791-3", "https://ubuntu.com/security/notices/USN-5793-4", "https://ubuntu.com/security/notices/USN-5793-3", "https://git.kernel.org/linus/8423f0b6d513b259fdab9c9bf4aaa6188d054c2d(6.0-rc5)", "https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3303"],
            "relatedVulnerabilities": [],
            "source": "UBUNTU_CVE",
            "sourceUrl": "https://people.canonical.com/~ubuntu-security/cve/2022/CVE-2022-3303.html",
            "vendorCreatedAt": "Sep 27, 2022, 11:15:00 PM",
            "vendorSeverity": "medium",
            "vulnerabilityId": "CVE-2022-3303",
            "vulnerablePackages": [{
                "arch": "X86_64",
                "epoch": 0,
                "fixedInVersion": "0:5.15.0.1027.31~20.04.16",
                "name": "linux-image-aws",
                "packageManager": "OS",
                "remediation": "apt update && apt install --only-upgrade linux-image-aws",
                "version": "5.15.0.1026.30~20.04.16"
            }]
        },
        "remediation": {
            "recommendation": {
                "text": "None Provided"
            }
        },
        "resources": [{
            "details": {
                "awsEc2Instance": {
                    "iamInstanceProfileArn": "arn:aws:iam::111122223333:instance-profile/AmazonSSMRoleForInstancesQuickSetup",
                    "imageId": "ami-0b7ff1a8d69f1bb35",
                    "ipV4Addresses": ["172.31.85.212", "44.203.45.27"],
                    "ipV6Addresses": [],
                    "launchedAt": "Jan 19, 2023, 7:53:14 PM",
                    "platform": "UBUNTU_20_04",
                    "subnetId": "subnet-8213f2a3",
                    "type": "t2.micro",
                    "vpcId": "vpc-ab6650d1"
                }
            },
            "id": "i-0c2a343f1948d5205",
            "partition": "aws",
            "region": "us-east-1",
            "type": "AWS_EC2_INSTANCE"
        }],
        "severity": "MEDIUM",
        "status": "ACTIVE",
        "title": "CVE-2022-3303 - linux-image-aws",
        "type": "PACKAGE_VULNERABILITY",
        "updatedAt": "Jan 19, 2023, 10:46:15 PM"
    }
}
    

建立 EventBridge 規則以通知您 Amazon Inspector 發現

若要提高 Amazon Inspector 發現項目的可見度，您可 EventBridge 以使用設定傳送至簡訊中樞的自動尋找提醒。本主題說明如何將發現的警示CRITICAL和HIGH嚴重性發現項目傳送至電子郵件、Slack 或 Amazon Chime。您將學習如何設定 Amazon 簡單通知服務主題，然後將該主題連接到 EventBridge 事件規則。

步驟 1. 設置 Amazon SNS 主題和端點

若要設定自動提醒，您必須先在 Amazon 簡單通知服務中設定主題，然後新增端點。如需詳細資訊，請參閱指SNS南。

此程序會建立您要傳送 Amazon Inspector 發現項目資料的位置。在建立 EventBridge 事件規則期間或之後，可將SNS主題新增至事件規則。

Email setup

建立 SNS 主題

1. 在 https://console.aws.amazon.com/sns/v3/ home 上登錄到 Amazon SNS 控制台。

2. 從導覽窗格中，選取 [主題]，然後選取 [建立主題]。

3. 在「建立主題」區段中，選取「標準」。接下來，輸入主題名稱，例如Inspector_to_Email。其他詳細資料是選擇性的。

4. 選擇建立主題。這將打開一個新面板，其中包含新主題的詳細信息。

5. 在「訂閱」區段中，選取「建立訂閱」。

6. 1. 從通訊協定功能表中，選取電子郵件。

   2. 在「端點」欄位中，輸入您要接收通知的電子郵件地址。

      注意

      創建訂閱後，您將需要通過電子郵件客戶端確認您的訂閱。

   3. 選擇建立訂閱。

7. 在收件匣中尋找訂閱訊息，然後選擇「確認訂閱」。

Slack setup

建立 SNS 主題

1. 在 https://console.aws.amazon.com/sns/v3/ home 上登錄到 Amazon SNS 控制台。

2. 從導覽窗格中，選取 [主題]，然後選取 [建立主題]。

3. 在「建立主題」區段中，選取「標準」。接下來，輸入主題名稱，例如Inspector_to_Slack。其他詳細資料是選擇性的。選擇「建立主題」以完成端點建立。

