Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Création de réponses personnalisées aux conclusions d'Amazon Inspector avec Amazon EventBridge
Amazon Inspector crée un événement pour Amazon EventBridge pour les résultats nouvellement générés, les nouveaux résultats agrégés et les modifications de l'état des résultats. Toute modification des lastObservedAt
champs updatedAt
et entraînera la publication d'un nouvel événement. Cela signifie que de nouveaux événements liés à une recherche sont générés lorsque vous effectuez des actions telles que le redémarrage d'une ressource ou la modification des balises associées à une ressource. Cependant, l'identifiant de recherche dans le id
champ reste le même. Les événements sont générés sur la base du meilleur effort.
Note
Si votre compte est un administrateur délégué d'Amazon Inspector, EventBridge publie les événements sur votre compte en plus du compte membre dont ils proviennent.
Lorsque vous utilisez EventBridge des événements avec Amazon Inspector, vous pouvez automatiser les tâches pour vous aider à répondre aux problèmes de sécurité révélés par les résultats d'Amazon Inspector.
Amazon Inspector émet des événements vers le bus d'événements par défaut dans la même région. Cela signifie que vous devez configurer les règles relatives aux événements pour chaque région dans laquelle vous exécutez Amazon Inspector afin de voir les événements de cette région.
Pour recevoir des notifications concernant les résultats d'Amazon Inspector basés sur EventBridge des événements, vous devez créer une EventBridge règle et un objectif pour Amazon Inspector. Cette règle permet d' EventBridge envoyer des notifications pour les résultats générés par Amazon Inspector à la cible spécifiée dans la règle. Pour plus d'informations, consultez les EventBridgerègles Amazon dans le guide de EventBridge l'utilisateur Amazon.
Schéma d'événement
Voici un exemple du format d'événement Amazon Inspector pour un événement de recherche EC2. Par exemple, le schéma des autres types de recherche et types d'événements, voirSchéma EventBridge d'événements Amazon pour les événements Amazon Inspector.
{ "version": "0", "id": "66a7a279-5f92-971c-6d3e-c92da0950992", "detail-type": "Inspector2 Finding", "source": "aws.inspector2", "account": "111122223333", "time": "2023-01-19T22:46:15Z", "region": "us-east-1", "resources": ["i-0c2a343f1948d5205"], "detail": { "awsAccountId": "111122223333", "description": "\n It was discovered that the sound subsystem in the Linux kernel contained a\n race condition in some situations. A local attacker could use this to cause\n a denial of service (system crash).", "exploitAvailable": "YES", "exploitabilityDetails": { "lastKnownExploitAt": "Oct 24, 2022, 11:08:59 PM" }, "findingArn": "arn:aws:inspector2:us-east-1:111122223333:finding/FINDING_ID", "firstObservedAt": "Jan 19, 2023, 10:46:15 PM", "fixAvailable": "YES", "lastObservedAt": "Jan 19, 2023, 10:46:15 PM", "packageVulnerabilityDetails": { "cvss": [{ "baseScore": 4.7, "scoringVector": "CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H", "source": "NVD", "version": "3.1" }], "referenceUrls": ["https://lore.kernel.org/all/CAFcO6XN7JDM4xSXGhtusQfS2mSBcx50VJKwQpCq=WeLt57aaZA@mail.gmail.com/", "https://ubuntu.com/security/notices/USN-5792-1", "https://ubuntu.com/security/notices/USN-5791-2", "https://ubuntu.com/security/notices/USN-5791-1", "https://ubuntu.com/security/notices/USN-5793-2", "https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=8423f0b6d513b259fdab9c9bf4aaa6188d054c2d", "https://ubuntu.com/security/notices/USN-5793-1", "https://ubuntu.com/security/notices/USN-5792-2", "https://ubuntu.com/security/notices/USN-5791-3", "https://ubuntu.com/security/notices/USN-5793-4", "https://ubuntu.com/security/notices/USN-5793-3", "https://git.kernel.org/linus/8423f0b6d513b259fdab9c9bf4aaa6188d054c2d(6.0-rc5)", "https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3303"], "relatedVulnerabilities": [], "source": "UBUNTU_CVE", "sourceUrl": "https://people.canonical.com/~ubuntu-security/cve/2022/CVE-2022-3303.html", "vendorCreatedAt": "Sep 27, 2022, 