Erstellen von benutzerdefinierten Antworten auf Ergebnisse von Amazon Inspector mit Amazon EventBridge - Amazon Inspector
Schema des EreignissesEine EventBridge Regel erstellen, um Sie über Ergebnisse von Amazon Inspector zu informierenEventBridge für Amazon Inspector Inspector-Umgebungen mit mehreren Konten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen von benutzerdefinierten Antworten auf Ergebnisse von Amazon Inspector mit Amazon EventBridge

Amazon Inspector erstellt ein Ereignis EventBridge für Amazon für neu generierte Ergebnisse, neu aggregierte Ergebnisse und Änderungen im Stand der Ergebnisse. Alles andere als eine Änderung der lastObservedAt Felder updatedAt und veröffentlicht ein neues Ereignis. Das bedeutet, dass neue Ereignisse für ein Ergebnis generiert werden, wenn Sie beispielsweise eine Ressource neu starten oder die mit einer Ressource verknüpften Tags ändern. Die Ergebnis-ID im id Feld bleibt jedoch dieselbe. Ereignisse werden auf die bestmögliche Weise ausgegeben.

Anmerkung

Wenn es sich bei Ihrem Konto um einen von Amazon Inspector delegierten Administrator handelt, werden Ereignisse in Ihrem Konto zusätzlich zu dem Mitgliedskonto, von dem sie stammen, EventBridge veröffentlicht.

Wenn Sie EventBridge Ereignisse mit Amazon Inspector verwenden, können Sie Aufgaben automatisieren, um auf Sicherheitsprobleme zu reagieren, die durch die Ergebnisse von Amazon Inspector aufgedeckt wurden.

Amazon Inspector sendet Ereignisse an den Standard-Event-Bus in derselben Region. Das bedeutet, dass Sie für jede Region, in der Sie Amazon Inspector ausführen, Ereignisregeln konfigurieren müssen, um Ereignisse für diese Region zu sehen.

Um Benachrichtigungen über Ergebnisse von Amazon Inspector auf der Grundlage von EventBridge Ereignissen zu erhalten, müssen Sie eine EventBridge Regel und ein Ziel für Amazon Inspector erstellen. Diese Regel EventBridge ermöglicht das Senden von Benachrichtigungen über Ergebnisse, die Amazon Inspector generiert, an das in der Regel angegebene Ziel. Weitere Informationen finden Sie unter EventBridgeAmazon-Regeln im EventBridge Amazon-Benutzerhandbuch.

Schema des Ereignisses

Im Folgenden finden Sie ein Beispiel für das Amazon Inspector Inspector-Ereignisformat für ein EC2-Suchereignis. Ein Beispiel für ein Schema anderer Such- und Ereignistypen finden Sie unter EventBridge Amazon-Ereignisschema für Amazon Inspector-Ereignisse.


