Membuat tanggapan khusus terhadap temuan Amazon Inspector dengan Amazon EventBridge - Amazon Inspector
Skema peristiwaMembuat EventBridge aturan untuk memberi tahu Anda tentang temuan Amazon InspectorEventBridge untuk lingkungan multi-akun Amazon Inspector

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat tanggapan khusus terhadap temuan Amazon Inspector dengan Amazon EventBridge

Amazon Inspector membuat acara di Amazon EventBridge untuk temuan yang baru dihasilkan dan temuan agregat. Amazon Inspector juga membuat acara untuk setiap perubahan pada status temuan. Ini berarti Amazon Inspector membuat acara baru untuk temuan ketika Anda mengambil tindakan seperti memulai ulang sumber daya atau mengubah tag yang terkait dengan sumber daya. Saat Amazon Inspector membuat acara baru untuk temuan yang diperbarui, temuannya id tetap sama.

catatan

Jika akun Anda adalah akun administrator yang didelegasikan Amazon Inspector, EventBridge menerbitkan acara ke akun Anda dan akun anggota tempat acara tersebut berasal.

Saat menggunakan EventBridge peristiwa dengan Amazon Inspector, Anda dapat mengotomatiskan tugas untuk membantu Anda menanggapi masalah keamanan yang diungkapkan temuan Anda. Untuk menerima pemberitahuan tentang temuan Amazon Inspector berdasarkan EventBridge peristiwa, Anda harus membuat EventBridge aturan dan menentukan target untuk Amazon Inspector. EventBridge Aturan ini memungkinkan EventBridge untuk mengirim pemberitahuan untuk temuan Amazon Inspector, dan target menentukan ke mana harus mengirim notifikasi.

Amazon Inspector memancarkan peristiwa ke bus acara default di Wilayah AWS tempat Anda saat ini menggunakan Amazon Inspector. Ini berarti Anda harus mengonfigurasi aturan acara untuk setiap Wilayah AWS tempat Anda mengaktifkan Amazon Inspector dan mengonfigurasi Amazon Inspector untuk menerima acara. EventBridge Amazon Inspector memancarkan acara dengan upaya terbaik.

Bagian ini memberi Anda contoh skema acara dan menjelaskan cara membuat EventBridge aturan.

Skema peristiwa

Berikut ini adalah contoh format acara Amazon Inspector untuk acara EC2 pencarian. Misalnya skema jenis temuan dan jenis acara lainnya, lihatSkema EventBridge acara Amazon untuk acara Amazon Inspector.


{
    "version": "0",
    "id": "66a7a279-5f92-971c-6d3e-c92da0950992",
    "detail-type": "Inspector2 Finding",
    "source": "aws.inspector2",
    "account": "111122223333",
    "time": "2023-01-19T22:46:15Z",
    "region": "us-east-1",
    "resources": ["i-0c2a343f1948d5205"],
    "detail": {
        "awsAccountId": "111122223333",
        "description": "\n It was discovered that the sound subsystem in the Linux kernel contained a\n race condition in some situations. A local attacker could use this to cause\n a denial of service (system crash).",
        "exploitAvailable": "YES",
        "exploitabilityDetails": {
            "lastKnownExploitAt": "Oct 24, 2022, 11:08:59 PM"
        },
        "findingArn": "arn:aws:inspector2:us-east-1:111122223333:finding/FINDING_ID",
        "firstObservedAt": "Jan 19, 2023, 10:46:15 PM",
        "fixAvailable": "YES",
        "lastObservedAt": "Jan 19, 2023, 10:46:15 PM",
        "packageVulnerabilityDetails": {
            "cvss": [{
                "baseScore": 4.7,
                "scoringVector": "CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H",
                "source": "NVD",
                "version": "3.1"
            }],
            "referenceUrls": ["https://lore.kernel.org/all/CAFcO6XN7JDM4xSXGhtusQfS2mSBcx50VJKwQpCq=WeLt57aaZA@mail.gmail.com/", "https://ubuntu.com/security/notices/USN-5792-1", "https://ubuntu.com/security/notices/USN-5791-2", "https://ubuntu.com/security/notices/USN-5791-1", "https://ubuntu.com/security/notices/USN-5793-2", "https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=8423f0b6d513b259fdab9c9bf4aaa6188d054c2d", "https://ubuntu.com/security/notices/USN-5793-1", "https://ubuntu.com/security/notices/USN-5792-2", "https://ubuntu.com/security/notices/USN-5791-3", "https://ubuntu.com/security/notices/USN-5793-4", "https://ubuntu.com/security/notices/USN-5793-3", "https://git.kernel.org/linus/8423f0b6d513b259fdab9c9bf4aaa6188d054c2d(6.0-rc5)", "https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3303"],
            "relatedVulnerabilities": [],
            "source": "UBUNTU_CVE",
            "sourceUrl": "https://people.canonical.com/~ubuntu-security/cve/2022/CVE-2022-3303.html",
            "vendorCreatedAt": "Sep 27, 2022, 11:15:00 PM",
            "vendorSeverity": "medium",
            "vulnerabilityId": "CVE-2022-3303",
            "vulnerablePackages": [{
                "arch": "X86_64",
                "epoch": 0,
                "fixedInVersion": "0:5.15.0.1027.31~20.04.16",
                "name": "linux-image-aws",
                "packageManager": "OS",
                "remediation": "apt update && apt install --only-upgrade linux-image-aws",
                "version": "5.15.0.1026.30~20.04.16"
            }]
        },
        "remediation": {
            "recommendation": {
                "text": "None Provided"
            }
        },
        "resources": [{
            "details": {
                "awsEc2Instance": {
                    "iamInstanceProfileArn": "arn:aws:iam::111122223333:instance-profile/AmazonSSMRoleForInstancesQuickSetup",
                    "imageId": "ami-0b7ff1a8d69f1bb35",
                    "ipV4Addresses": ["172.31.85.212", "44.203.45.27"],
                    "ipV6Addresses": [],
                    "launchedAt": "Jan 19, 2023, 7:53:14 PM",
                    "platform": "UBUNTU_20_04",
                    "subnetId": "subnet-8213f2a3",
                    "type": "t2.micro",
                    "vpcId": "vpc-ab6650d1"
                }
            },
            "id": "i-0c2a343f1948d5205",
            "partition": "aws",
            "region": "us-east-1",
            "type": "AWS_EC2_INSTANCE"
        }],
        "severity": "MEDIUM",
        "status": "ACTIVE",
        "title": "CVE-2022-3303 - linux-image-aws",
        "type": "PACKAGE_VULNERABILITY",
        "updatedAt": "Jan 19, 2023, 10:46:15 PM"
    }
}