11:15:00 PM", "vendorSeverity": "medium", "vulnerabilityId": "CVE-2022-3303", "vulnerablePackages": [{ "arch": "X86_64", "epoch": 0, "fixedInVersion": "0:5.15.0.1027.31~20.04.16", "name": "linux-image-aws", "packageManager": "OS", "remediation": "apt update && apt install --only-upgrade linux-image-aws", "version": "5.15.0.1026.30~20.04.16" }] }, "remediation": { "recommendation": { "text": "None Provided" } }, "resources": [{ "details": { "awsEc2Instance": { "iamInstanceProfileArn": "arn:aws:iam::111122223333:instance-profile/AmazonSSMRoleForInstancesQuickSetup", "imageId": "ami-0b7ff1a8d69f1bb35", "ipV4Addresses": ["172.31.85.212", "44.203.45.27"], "ipV6Addresses": [], "launchedAt": "Jan 19, 2023, 7:53:14 PM", "platform": "UBUNTU_20_04", "subnetId": "subnet-8213f2a3", "type": "t2.micro", "vpcId": "vpc-ab6650d1" } }, "id": "i-0c2a343f1948d5205", "partition": "aws", "region": "us-east-1", "type": "AWS_EC2_INSTANCE" }], "severity": "MEDIUM", "status": "ACTIVE", "title": "CVE-2022-3303 - linux-image-aws", "type": "PACKAGE_VULNERABILITY", "updatedAt": "Jan 19, 2023, 10:46:15 PM" } }
Création d'une EventBridge règle pour vous informer des résultats d'Amazon Inspector
Pour augmenter la visibilité des résultats d'Amazon Inspector, vous pouvez EventBridge configurer des alertes de recherche automatisées qui sont envoyées à un hub de messagerie. Cette rubrique explique comment envoyer des alertes CRITICAL
et des résultats de HIGH
gravité par e-mail, Slack ou Amazon Chime. Vous allez apprendre à configurer une rubrique Amazon Simple Notification Service, puis à associer cette rubrique à une règle d' EventBridge événement.
Étape 1. Configuration d'une rubrique et d'un point de terminaison Amazon SNS
Pour configurer des alertes automatiques, vous devez d'abord configurer un sujet dans Amazon Simple Notification Service et ajouter un point de terminaison. Pour plus d'informations, consultez le guide SNS.
Cette procédure définit l'endroit où vous souhaitez envoyer les données des résultats d'Amazon Inspector. La rubrique SNS peut être ajoutée à une règle d' EventBridge événement pendant ou après la création de la règle d'événement.
Étape 2. Création d'une EventBridge règle pour les résultats d'Amazon Inspector
Ouvrez la EventBridge console Amazon à l'adresse https://console.aws.amazon.com/events/
. -
Sélectionnez Règles dans le volet de navigation, puis sélectionnez Créer une règle.
-
Entrez un nom et une description facultative pour votre règle.
-
Sélectionnez Règle avec un modèle d'événement, puis Suivant.
-
Dans le volet Event Pattern, sélectionnez Custom patterns (éditeur JSON).
-
Collez le code JSON suivant dans l’éditeur.
{ "source": ["aws.inspector2"], "detail-type": ["Inspector2 Finding"], "detail": { "severity": ["HIGH", "CRITICAL"], "status": ["ACTIVE"] } }
Note
Ce modèle envoie des notifications pour tout résultat actif
CRITICAL
ou deHIGH
gravité détecté par Amazon Inspector.Sélectionnez Suivant lorsque vous avez fini de saisir le modèle d'événement.
-
Sur la page Sélectionner des cibles, sélectionnez Service AWS. Ensuite, pour Sélectionner le type de cible, choisissez le sujet SNS.
-
Pour Rubrique, sélectionnez le nom de la rubrique SNS que vous avez créée à l'étape 1. Ensuite, sélectionnez Suivant.
-
Ajoutez des balises facultatives si nécessaire et choisissez Next.
-
Passez en revue votre règle, puis choisissez Créer une règle.
EventBridge pour les environnements multi-comptes Amazon Inspector
Si vous êtes un administrateur délégué d'Amazon Inspector, EventBridge les règles s'affichent sur votre compte en fonction des résultats applicables de vos comptes membres. Si vous configurez les notifications de résultats EventBridge dans votre compte administrateur, comme indiqué dans la section précédente, vous recevrez des notifications concernant plusieurs comptes. En d'autres termes, vous serez informé des découvertes et des événements générés par vos comptes membres en plus de ceux générés par votre propre compte.
Vous pouvez utiliser les informations JSON accountId
de la recherche pour identifier le compte membre à l'origine de la découverte Amazon Inspector.