Creación de respuestas personalizadas para resultados de Amazon Inspector con Amazon EventBridge - Amazon Inspector
Esquema de eventoCreación de una regla de EventBridge para recibir notificaciones de los resultados de Amazon InspectorEventBridge para entornos de varias cuentas de Amazon Inspector

Creación de respuestas personalizadas para resultados de Amazon Inspector con Amazon EventBridge

Amazon Inspector crea un evento en Amazon EventBridge para los resultados recién generados y agregados. Amazon Inspector también crea un evento para cualquier cambio en el estado de un resultado. Esto significa que Amazon Inspector crea un nuevo evento para un resultado cuando toma medidas como reiniciar un recurso o cambiar las etiquetas asociadas a un recurso. Cuando Amazon Inspector crea un evento nuevo para un resultado actualizado, el resultado id permanece igual.

nota

Si la cuenta es una cuenta de administrador delegado de Amazon Inspector, EventBridge publica los eventos en la cuenta y en la cuenta de miembro en la que se originan los eventos.

Cuando se usan eventos de EventBridge con Amazon Inspector, puede automatizar las tareas para ayudar a responder a los problemas de seguridad que han detectado los resultados. Para recibir notificaciones sobre los resultados de Amazon Inspector en función de eventos de EventBridge, debe crear una regla de EventBridge y especificar un destino para Amazon Inspector. La regla de EventBridge permite a EventBridge enviar notificaciones de todos los resultados de Amazon Inspector y el destino especifica dónde enviar las notificaciones.

Amazon Inspector emite los eventos al bus de eventos predeterminado en la Región de AWS en la que actualmente utiliza Amazon Inspector. Esto significa que debe configurar las reglas de eventos en cada Región de AWS en la que ha activado Amazon Inspector y configurado Amazon Inspector para recibir eventos de EventBridge. Amazon Inspector emite eventos de la mejor forma posible.

En esta sección se le proporciona un ejemplo de un esquema de eventos y se describe cómo crear una regla de EventBridge.

Esquema de evento

A continuación se muestra un ejemplo del formato de un evento de Amazon Inspector para un evento de resultados de EC2. Para ver esquemas de muestra de otros tipos de resultado o de evento, consulte Esquema de eventos de Amazon EventBridge para eventos de Amazon Inspector.


{
    "version": "0",
    "id": "66a7a279-5f92-971c-6d3e-c92da0950992",
    "detail-type": "Inspector2 Finding",
    "source": "aws.inspector2",
    "account": "111122223333",
    "time": "2023-01-19T22:46:15Z",
    "region": "us-east-1",
    "resources": ["i-0c2a343f1948d5205"],
    "detail": {
        "awsAccountId": "111122223333",
        "description": "\n It was discovered that the sound subsystem in the Linux kernel contained a\n race condition in some situations. A local attacker could use this to cause\n a denial of service (system crash).",
        "exploitAvailable": "YES",
        "exploitabilityDetails": {
            "lastKnownExploitAt": "Oct 24, 2022, 11:08:59 PM"
        },
        "findingArn": "arn:aws:inspector2:us-east-1:111122223333:finding/FINDING_ID",
        "firstObservedAt": "Jan 19, 2023, 10:46:15 PM",
        "fixAvailable": "YES",
        "lastObservedAt": "Jan 19, 2023, 10:46:15 PM",
        "packageVulnerabilityDetails": {
            "cvss": [{
                "baseScore": 4.7,
                "scoringVector": "CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H",
                "source": "NVD",
                "version": "3.1"
            }],
            "referenceUrls": ["https://lore.kernel.org/all/CAFcO6XN7JDM4xSXGhtusQfS2mSBcx50VJKwQpCq=WeLt57aaZA@mail.gmail.com/", "https://ubuntu.com/security/notices/USN-5792-1", "https://ubuntu.com/security/notices/USN-5791-2", "https://ubuntu.com/security/notices/USN-5791-1", "https://ubuntu.com/security/notices/USN-5793-2", "https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=8423f0b6d513b259fdab9c9bf4aaa6188d054c2d", "https://ubuntu.com/security/notices/USN-5793-1", "https://ubuntu.com/security/notices/USN-5792-2", "https://ubuntu.com/security/notices/USN-5791-3", "https://ubuntu.com/security/notices/USN-5793-4", "https://ubuntu.com/security/notices/USN-5793-3", "https://git.kernel.org/linus/8423f0b6d513b259fdab9c9bf4aaa6188d054c2d(6.0-rc5)", "https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3303"],
            "relatedVulnerabilities": [],
            "source": "UBUNTU_CVE",
            "sourceUrl": "https://people.canonical.com/~ubuntu-security/cve/2022/CVE-2022-3303.html",
            "vendorCreatedAt": "Sep 27, 2022, 11:15:00 PM",
            "vendorSeverity": "medium",
            "vulnerabilityId": "CVE-2022-3303",
            "vulnerablePackages": [{
                "arch": "X86_64",
                "epoch": 0,
                "fixedInVersion": "0:5.15.0.1027.31~20.04.16",
                "name": "linux-image-aws",
                "packageManager": "OS",
                "remediation": "apt update && apt install --only-upgrade linux-image-aws",
                "version": "5.15.0.1026.30~20.04.16"
            }]
        },
        "remediation": {
            "recommendation": {
                "text": "None Provided"
            }
        },
        "resources": [{
            "details": {
                "awsEc2Instance": {
                    "iamInstanceProfileArn": "arn:aws:iam::111122223333:instance-profile/AmazonSSMRoleForInstancesQuickSetup",
                    "imageId": "ami-0b7ff1a8d69f1bb35",
                    "ipV4Addresses": ["172.31.85.212", "44.203.45.27"],
                    "ipV6Addresses": [],
                    "launchedAt": "Jan 19, 2023, 7:53:14 PM",
                    "platform": "UBUNTU_20_04",
                    "subnetId": "subnet-8213f2a3",
                    "type": "t2.micro",
                    "vpcId": "vpc-ab6650d1"
                }
            },
            "id": "i-0c2a343f1948d5205",
            "partition": "aws",
            "region": "us-east-1",
            "type": "AWS_EC2_INSTANCE"
        }],
        "severity": "MEDIUM",
        "status": "ACTIVE",
        "title": "CVE-2022-3303 - linux-image-aws",
        "type": "PACKAGE_VULNERABILITY",
        "updatedAt": "Jan 19, 2023, 10:46:15 PM"
    }
}

