Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Creación de respuestas personalizadas a las conclusiones de Amazon Inspector con Amazon EventBridge
Amazon Inspector crea un evento en Amazon EventBridge para las conclusiones recién generadas y las conclusiones agregadas. Amazon Inspector también crea un evento para cualquier cambio en el estado de un hallazgo. Esto significa que Amazon Inspector crea un nuevo evento para cada hallazgo cuando realizas acciones como reiniciar un recurso o cambiar las etiquetas asociadas a un recurso. Cuando Amazon Inspector crea un evento nuevo para un hallazgo actualizado, el hallazgo id
permanece igual.
nota
Si su cuenta es una cuenta de administrador delegado de Amazon Inspector, EventBridge publica los eventos en su cuenta y en la cuenta del miembro en la que se originaron los eventos.
Al usar EventBridge eventos con Amazon Inspector, puede automatizar las tareas para ayudarlo a responder a los problemas de seguridad que revelen sus hallazgos. Para recibir notificaciones sobre los hallazgos de Amazon Inspector basados en EventBridge eventos, debe crear una EventBridge regla y especificar un objetivo para Amazon Inspector. La EventBridge regla permite EventBridge enviar notificaciones sobre los hallazgos de Amazon Inspector y el destinatario especifica dónde enviar las notificaciones.
Amazon Inspector emite los eventos al bus de eventos predeterminado en el Región de AWS lugar en el que está utilizando Amazon Inspector actualmente. Esto significa que debe configurar las reglas de eventos para cada uno de los Región de AWS lugares en los que activó Amazon Inspector y configuró Amazon Inspector para recibir EventBridge eventos. Amazon Inspector emite los eventos haciendo todo lo posible.
En esta sección se proporciona un ejemplo de un esquema de eventos y se describe cómo crear una EventBridge regla.
Esquema de evento
El siguiente es un ejemplo del formato de evento de Amazon Inspector para un evento de EC2 búsqueda. Para ver esquemas de muestra de otros tipos de resultado o de evento, consulte Esquema de EventBridge eventos de Amazon para los eventos de Amazon Inspector.
{ "version": "0", "id": "66a7a279-5f92-971c-6d3e-c92da0950992", "detail-type": "Inspector2 Finding", "source": "aws.inspector2", "account": "111122223333", "time": "2023-01-19T22:46:15Z", "region": "us-east-1", "resources": ["i-0c2a343f1948d5205"], "detail": { "awsAccountId": "111122223333", "description": "\n It was discovered that the sound subsystem in the Linux kernel contained a\n race condition in some situations. A local attacker could use this to cause\n a denial of service (system crash).", "exploitAvailable": "YES", "exploitabilityDetails": { "lastKnownExploitAt": "Oct 24, 2022, 11:08:59 PM" }, "findingArn": "arn:aws:inspector2:us-east-1:111122223333:finding/FINDING_ID", "firstObservedAt": "Jan 19, 2023, 10:46:15 PM", "fixAvailable": "YES", "lastObservedAt": "Jan 19, 2023, 10:46:15 PM", "packageVulnerabilityDetails": { "cvss": [{ "baseScore": 4.7, "scoringVector": "CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H", "source": "NVD", "version": "3.1" }], "referenceUrls": ["https://lore.kernel.org/all/CAFcO6XN7JDM4xSXGhtusQfS2mSBcx50VJKwQpCq=WeLt57aaZA@mail.gmail.com/", "https://ubuntu.com/security/notices/USN-5792-1", "https://ubuntu.com/security/notices/USN-5791-2", "https://ubuntu.com/security/notices/USN-5791-1", "https://ubuntu.com/security/notices/USN-5793-2", "https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=8423f0b6d513b259fdab9c9bf4aaa6188d054c2d", "https://ubuntu.com/security/notices/USN-5793-1", "https://ubuntu.com/security/notices/USN-5792-2", "https://ubuntu.com/security/notices/USN-5791-3", "https://ubuntu.com/security/notices/USN-5793-4", "https://ubuntu.com/security/notices/USN-5793-3", "https://git.kernel.org/linus/8423f0b6d513b259fdab9c9bf4aaa6188d054c2d(6.0-rc5)", "https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3303"], "relatedVulnerabilities": [], "source": "UBUNTU_CVE", "sourceUrl": "https://people.canonical.com/~ubuntu-security/cve/2022/CVE-2022-3303.html", "vendorCreatedAt": "Sep 