{
    "version": "0",
    "id": "66a7a279-5f92-971c-6d3e-c92da0950992",
    "detail-type": "Inspector2 Finding",
    "source": "aws.inspector2",
    "account": "111122223333",
    "time": "2023-01-19T22:46:15Z",
    "region": "us-east-1",
    "resources": ["i-0c2a343f1948d5205"],
    "detail": {
        "awsAccountId": "111122223333",
        "description": "\n It was discovered that the sound subsystem in the Linux kernel contained a\n race condition in some situations. A local attacker could use this to cause\n a denial of service (system crash).",
        "exploitAvailable": "YES",
        "exploitabilityDetails": {
            "lastKnownExploitAt": "Oct 24, 2022, 11:08:59 PM"
        },
        "findingArn": "arn:aws:inspector2:us-east-1:111122223333:finding/FINDING_ID",
        "firstObservedAt": "Jan 19, 2023, 10:46:15 PM",
        "fixAvailable": "YES",
        "lastObservedAt": "Jan 19, 2023, 10:46:15 PM",
        "packageVulnerabilityDetails": {
            "cvss": [{
                "baseScore": 4.7,
                "scoringVector": "CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H",
                "source": "NVD",
                "version": "3.1"
            }],
            "referenceUrls": ["https://lore.kernel.org/all/CAFcO6XN7JDM4xSXGhtusQfS2mSBcx50VJKwQpCq=WeLt57aaZA@mail.gmail.com/", "https://ubuntu.com/security/notices/USN-5792-1", "https://ubuntu.com/security/notices/USN-5791-2", "https://ubuntu.com/security/notices/USN-5791-1", "https://ubuntu.com/security/notices/USN-5793-2", "https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=8423f0b6d513b259fdab9c9bf4aaa6188d054c2d", "https://ubuntu.com/security/notices/USN-5793-1", "https://ubuntu.com/security/notices/USN-5792-2", "https://ubuntu.com/security/notices/USN-5791-3", "https://ubuntu.com/security/notices/USN-5793-4", "https://ubuntu.com/security/notices/USN-5793-3", "https://git.kernel.org/linus/8423f0b6d513b259fdab9c9bf4aaa6188d054c2d(6.0-rc5)", "https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3303"],
            "relatedVulnerabilities": [],
            "source": "UBUNTU_CVE",
            "sourceUrl": "https://people.canonical.com/~ubuntu-security/cve/2022/CVE-2022-3303.html",
            "vendorCreatedAt": "Sep 27, 2022, 11:15:00 PM",
            "vendorSeverity": "medium",
            "vulnerabilityId": "CVE-2022-3303",
            "vulnerablePackages": [{
                "arch": "X86_64",
                "epoch": 0,
                "fixedInVersion": "0:5.15.0.1027.31~20.04.16",
                "name": "linux-image-aws",
                "packageManager": "OS",
                "remediation": "apt update && apt install --only-upgrade linux-image-aws",
                "version": "5.15.0.1026.30~20.04.16"
            }]
        },
        "remediation": {
            "recommendation": {
                "text": "None Provided"
            }
        },
        "resources": [{
            "details": {
                "awsEc2Instance": {
                    "iamInstanceProfileArn": "arn:aws:iam::111122223333:instance-profile/AmazonSSMRoleForInstancesQuickSetup",
                    "imageId": "ami-0b7ff1a8d69f1bb35",
                    "ipV4Addresses": ["172.31.85.212", "44.203.45.27"],
                    "ipV6Addresses": [],
                    "launchedAt": "Jan 19, 2023, 7:53:14 PM",
                    "platform": "UBUNTU_20_04",
                    "subnetId": "subnet-8213f2a3",
                    "type": "t2.micro",
                    "vpcId": "vpc-ab6650d1"
                }
            },
            "id": "i-0c2a343f1948d5205",
            "partition": "aws",
            "region": "us-east-1",
            "type": "AWS_EC2_INSTANCE"
        }],
        "severity": "MEDIUM",
        "status": "ACTIVE",
        "title": "CVE-2022-3303 - linux-image-aws",
        "type": "PACKAGE_VULNERABILITY",
        "updatedAt": "Jan 19, 2023, 10:46:15 PM"
    }
}

Eine EventBridge Regel erstellen, um Sie über Ergebnisse von Amazon Inspector zu informieren

Um die Sichtbarkeit der Ergebnisse von Amazon Inspector EventBridge zu erhöhen, können Sie automatische Suchwarnungen einrichten, die an einen Messaging-Hub gesendet werden. In diesem Thema erfahren Sie, wie Sie Benachrichtigungen CRITICAL und HIGH Schweregrade per E-Mail, Slack oder Amazon Chime senden. Sie erfahren, wie Sie ein Amazon Simple Notification Service-Thema einrichten und dieses Thema dann mit einer EventBridge Ereignisregel verbinden.

Schritt 1. Ein Amazon SNS SNS-Thema und einen Endpunkt einrichten

Um automatische Benachrichtigungen einzurichten, müssen Sie zunächst ein Thema in Amazon Simple Notification Service einrichten und einen Endpunkt hinzufügen. Weitere Informationen finden Sie im SNS-Handbuch.

Dieses Verfahren legt fest, wohin Sie Amazon Inspector Inspector-Ergebnisdaten senden möchten. Das SNS-Thema kann während oder nach der Erstellung der EventBridge Ereignisregel zu einer Ereignisregel hinzugefügt werden.

Email setup
Erstellen eines SNS-Themas

  1. Melden Sie sich bei der Amazon-SNS-Konsole unter https://console.aws.amazon.com/sns/v3/home an.

  2. Wählen Sie im Navigationsbereich Themen und dann Thema erstellen aus.

  3. Wählen Sie im Abschnitt Thema erstellen die Option Standard aus. Geben Sie als Nächstes einen Themennamen ein, z. Inspector_to_Email B. Weitere Angaben sind optional.

