Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erstellen von benutzerdefinierten Antworten auf Ergebnisse von Amazon Inspector mit Amazon EventBridge
Amazon Inspector erstellt ein Ereignis EventBridge für Amazon für neu generierte Ergebnisse, neu aggregierte Ergebnisse und Änderungen im Stand der Ergebnisse. Alles andere als eine Änderung der lastObservedAt
Felder updatedAt
und veröffentlicht ein neues Ereignis. Das bedeutet, dass neue Ereignisse für ein Ergebnis generiert werden, wenn Sie beispielsweise eine Ressource neu starten oder die mit einer Ressource verknüpften Tags ändern. Die Ergebnis-ID im id
Feld bleibt jedoch dieselbe. Ereignisse werden auf die bestmögliche Weise ausgegeben.
Anmerkung
Wenn es sich bei Ihrem Konto um einen von Amazon Inspector delegierten Administrator handelt, werden Ereignisse in Ihrem Konto zusätzlich zu dem Mitgliedskonto, von dem sie stammen, EventBridge veröffentlicht.
Wenn Sie EventBridge Ereignisse mit Amazon Inspector verwenden, können Sie Aufgaben automatisieren, um auf Sicherheitsprobleme zu reagieren, die durch die Ergebnisse von Amazon Inspector aufgedeckt wurden.
Amazon Inspector sendet Ereignisse an den Standard-Event-Bus in derselben Region. Das bedeutet, dass Sie für jede Region, in der Sie Amazon Inspector ausführen, Ereignisregeln konfigurieren müssen, um Ereignisse für diese Region zu sehen.
Um Benachrichtigungen über Ergebnisse von Amazon Inspector auf der Grundlage von EventBridge Ereignissen zu erhalten, müssen Sie eine EventBridge Regel und ein Ziel für Amazon Inspector erstellen. Diese Regel EventBridge ermöglicht das Senden von Benachrichtigungen über Ergebnisse, die Amazon Inspector generiert, an das in der Regel angegebene Ziel. Weitere Informationen finden Sie unter EventBridgeAmazon-Regeln im EventBridge Amazon-Benutzerhandbuch.
Schema des Ereignisses
Im Folgenden finden Sie ein Beispiel für das Amazon Inspector Inspector-Ereignisformat für ein EC2-Suchereignis. Ein Beispiel für ein Schema anderer Such- und Ereignistypen finden Sie unter EventBridge Amazon-Ereignisschema für Amazon Inspector-Ereignisse.
{ "version": "0", "id": "66a7a279-5f92-971c-6d3e-c92da0950992", "detail-type": "Inspector2 Finding", "source": "aws.inspector2", "account": "111122223333", "time": "2023-01-19T22:46:15Z", "region": "us-east-1", "resources": ["i-0c2a343f1948d5205"], "detail": { "awsAccountId": "111122223333", "description": "\n It was discovered that the sound subsystem in the Linux kernel contained a\n race condition in some situations. A local attacker could use this to cause\n a denial of service (system crash).", "exploitAvailable": "YES", "exploitabilityDetails": { "lastKnownExploitAt": "Oct 24, 2022, 11:08:59 PM" }, "findingArn": "arn:aws:inspector2:us-east-1:111122223333:finding/FINDING_ID", "firstObservedAt": "Jan 19, 2023, 10:46:15 PM", "fixAvailable": "YES", "lastObservedAt": "Jan 19, 2023, 10:46:15 PM", "packageVulnerabilityDetails": { "cvss": [{ "baseScore": 4.7, "scoringVector": "CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H", "source": "NVD", "version": "3.1" }], "referenceUrls": ["https://lore.kernel.org/all/CAFcO6XN7JDM4xSXGhtusQfS2mSBcx50VJKwQpCq=WeLt57aaZA@mail.gmail.com/", "https://ubuntu.com/security/notices/USN-5792-1", "https://ubuntu.com/security/notices/USN-5791-2", "https://ubuntu.com/security/notices/USN-5791-1", "https://ubuntu.com/security/notices/USN-5793-2", "https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=8423f0b6d513b259fdab9c9bf4aaa6188d054c2d", "https://ubuntu.com/security/notices/USN-5793-1", "https://ubuntu.com/security/notices/USN-5792-2", "https://ubuntu.com/security/notices/USN-5791-3", "https://ubuntu.com/security/notices/USN-5793-4", "https://ubuntu.com/security/notices/USN-5793-3", "https://git.kernel.org/linus/8423f0b6d513b259fdab9c9bf4aaa6188d054c2d(6.0-rc5)", "https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3303"], "relatedVulnerabilities": [], "source": "UBUNTU_CVE", "sourceUrl": "https://people.canonical.com/~ubuntu-security/cve/2022/CVE-2022-3303.html", "vendorCreatedAt": "Sep 27, 2022, 11:15:00 PM", "vendorSeverity": "medium", "vulnerabilityId": "CVE-2022-3303", "vulnerablePackages": [{ "arch": "X86_64", "epoch": 0, "fixedInVersion": "0:5.15.0.1027.31~20.04.16", "name": "linux-image-aws", "packageManager": "OS", "remediation": "apt update && apt install --only-upgrade linux-image-aws", "version": "5.15.0.1026.30~20.04.16" }] }, "remediation": { "recommendation": { "text": "None Provided" } }, "resources": [{ "details": { "awsEc2Instance": { "iamInstanceProfileArn": "arn:aws:iam::111122223333:instance-profile/AmazonSSMRoleForInstancesQuickSetup", "imageId": "ami-0b7ff1a8d69f1bb35", "ipV4Addresses": ["172.31.85.212", "44.203.45.27"], "ipV6Addresses": [], "launchedAt": "Jan 19, 2023, 7:53:14 PM", "platform": "UBUNTU_20_04", "subnetId": "subnet-8213f2a3", "type": "t2.micro", "vpcId": "vpc-ab6650d1" } }, "id": "i-0c2a343f1948d5205", "partition": "aws", "region": "us-east-1", "type": "AWS_EC2_INSTANCE" }], "severity": "MEDIUM", "status": "ACTIVE", "title": "CVE-2022-3303 - linux-image-aws", "type": "PACKAGE_VULNERABILITY", "updatedAt": "Jan 19, 2023, 10:46:15 PM" } }
Eine EventBridge Regel erstellen, um Sie über Ergebnisse von Amazon Inspector zu informieren
Um die Sichtbarkeit der Ergebnisse von Amazon Inspector EventBridge zu erhöhen, können Sie automatische Suchwarnungen einrichten, die an einen Messaging-Hub gesendet werden. In diesem Thema erfahren Sie, wie Sie Benachrichtigungen CRITICAL
und HIGH
Schweregrade per E-Mail, Slack oder Amazon Chime senden. Sie erfahren, wie Sie ein Amazon Simple Notification Service-Thema einrichten und dieses Thema dann mit einer EventBridge Ereignisregel verbinden.
Schritt 1. Ein Amazon SNS SNS-Thema und einen Endpunkt einrichten
Um automatische Benachrichtigungen einzurichten, müssen Sie zunächst ein Thema in Amazon Simple Notification Service einrichten und einen Endpunkt hinzufügen. Weitere Informationen finden Sie im SNS-Handbuch.
Dieses Verfahren legt fest, wohin Sie Amazon Inspector Inspector-Ergebnisdaten senden möchten. Das SNS-Thema kann während oder nach der Erstellung der EventBridge Ereignisregel zu einer Ereignisregel hinzugefügt werden.
Schritt 2. Eine EventBridge Regel für Amazon Inspector Inspector-Ergebnisse erstellen
Öffnen Sie die EventBridge Amazon-Konsole unter https://console.aws.amazon.com/events/
. -
Wählen Sie im Navigationsbereich Regeln und dann Regel erstellen aus.
-
Geben Sie einen Namen und optional eine Beschreibung für Ihre Regel ein.
-
Wählen Sie Regel mit einem Ereignismuster und dann Weiter aus.
-
Wählen Sie im Bereich „Ereignismuster“ die Option Benutzerdefinierte Muster (JSON-Editor) aus.
-
Fügen Sie den folgenden JSON-Code in den Editor ein.
{ "source": ["aws.inspector2"], "detail-type": ["Inspector2 Finding"], "detail": { "severity": ["HIGH", "CRITICAL"], "status": ["ACTIVE"] } }
Anmerkung
Dieses Muster sendet Benachrichtigungen für alle von Amazon Inspector festgestellten aktiven
CRITICAL
oderHIGH
schwerwiegenden Ergebnisse.Wählen Sie Weiter, wenn Sie mit der Eingabe des Ereignismusters fertig sind.
-
Wählen Sie auf der Seite Ziele auswählen die Option AWS-Service. Wählen Sie dann für Zieltyp auswählen die Option SNS-Thema aus.
-
Wählen Sie unter Thema den Namen des SNS-Themas aus, das Sie in Schritt 1 erstellt haben. Wählen Sie anschließend Weiter.
-
Fügen Sie bei Bedarf optionale Tags hinzu und wählen Sie Weiter.
-
Überprüfen Sie Ihre Regel und wählen Sie dann Regel erstellen aus.
EventBridge für Amazon Inspector Inspector-Umgebungen mit mehreren Konten
Wenn Sie ein delegierter Administrator von Amazon Inspector sind, werden auf Ihrem Konto EventBridge Regeln angezeigt, die auf den entsprechenden Ergebnissen Ihrer Mitgliedskonten basieren. Wenn Sie EventBridge in Ihrem Administratorkonto Benachrichtigungen über Ergebnisse einrichten, wie im vorherigen Abschnitt beschrieben, erhalten Sie Benachrichtigungen über mehrere Konten. Mit anderen Worten, Sie werden über Ergebnisse und Ereignisse informiert, die von Ihren Mitgliedskonten generiert wurden, zusätzlich zu den Ergebnissen und Ereignissen, die von Ihrem eigenen Konto generiert wurden.
Sie können die JSON-Details accountId
aus den Ergebnissen verwenden, um das Mitgliedskonto zu identifizieren, von dem das Amazon Inspector Inspector-Ergebnis stammt.