設定用 AWS Chatbot 戶端

1. 瀏覽至 AWS Chatbot 主控台，位於https://console.aws.amazon.com/chatbot/。

2. 在「設定的用戶端」窗格中，選取「設定新用戶端」

3. 選擇「鬆弛」，然後選擇「設定」以確認。

   注意

   選擇 Slack 時，您必須選取 [允許] AWS Chatbot 以確認存取頻道的權限。

4. 選取設定新頻道以開啟組態詳細資訊窗格。

   1. 輸入頻道的名稱。

   2. 對於 Slack 頻道，請選擇您要使用的頻道。

   3. 在 Slack 中，以滑鼠右鍵按一下頻道名稱並選取「複製連結」，以複製私人通道的通道 ID。

   4. 在 AWS Chatbot 視窗中 AWS Management Console，將您從 Slack 複製的通道 ID 貼到「私人通道 ID」欄位中。

   5. 在「權限」中，如果您還沒有IAM角色，請選擇使用範本建立角色。

   6. 針對策略範本，請選擇 [通知權限]。這是的IAM政策範本 AWS Chatbot。此政策為 CloudWatch 警示、事件和日誌以及 Amazon SNS 主題提供必要的讀取和列出許可。

   7. 針對頻道護欄原則，選擇 AmazonInspector 2。ReadOnlyAccess

   8. 選擇您先前建立SNS主題的區域，然後選取您建立的 Amazon SNS 主題，將通知傳送至 Slack 頻道。

5. 選取設定。

Amazon Chime setup

建立 SNS 主題

1. 在 https://console.aws.amazon.com/sns/v3/ home 上登錄到 Amazon SNS 控制台。

2. 從導覽窗格中選取 [主題]，然後選取 [建立主題]。

3. 在「建立主題」區段中，選取「標準」。接下來，輸入主題名稱，例如Inspector_to_Chime。其他詳細資料是選擇性的。選擇 [建立主題] 以完成。

設定用 AWS Chatbot 戶端

1. 瀏覽至 AWS Chatbot 主控台，位於https://console.aws.amazon.com/chatbot/。

2. 從設定的用戶端面板中，選取設定新用戶端。

3. 選擇「鈴聲」，然後選擇「設定」以確認。

4. 在組態詳細資訊窗格中，輸入頻道的名稱。

5. 在 Amazon Chime 中，開啟所需的聊天室。

   1. 選擇右上角的齒輪圖示，然後選擇管理 Webhook 和機器人。

   2. 選取「複製 URL」，將網路掛接複製URL到剪貼簿。

6. 在 AWS Chatbot 視窗中 AWS Management Console，將URL您複製的內容貼到 Webhook URL 欄位中。

7. 在「權限」中，如果您還沒有IAM角色，請選擇使用範本建立角色。

8. 針對策略範本，請選擇 [通知權限]。這是的IAM政策範本 AWS Chatbot。它為 CloudWatch 警示、事件和日誌以及 Amazon SNS 主題提供必要的讀取和列出許可。

9. 選擇您先前建立SNS主題的區域，然後選取您建立的 Amazon SNS 主題，將通知傳送到 Amazon Chime 會議室。

10. 選取設定。

步驟 2. 為 Amazon Inspector 發現創建 EventBridge 規則

1. 使用您的認證登入。

2. 在打開 Amazon EventBridge 控制台https://console.aws.amazon.com/events/。

3. 從導覽窗格中選取 [規則]，然後選取 [建立規則]。

4. 輸入規則的名稱和選擇性說明。

5. 選取具有事件模式的規則，然後選取下一步。

6. 在 [事件模式] 窗格中，選擇 [自訂模式 (JSON編輯器)]。

7. JSON將以下內容粘貼到編輯器中。

   {
     "source": ["aws.inspector2"],
     "detail-type": ["Inspector2 Finding"],
     "detail": {
       "severity": ["HIGH", "CRITICAL"],
       "status": ["ACTIVE"]
     }
   }               

   注意

   此模式會針對 Amazon Inspector 偵測到的任何使用中CRITICAL或HIGH嚴重性發現傳送通知。

   完成輸入事件模式後，請選取 [下一步]。

8. 在「選取目標」 頁面上，選擇AWS 服務。然後，針對 「選取目標類型」選擇「SNS主題」。

9. 針對「主題」，選取您在步驟 1 中建立的SNS主題名稱。然後選擇下一步。

10. 視需要新增可選標籤，然後選擇「下一步」

11. 檢閱規則，然後選擇 [建立規則]。

EventBridge 適用於 Amazon Inspector 多帳戶環境

如果您是 Amazon Inspector 委派的管理員， EventBridge 則會根據您會員帳戶中的適用發現項目，在您的帳戶中顯示規則。如果您透過 EventBridge 管理員帳戶設定發現項目通知 (如上一節所述)，您將會收到有關多個帳戶的通知。換句話說，除了您自己的帳戶生成的發現和事件之外，還會通知您會員帳戶產生的發現和事件。

您可以使用accountId從發現項目的JSON詳細資訊來識別 Amazon Inspector 尋找來源的成員帳戶。