Creación de una regla de EventBridge para recibir notificaciones de los resultados de Amazon Inspector

EventBridge le permite configurar alertas automatizadas sobre resultados que se envían a un centro de mensajería para incrementar la visibilidad de los resultados de Amazon Inspector. En esta sección se muestra cómo enviar alertas de resultados de gravedad CRITICAL y HIGH por correo electrónico, Slack o Amazon Chime. Aprenderá a configurar un tema en Amazon Simple Notification Service y, a continuación, conectarlo a una regla de eventos de EventBridge.

Paso 1. Configuración de un tema y un punto de conexión de Amazon SNS

Para configurar las alertas automatizadas, antes debe configurar un tema en Amazon Simple Notification Service y agregar un punto de conexión. Para obtener más información, consulte la guía de SNS.

Este procedimiento establece la ubicación donde desea enviar los datos de los resultados de Amazon Inspector. El tema de SNS se puede agregar a una regla de eventos de EventBridge durante la creación de la regla de eventos o después de dicha creación.

Email setup
Creación de un tema de SNS

  1. Inicie sesión en la consola de Amazon SNS en https://console.aws.amazon.com/sns/v3/home.

  2. En el panel de navegación, seleccione Temas y, a continuación, Crear tema.

  3. En la sección Crear tema, seleccione Estándar. A continuación, escriba un nombre de tema, como Inspector_to_Email. Lo demás datos son opcionales.

  4. Elija Create Topic (Crear tema). Se abrirá un nuevo panel con detalles sobre el tema que acaba de crear.

  5. En la sección Suscripciones, seleccione Crear suscripción.

    1. En el menú Protocolo, seleccione Correo electrónico.

    2. En el campo Punto de conexión, introduzca la dirección de correo electrónico en la que desea recibir las notificaciones.

      nota

      Una vez creada la suscripción, tendrá que confirmarla a través del cliente de correo electrónico.

    3. Seleccione Crear una suscripción.

  7. Busque el mensaje de suscripción en la bandeja de entrada y elija Confirmar suscripción.

Slack setup
Creación de un tema de SNS

  1. Inicie sesión en la consola de Amazon SNS en https://console.aws.amazon.com/sns/v3/home.

  2. En el panel de navegación, seleccione Temas y, a continuación, Crear tema.

  3. En la sección Crear tema, seleccione Estándar. A continuación, escriba un nombre de tema, como Inspector_to_Slack. Lo demás datos son opcionales. Elija Crear tema para acabar de crear el punto de conexión.

Configuración de un cliente de AWS Chatbot

  1. Vaya a la consola AWS Chatbot en https://console.aws.amazon.com/chatbot/.

  2. En el panel Clientes configurados, seleccione Configurar un nuevo cliente.

  3. Elija Slack y, a continuación, Guardar.

    nota

    Al elegir Slack, debe confirmar los permisos de AWS Chatbot para acceder a su canal. Para ello, seleccione permitir.

  4. Seleccione Configurar un nuevo canal para abrir el panel de detalles de configuración.

    1. Escriba un nombre para el canal.

    2. En Canal de Slack, elija el canal que quiera utilizar.

    3. En Slack, haga clic con el botón secundario en el nombre del canal y seleccione Copiar enlace para copiar el ID de canal del canal privado.