27, 2022, 11:15:00 PM", "vendorSeverity": "medium", "vulnerabilityId": "CVE-2022-3303", "vulnerablePackages": [{ "arch": "X86_64", "epoch": 0, "fixedInVersion": "0:5.15.0.1027.31~20.04.16", "name": "linux-image-aws", "packageManager": "OS", "remediation": "apt update && apt install --only-upgrade linux-image-aws", "version": "5.15.0.1026.30~20.04.16" }] }, "remediation": { "recommendation": { "text": "None Provided" } }, "resources": [{ "details": { "awsEc2Instance": { "iamInstanceProfileArn": "arn:aws:iam::111122223333:instance-profile/AmazonSSMRoleForInstancesQuickSetup", "imageId": "ami-0b7ff1a8d69f1bb35", "ipV4Addresses": ["172.31.85.212", "44.203.45.27"], "ipV6Addresses": [], "launchedAt": "Jan 19, 2023, 7:53:14 PM", "platform": "UBUNTU_20_04", "subnetId": "subnet-8213f2a3", "type": "t2.micro", "vpcId": "vpc-ab6650d1" } }, "id": "i-0c2a343f1948d5205", "partition": "aws", "region": "us-east-1", "type": "AWS_EC2_INSTANCE" }], "severity": "MEDIUM", "status": "ACTIVE", "title": "CVE-2022-3303 - linux-image-aws", "type": "PACKAGE_VULNERABILITY", "updatedAt": "Jan 19, 2023, 10:46:15 PM" } }
Crear una EventBridge regla para notificarte los hallazgos de Amazon Inspector
Para aumentar la visibilidad de las conclusiones de Amazon Inspector, puede EventBridge configurar alertas de búsqueda automatizadas que se envíen a un centro de mensajería. En esta sección se muestra cómo enviar alertas de resultados de gravedad CRITICAL
y HIGH
por correo electrónico, Slack o Amazon Chime. Aprenderás a configurar un tema de Amazon Simple Notification Service y, a continuación, a conectar ese tema a una regla de EventBridge eventos.
Paso 1. Configurar un SNS tema y un punto de enlace de Amazon
Para configurar las alertas automatizadas, antes debe configurar un tema en Amazon Simple Notification Service y agregar un punto de conexión. Para obtener más información, consulta la SNSguía.
Este procedimiento establece la ubicación donde desea enviar los datos de los resultados de Amazon Inspector. El SNS tema se puede añadir a una regla de EventBridge evento durante o después de su creación.
Paso 2. Crea una EventBridge regla para las conclusiones de Amazon Inspector
-
Inicie sesión con sus credenciales.
Abre la EventBridge consola de Amazon en https://console.aws.amazon.com/events/
. -
Seleccione Reglas en el panel de navegación y, después, Crear regla.
-
Escriba un nombre y una descripción opcional de la regla.
-
Elija Regla con un patrón de eventos y, a continuación, Siguiente.
-
En el panel Patrones de eventos, selecciona Patrones personalizados (JSONeditor).
-
Pegue lo siguiente JSON en el editor.
{ "source": ["aws.inspector2"], "detail-type": ["Inspector2 Finding"], "detail": { "severity": ["HIGH", "CRITICAL"], "status": ["ACTIVE"] } }
nota
Este patrón envía notificaciones sobre cualquier resultado de gravedad
CRITICAL
oHIGH
que detecte Amazon Inspector.Seleccione Siguiente cuando haya acabado de introducir el patrón del evento.
-
En la página Seleccionar destinos, elija Servicio de AWS. Luego, en Seleccione el tipo de destino, elija SNSel tema.
-
En Tema, selecciona el nombre del SNS tema que creaste en el paso 1. A continuación, elija Next.
-
Agregue más etiquetas si las necesita y elija Siguiente.
-
Revise la regla y, a continuación, elija Crear regla.
EventBridge para entornos de cuentas múltiples de Amazon Inspector
Si eres administrador delegado de Amazon Inspector, EventBridge las reglas aparecen en tu cuenta en función de las conclusiones aplicables de tus cuentas de miembros. Si configuras las notificaciones de hallazgos a través EventBridge de tu cuenta de administrador, como se detalla en la sección anterior, recibirás notificaciones sobre varias cuentas. En otras palabras, recibirá información de los resultados y eventos generados en cuentas de miembros, así como de los resultados y eventos generados en su propia cuenta.
Puedes utilizar los JSON detalles accountId
del hallazgo para identificar la cuenta de miembro en la que se originó el hallazgo de Amazon Inspector.