使用 Amazon EventBridge 管理安全事件回應事件

Amazon EventBridge 是一種無伺服器服務，該服務使用事件將應用程式元件連接在一起，讓您更輕鬆地建置可擴展的事件驅動型應用程式。事件驅動型架構是一種建置鬆耦合軟體系統的方式，透過發出和回應事件來協作。事件代表資源或環境中的變更。

以下是其運作方式：

如同許多 AWS 服務，安全事件回應會產生事件並將其傳送至 EventBridge 預設事件匯流排。（預設事件匯流排會自動在您的 AWS 帳戶中佈建。) 事件匯流排是接收事件，並將事件傳遞至零個或多個目的地或目標的路由器。您為事件匯流排指定的規則會在事件到達時評估事件。每個規則會檢查事件是否符合規則的事件模式。如果事件確實相符，事件匯流排會將事件傳送至指定的目標 (s)。

使用 EventBridge 規則傳遞安全事件回應事件

若要讓 EventBridge 預設事件匯流排將安全事件回應事件傳送至目標，您必須建立規則。每個規則都包含事件模式，EventBridge 會比對事件匯流排上收到的每個事件。如果事件資料符合指定的事件模式，EventBridge 會將該事件交付到規則的目標 (s)。

如需建立事件匯流排規則的完整說明，請參閱《Amazon EventBridge 使用者指南》中的建立對事件做出反應的規則。

建立符合安全事件回應事件的事件模式

每個事件模式都是 JSON 物件，其中包含：

• 識別傳送事件之服務的 source 屬性。對於安全事件回應事件，來源為 "aws.security-ir"。

• (選擇性)：包含要比對之事件類型陣列的 detail-type 屬性。

• (選擇性)：包含要比對的任何其他事件資料的 detail 屬性。

例如，下列事件模式符合指定 的所有Case Updated by AWS 安全事件應變 Service事件 AWS 帳戶：

                {
                  "version": "0",
                  "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
                  "detail-type": "Case Updated",
                  "source": "aws.security-ir",
                  "account": "111122223333",
                  "time": "2023-05-12T03:45:00Z",
                  "region": "us-west-2",
                  "resources": [
                    "arn:aws:security-ir:us-west-2:111122223333:case/1234567890"
                  ],
                  "detail": {
                    "caseId": "1234567890",
                    "updatedBy": "security-ir.amazonaws.com"
                  }
                }
              

如需撰寫事件模式的詳細資訊，請參閱《EventBridge 使用者指南》中的事件模式。 EventBridge