  4. Wählen Sie Create Topic (Thema erstellen) aus. Dadurch wird ein neues Fenster mit Details zu Ihrem neuen Thema geöffnet.

  5. Wählen Sie im Abschnitt Abonnements die Option Abonnement erstellen aus.

    1. Wählen Sie im Menü Protocol (Protokoll) die Option Email (E-Mail) aus.

    2. Geben Sie im Feld Endpoint die E-Mail-Adresse ein, an die Sie Benachrichtigungen erhalten möchten.

      Anmerkung

      Nach der Erstellung des Abonnements müssen Sie Ihr Abonnement über Ihren E-Mail-Client bestätigen.

    3. Wählen Sie Create subscription (Abonnement erstellen) aus.

  7. Suchen Sie in Ihrem Posteingang nach einer Abonnementnachricht und wählen Sie Abonnement bestätigen.

Slack setup
Erstellen eines SNS-Themas

  1. Melden Sie sich bei der Amazon-SNS-Konsole unter https://console.aws.amazon.com/sns/v3/home an.

  2. Wählen Sie im Navigationsbereich Themen und dann Thema erstellen aus.

  3. Wählen Sie im Abschnitt Thema erstellen die Option Standard aus. Geben Sie als Nächstes einen Themennamen ein, z. Inspector_to_Slack B. Weitere Angaben sind optional. Wählen Sie Thema erstellen, um die Endpunkterstellung abzuschließen.

Einen AWS Chatbot Client konfigurieren

  1. Navigieren Sie zur AWS Chatbot Konsole unterhttps://console.aws.amazon.com/chatbot/.

  2. Wählen Sie im Bereich Konfigurierte Clients die Option Neuen Client konfigurieren aus.

  3. Wähle Slack und dann zur Bestätigung Configure.

    Anmerkung

    Wenn du Slack auswählst, musst du die Zugriffsberechtigungen für deinen Channel bestätigen AWS Chatbot , indem du Zulassen auswählst.

  4. Wählen Sie Neuen Kanal konfigurieren aus, um den Bereich mit den Konfigurationsdetails zu öffnen.

    1. Geben Sie einen Namen für den Kanal ein.

    2. Wähle für den Slack-Kanal den Kanal aus, den du verwenden möchtest.

    3. Kopiere in Slack die Kanal-ID des privaten Channels, indem du mit der rechten Maustaste auf den Kanalnamen klickst und Link kopieren auswählst.

    4. Füge im AWS Chatbot Fenster die AWS Management Console Kanal-ID, die du aus Slack kopiert hast, in das Feld Private Channel-ID ein.

    5. Wähle unter Berechtigungen aus, ob du eine IAM-Rolle mithilfe einer Vorlage erstellen möchtest, falls du noch keine Rolle hast.

    6. Wählen Sie für Richtlinienvorlagen die Option Benachrichtigungsberechtigungen aus. Dies ist die IAM-Richtlinienvorlage für AWS Chatbot. Diese Richtlinie bietet die erforderlichen Lese- und Listenberechtigungen für CloudWatch Alarme, Ereignisse und Protokolle sowie für Amazon SNS SNS-Themen.

    7. Wählen Sie für Channel-Guardrail-Richtlinien die Option 2. AmazonInspector ReadOnlyAccess

    8. Wählen Sie die Region aus, in der Sie zuvor Ihr SNS-Thema erstellt haben, und wählen Sie dann das Amazon SNS SNS-Thema aus, das Sie erstellt haben, um Benachrichtigungen an den Slack-Kanal zu senden.

  5. Wählen Sie Konfigurieren.

Amazon Chime setup
Erstellen eines SNS-Themas

  1. Melden Sie sich bei der Amazon-SNS-Konsole unter https://console.aws.amazon.com/sns/v3/home an.

  2. Wählen Sie im Navigationsbereich Themen aus und wählen Sie dann Thema erstellen aus.

  3. Wählen Sie im Abschnitt Thema erstellen die Option Standard aus. Geben Sie als Nächstes einen Themennamen ein, z. Inspector_to_Chime B. Weitere Angaben sind optional. Wählen Sie Thema erstellen, um den Vorgang abzuschließen.