    4. En la AWS Management Console, en la ventana AWS Chatbot, pegue el ID que ha copiado de Slack en el campo ID de canal privado.

    5. En Permisos, elija crear un rol de IAM con una plantilla, en el caso de que no tenga un rol.

    6. Para las plantillas de Política, elija Permisos de notificación. Esta es la plantilla de política de IAM para AWS Chatbot. Esta política proporciona los permisos de lectura y de lista necesarios para las alarmas, los eventos y los registros de CloudWatch, así como para los temas de Amazon SNS.

    7. En Políticas de barrera de protección del canal, elija AmazonInspector2ReadOnlyAccess.

    8. Elija la región en la que ha creado anteriormente el tema de SNS y, a continuación, seleccione el tema de Amazon SNS que ha creado para enviar notificaciones al canal de Slack.

  5. Seleccione Configure (Configurar).

Amazon Chime setup
Creación de un tema de SNS

  1. Inicie sesión en la consola de Amazon SNS en https://console.aws.amazon.com/sns/v3/home.

  2. En el panel de navegación, seleccione Temas y, a continuación, Crear tema.

  3. En la sección Crear tema, seleccione Estándar. A continuación, escriba un nombre de tema, como Inspector_to_Chime. Lo demás datos son opcionales. Elija Crear tema para finalizar este proceso.

Configuración de un cliente de AWS Chatbot

  1. Vaya a la consola AWS Chatbot en https://console.aws.amazon.com/chatbot/.

  2. En el panel Clientes configurados, seleccione Configurar un nuevo cliente.

  3. Elija Chime y, a continuación, Configurar para confirmar.

  4. En el panel Detalles de configuración, introduzca un nombre para el canal.

  5. En Amazon Chime, abra la sala de chat que desea utilizar.

    1. Elija el icono de engranaje en la esquina superior derecha y elija Manage webhooks and bots (Administrar webhooks y bots).

    2. Seleccione Copiar URL para copiar la URL del webhook a su portapapeles.

  6. En la AWS Management Console, en la ventana AWS Chatbot, pegue la URL que ha copiado en el campo URL de webhook.

  7. En Permisos, elija crear un rol de IAM con una plantilla, en el caso de que no tenga un rol.

  8. Para las plantillas de Política, elija Permisos de notificación. Esta es la plantilla de política de IAM para AWS Chatbot. Proporciona los permisos de lectura y de lista necesarios para las alarmas, los eventos y los registros de CloudWatch, así como para los temas de Amazon SNS.

  9. Elija la región en la que ha creado anteriormente el tema de SNS y, a continuación, seleccione el tema de Amazon SNS que ha creado para enviar notificaciones a la sala de Amazon Chime.

  10. Seleccione Configure (Configurar).

Paso 2. Creación de una regla de EventBridge para los resultados de Amazon Inspector

  1. Inicie sesión con las credenciales.

  2. Abra la consola de Amazon EventBridge en https://console.aws.amazon.com/events/.

  3. Seleccione Reglas en el panel de navegación y, después, Crear regla.

  4. Escriba un nombre y una descripción opcional de la regla.

  5. Elija Regla con un patrón de eventos y, a continuación, Siguiente.

  6. En el panel Patrón de eventos, elija Patrones personalizados (editor JSON).

  7. Pegue el siguiente objeto JSON en el editor. 

    {
  "source": ["aws.inspector2"],
  "detail-type": ["Inspector2 Finding"],
  "detail": {
    "severity": ["HIGH", "CRITICAL"],
    "status": ["ACTIVE"]
  }
}
    nota

    Este patrón envía notificaciones sobre cualquier resultado de gravedad CRITICAL o HIGH que detecte Amazon Inspector.

    Seleccione Siguiente cuando haya acabado de introducir el patrón del evento.

  8. En la página Seleccionar destinos, elija Servicio de AWS. A continuación, en Seleccionar tipo de destino, elija Tema de SNS.

  9. En Tema, seleccione el nombre del tema de SNS que ha creado en el paso 1. A continuación, elija Next.

  10. Agregue más etiquetas si las necesita y elija Siguiente.

  11. Revise la regla y, a continuación, elija Crear regla.

EventBridge para entornos de varias cuentas de Amazon Inspector

Si es administrador delegado de Amazon Inspector, se muestran reglas de EventBridge en su cuenta en función de los resultados aplicables procedentes de las cuentas de miembros. Si configura las notificaciones sobre resultados a través de EventBridge en la cuenta de administrador, tal como se indica en la sección anterior, recibirá notificaciones acerca de varias cuentas. En otras palabras, recibirá información de los resultados y eventos generados en cuentas de miembros, así como de los resultados y eventos generados en su propia cuenta.

Puede utilizar el valor accountId de los detalles del archivo JSON del resultado para identificar la cuenta de miembro de la que procede el resultado de Amazon Inspector.