Membuat EventBridge aturan untuk memberi tahu Anda tentang temuan Amazon Inspector

Untuk meningkatkan visibilitas temuan Amazon Inspector, Anda dapat EventBridge menggunakan untuk mengatur peringatan pencarian otomatis yang dikirim ke pusat pesan. Topik ini menunjukkan cara mengirim peringatan CRITICAL dan temuan HIGH tingkat keparahan ke email, Slack, atau Amazon Chime. Anda akan mempelajari cara menyiapkan topik Amazon Simple Notification Service dan kemudian menghubungkan topik tersebut ke aturan EventBridge acara.

Langkah 1. Siapkan SNS topik dan titik akhir Amazon

Untuk mengatur peringatan otomatis, Anda harus terlebih dahulu menyiapkan topik di Amazon Simple Notification Service dan menambahkan titik akhir. Untuk informasi lebih lanjut, lihat SNSpanduan ini.

Prosedur ini menetapkan di mana Anda ingin mengirim data temuan Amazon Inspector. SNSTopik dapat ditambahkan ke aturan EventBridge acara selama atau setelah pembuatan aturan acara.

Email setup
Membuat SNS topik

  1. Masuk ke SNS konsol Amazon di https://console.aws.amazon.com/sns/v3/home.

  2. Dari panel navigasi, pilih Topik, lalu pilih Buat Topik.

  3. Di bagian Buat topik, pilih Standar. Selanjutnya, masukkan nama topik, sepertiInspector_to_Email. Detail lainnya bersifat opsional.

  4. Pilih Buat Topik. Ini membuka panel baru dengan detail untuk topik baru Anda.

  5. Di bagian Langganan, pilih Buat Langganan.

    1. Dari menu Protokol, pilih Email.

    2. Di bidang Endpoint, masukkan alamat email yang ingin Anda terima notifikasi.

      catatan

      Anda akan diminta untuk mengkonfirmasi langganan Anda melalui klien email Anda setelah membuat langganan.

    3. Pilih Buat langganan.

  7. Cari pesan langganan di kotak masuk Anda dan pilih Konfirmasi Langganan.

Slack setup
Membuat SNS topik

  1. Masuk ke SNS konsol Amazon di https://console.aws.amazon.com/sns/v3/home.

  2. Dari panel navigasi, pilih Topik, lalu pilih Buat Topik.

  3. Di bagian Buat topik, pilih Standar. Selanjutnya, masukkan nama topik, sepertiInspector_to_Slack. Detail lainnya bersifat opsional. Pilih Buat topik untuk menyelesaikan pembuatan titik akhir.

Mengkonfigurasi klien AWS Chatbot

  1. Arahkan ke AWS Chatbot konsol dihttps://console.aws.amazon.com/chatbot/.

  2. Dari panel Configurated client, pilih Configure new client.

  3. Pilih Slack, lalu pilih Konfigurasi untuk mengonfirmasi.

    catatan

    Saat memilih Slack, Anda harus mengonfirmasi izin AWS Chatbot untuk mengakses saluran Anda dengan memilih izinkan.

  4. Pilih Konfigurasi saluran baru untuk membuka panel detail konfigurasi.

    1. Masukkan nama untuk saluran.

    2. Untuk saluran Slack, pilih saluran yang ingin Anda gunakan.

    3. Di Slack, salin ID saluran dari saluran pribadi dengan mengklik kanan pada nama saluran dan memilih Salin Tautan.

    4. Pada AWS Management Console, di AWS Chatbot jendela, tempel ID saluran yang Anda salin dari Slack ke bidang ID saluran pribadi.