Einen AWS Chatbot Client konfigurieren

  1. Navigieren Sie zur AWS Chatbot Konsole unterhttps://console.aws.amazon.com/chatbot/.

  2. Wählen Sie im Bereich Konfigurierte Clients die Option Neuen Client konfigurieren.

  3. Wählen Sie Chime und anschließend zur Bestätigung Configure.

  4. Geben Sie im Bereich mit den Konfigurationsdetails einen Namen für den Kanal ein.

  5. Öffnen Sie in Amazon Chime den gewünschten Chatroom.

    1. Wählen Sie das Zahnradsymbol rechts oben und danach Manage webhooks and bots aus.

    2. Wählen Sie URL kopieren, um die Webhook-URL in Ihre Zwischenablage zu kopieren.

  6. Fügen Sie im AWS Chatbot Fenster die URL ein, die Sie kopiert haben, in das Feld Webhook-URL. AWS Management Console

  7. Wählen Sie unter Berechtigungen aus, ob Sie eine IAM-Rolle mithilfe einer Vorlage erstellen möchten, falls Sie noch keine Rolle haben.

  8. Wählen Sie für Richtlinienvorlagen die Option Benachrichtigungsberechtigungen aus. Dies ist die IAM-Richtlinienvorlage für AWS Chatbot. Es bietet die erforderlichen Lese- und Listenberechtigungen für CloudWatch Alarme, Ereignisse und Protokolle sowie für Amazon SNS SNS-Themen.

  9. Wählen Sie die Region aus, in der Sie zuvor Ihr SNS-Thema erstellt haben, und wählen Sie dann das Amazon SNS SNS-Thema aus, das Sie erstellt haben, um Benachrichtigungen an den Amazon Chime Chime-Raum zu senden.

  10. Wählen Sie Konfigurieren.

Schritt 2. Eine EventBridge Regel für Amazon Inspector Inspector-Ergebnisse erstellen

  1. Öffnen Sie die EventBridge Amazon-Konsole unter https://console.aws.amazon.com/events/.

  2. Wählen Sie im Navigationsbereich Regeln und dann Regel erstellen aus.

  3. Geben Sie einen Namen und optional eine Beschreibung für Ihre Regel ein.

  4. Wählen Sie Regel mit einem Ereignismuster und dann Weiter aus.

  5. Wählen Sie im Bereich „Ereignismuster“ die Option Benutzerdefinierte Muster (JSON-Editor) aus.

  6. Fügen Sie den folgenden JSON-Code in den Editor ein. 

    {
  "source": ["aws.inspector2"],
  "detail-type": ["Inspector2 Finding"],
  "detail": {
    "severity": ["HIGH", "CRITICAL"],
    "status": ["ACTIVE"]
  }
}
    Anmerkung

    Dieses Muster sendet Benachrichtigungen für alle von Amazon Inspector festgestellten aktiven CRITICAL oder HIGH schwerwiegenden Ergebnisse.

    Wählen Sie Weiter, wenn Sie mit der Eingabe des Ereignismusters fertig sind.

  7. Wählen Sie auf der Seite Ziele auswählen die Option AWS-Service. Wählen Sie dann für Zieltyp auswählen die Option SNS-Thema aus.

  8. Wählen Sie unter Thema den Namen des SNS-Themas aus, das Sie in Schritt 1 erstellt haben. Wählen Sie anschließend Weiter.

  9. Fügen Sie bei Bedarf optionale Tags hinzu und wählen Sie Weiter.

  10. Überprüfen Sie Ihre Regel und wählen Sie dann Regel erstellen aus.

EventBridge für Amazon Inspector Inspector-Umgebungen mit mehreren Konten

Wenn Sie ein delegierter Administrator von Amazon Inspector sind, werden auf Ihrem Konto EventBridge Regeln angezeigt, die auf den entsprechenden Ergebnissen Ihrer Mitgliedskonten basieren. Wenn Sie EventBridge in Ihrem Administratorkonto Benachrichtigungen über Ergebnisse einrichten, wie im vorherigen Abschnitt beschrieben, erhalten Sie Benachrichtigungen über mehrere Konten. Mit anderen Worten, Sie werden über Ergebnisse und Ereignisse informiert, die von Ihren Mitgliedskonten generiert wurden, zusätzlich zu den Ergebnissen und Ereignissen, die von Ihrem eigenen Konto generiert wurden.

Sie können die JSON-Details accountId aus den Ergebnissen verwenden, um das Mitgliedskonto zu identifizieren, von dem das Amazon Inspector Inspector-Ergebnis stammt.