    5. Di Izin, pilih untuk membuat IAM peran menggunakan templat jika Anda belum memiliki peran.

    6. Untuk templat Kebijakan, pilih Izin pemberitahuan. Ini adalah template IAM kebijakan untuk AWS Chatbot. Kebijakan ini menyediakan izin baca dan daftar yang diperlukan untuk CloudWatch alarm, peristiwa, dan log, serta untuk topik AmazonSNS.

    7. Untuk kebijakan pagar pembatas Saluran, pilih AmazonInspector 2. ReadOnlyAccess

    8. Pilih Wilayah tempat Anda membuat topik sebelumnya, lalu pilih SNS SNS topik Amazon yang Anda buat untuk mengirim pemberitahuan ke saluran Slack.

  5. Pilih Konfigurasi.

Amazon Chime setup
Membuat SNS topik

  1. Masuk ke SNS konsol Amazon di https://console.aws.amazon.com/sns/v3/home.

  2. Pilih Topik dari panel navigasi, lalu pilih Buat Topik.

  3. Di bagian Buat topik, pilih Standar. Selanjutnya, masukkan nama topik, sepertiInspector_to_Chime. Detail lainnya bersifat opsional. Pilih Buat topik untuk diselesaikan.

Mengkonfigurasi klien AWS Chatbot

  1. Arahkan ke AWS Chatbot konsol dihttps://console.aws.amazon.com/chatbot/.

  2. Dari panel Klien yang dikonfigurasi, pilih Konfigurasikan klien baru.

  3. Pilih Chime, lalu pilih Konfigurasi untuk mengonfirmasi.

  4. Dari panel Detail konfigurasi, masukkan nama untuk saluran.

  5. Di Amazon Chime, buka ruang obrolan yang diinginkan.

    1. Pilih ikon roda gigi di sudut kanan atas dan pilih Kelola webhook dan bot.

    2. Pilih Salin URL untuk menyalin webhook URL ke clipboard Anda.

  6. Pada AWS Management Console, di AWS Chatbot jendela, tempel yang URL Anda salin ke bidang Webhook URL.

  7. Di Izin, pilih untuk membuat IAM peran menggunakan templat jika Anda belum memiliki peran.

  8. Untuk templat Kebijakan, pilih Izin pemberitahuan. Ini adalah template IAM kebijakan untuk AWS Chatbot. Ini memberikan izin baca dan daftar yang diperlukan untuk CloudWatch alarm, peristiwa, dan log, dan untuk topik AmazonSNS.

  9. Pilih Wilayah tempat Anda membuat topik sebelumnya, lalu pilih SNS SNS topik Amazon yang Anda buat untuk mengirim pemberitahuan ke ruang Amazon Chime.

  10. Pilih Konfigurasi.

Langkah 2. Buat EventBridge aturan untuk temuan Amazon Inspector

  1. Masuk menggunakan kredensil Anda.

  2. Buka EventBridge konsol Amazon di https://console.aws.amazon.com/events/.

  3. Pilih Aturan dari panel navigasi, lalu pilih Buat aturan.

  4. Masukkan nama dan deskripsi opsional untuk aturan Anda.

  5. Pilih Aturan dengan pola acara dan kemudian Berikutnya.

  6. Di panel Pola Acara, pilih Pola kustom (JSONeditor).

  7. Tempelkan berikut ini JSON ke editor. 

    {
  "source": ["aws.inspector2"],
  "detail-type": ["Inspector2 Finding"],
  "detail": {
    "severity": ["HIGH", "CRITICAL"],
    "status": ["ACTIVE"]
  }
}
    catatan

    Pola ini mengirimkan pemberitahuan untuk setiap temuan aktif CRITICAL atau HIGH tingkat keparahan yang terdeteksi oleh Amazon Inspector.

    Pilih Berikutnya ketika Anda selesai memasukkan pola acara.

  8. Pada halaman Pilih target, pilih Layanan AWS. Kemudian, untuk Pilih jenis target, pilih SNStopik.

  9. Untuk Topik, pilih nama SNS topik yang Anda buat di langkah 1. Lalu pilih Selanjutnya.

  10. Tambahkan tag opsional jika diperlukan dan pilih Berikutnya.

  11. Tinjau aturan Anda dan kemudian pilih Buat aturan.

EventBridge untuk lingkungan multi-akun Amazon Inspector

Jika Anda administrator yang didelegasikan Amazon Inspector, EventBridge aturan akan muncul di akun Anda berdasarkan temuan yang berlaku dari akun anggota Anda. Jika Anda mengatur pemberitahuan temuan melalui EventBridge akun administrator, seperti yang dijelaskan di bagian sebelumnya, Anda akan menerima pemberitahuan tentang beberapa akun. Dengan kata lain, Anda akan diberi tahu tentang temuan dan peristiwa yang dihasilkan oleh akun anggota Anda selain yang dihasilkan oleh akun Anda sendiri.

Anda dapat menggunakan accountId dari JSON rincian temuan untuk mengidentifikasi akun anggota dari mana temuan Amazon Inspector berasal.