Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Creazione di risposte personalizzate ai risultati di Amazon Inspector con Amazon EventBridge
Amazon Inspector crea un evento in Amazon EventBridge per i risultati di nuova generazione e i risultati aggregati. Amazon Inspector crea anche un evento per eventuali modifiche allo stato di un risultato. Ciò significa che Amazon Inspector crea un nuovo evento per un risultato quando intraprendi azioni come il riavvio di una risorsa o la modifica dei tag associati a una risorsa. Quando Amazon Inspector crea un nuovo evento per un risultato aggiornato, il risultato id rimane invariato.
Nota
Se il tuo account è un account amministratore delegato di Amazon Inspector, EventBridge pubblica gli eventi sul tuo account e sull'account membro da cui hanno avuto origine gli eventi.
Quando utilizzi EventBridge gli eventi con Amazon Inspector, puoi automatizzare le attività per aiutarti a rispondere ai problemi di sicurezza rivelati dai risultati. Per ricevere notifiche sui risultati di Amazon Inspector in base EventBridge agli eventi, devi creare una EventBridge regola e specificare un obiettivo per Amazon Inspector. La EventBridge regola consente di EventBridge inviare notifiche per i risultati di Amazon Inspector e la destinazione specifica dove inviare le notifiche.
Amazon Inspector invia eventi al bus degli eventi predefinito nel luogo in Regione AWS cui utilizzi attualmente Amazon Inspector. Ciò significa che devi configurare le regole degli eventi per ognuna delle Regione AWS quali hai attivato Amazon Inspector e configurato Amazon Inspector per ricevere eventi. EventBridge Amazon Inspector emette eventi con la massima diligenza possibile.
Questa sezione fornisce un esempio di schema di eventi e descrive come creare una regola. EventBridge
Schema degli eventi
Di seguito è riportato un esempio del formato di evento Amazon Inspector per un evento di EC2 ricerca. Per uno schema di esempio di altri tipi di ricerca e tipi di eventi, vediSchema di EventBridge eventi Amazon per gli eventi Amazon Inspector.
{ "version": "0", "id": "66a7a279-5f92-971c-6d3e-c92da0950992", "detail-type": "Inspector2 Finding", "source": "aws.inspector2", "account": "111122223333", "time": "2023-01-19T22:46:15Z", "region": "us-east-1", "resources": ["i-0c2a343f1948d5205"], "detail": { "awsAccountId": "111122223333", "description": "\n It was discovered that the sound subsystem in the Linux kernel contained a\n race condition in some situations. A local attacker could use this to cause\n a denial of service (system crash).", "exploitAvailable": "YES", "exploitabilityDetails": { "lastKnownExploitAt": "Oct 24, 2022, 11:08:59 PM" }, "findingArn": "arn:aws:inspector2:us-east-1:111122223333:finding/FINDING_ID", "firstObservedAt": "Jan 19, 2023, 10:46:15 PM", "fixAvailable": "YES", "lastObservedAt": "Jan 19, 2023, 10:46:15 PM", "packageVulnerabilityDetails": { "cvss": [{ "baseScore": 4.7, "scoringVector": "CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H", "source": "NVD", "version": "3.1" }], "referenceUrls": ["https://lore.kernel.org/all/CAFcO6XN7JDM4xSXGhtusQfS2mSBcx50VJKwQpCq=WeLt57aaZA@mail.gmail.com/", "https://ubuntu.com/security/notices/USN-5792-1", "https://ubuntu.com/security/notices/USN-5791-2", "https://ubuntu.com/security/notices/USN-5791-1", "https://ubuntu.com/security/notices/USN-5793-2", "https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=8423f0b6d513b259fdab9c9bf4aaa6188d054c2d", "https://ubuntu.com/security/notices/USN-5793-1", "https://ubuntu.com/security/notices/USN-5792-2", "https://ubuntu.com/security/notices/USN-5791-3", "https://ubuntu.com/security/notices/USN-5793-4", "https://ubuntu.com/security/notices/USN-5793-3", "https://git.kernel.org/linus/8423f0b6d513b259fdab9c9bf4aaa6188d054c2d(6.0-rc5)", "https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3303"], "relatedVulnerabilities": [], "source": "UBUNTU_CVE", "sourceUrl": "https://people.canonical.com/~ubuntu-security/cve/2022/CVE-2022-3303.html", "vendorCreatedAt": "Sep 27, 2022, 11:15:00 PM", "vendorSeverity": "medium", "vulnerabilityId": "CVE-2022-3303", "vulnerablePackages": [{ "arch": "X86_64", "epoch": 0, "fixedInVersion": "0:5.15.0.1027.31~20.04.16", "name": "linux-image-aws", "packageManager": "OS", "remediation": "apt update && apt install --only-upgrade linux-image-aws", "version": "5.15.0.1026.30~20.04.16" }] }, "remediation": { "recommendation": { "text": "None Provided" } }, "resources": [{ "details": { "awsEc2Instance": { "iamInstanceProfileArn": "arn:aws:iam::111122223333:instance-profile/AmazonSSMRoleForInstancesQuickSetup", "imageId": "ami-0b7ff1a8d69f1bb35", "ipV4Addresses": ["172.31.85.212", "44.203.45.27"], "ipV6Addresses": [], "launchedAt": "Jan 19, 2023, 7:53:14 PM", "platform": "UBUNTU_20_04", "subnetId": "subnet-8213f2a3", "type": "t2.micro", "vpcId": "vpc-ab6650d1" } }, "id": "i-0c2a343f1948d5205", "partition": "aws", "region": "us-east-1", "type": "AWS_EC2_INSTANCE" }], "severity": "MEDIUM", "status": "ACTIVE", "title": "CVE-2022-3303 - linux-image-aws", "type": "PACKAGE_VULNERABILITY", "updatedAt": "Jan 19, 2023, 10:46:15 PM" } }
Creazione di una EventBridge regola per notificarti i risultati di Amazon Inspector
Per aumentare la visibilità dei risultati di Amazon Inspector, puoi impostare avvisi EventBridge di ricerca automatizzati che vengono inviati a un hub di messaggistica. Questo argomento mostra come inviare avvisi CRITICAL e rilevazioni sulla HIGH gravità a e-mail, Slack o Amazon Chime. Imparerai come impostare un argomento di Amazon Simple Notification Service e quindi collegare tale argomento a una regola di EventBridge evento.
Fase 1: Configura un SNS argomento e un endpoint Amazon
Per configurare avvisi automatici, devi prima impostare un argomento in Amazon Simple Notification Service e aggiungere un endpoint. Per ulteriori informazioni, consulta la SNS guida.
Questa procedura stabilisce dove inviare i dati relativi ai risultati di Amazon Inspector. L'SNSargomento può essere aggiunto a una regola di EventBridge evento durante o dopo la creazione della regola dell'evento.
Fase 2: Crea una EventBridge regola per i risultati di Amazon Inspector
-
Accedi utilizzando le tue credenziali.
Apri la EventBridge console Amazon all'indirizzo https://console.aws.amazon.com/events/
. -
Seleziona Regole dal riquadro di navigazione, quindi seleziona Crea regola.
-
Inserisci un nome e una descrizione facoltativa per la regola.
-
Seleziona Regola con uno schema di eventi, quindi Avanti.
-
Nel riquadro Schema di eventi, scegli Modelli personalizzati (JSONeditor).
-
Incolla quanto segue JSON nell'editor.
{ "source": ["aws.inspector2"], "detail-type": ["Inspector2 Finding"], "detail": { "severity": ["HIGH", "CRITICAL"], "status": ["ACTIVE"] } }Nota
Questo pattern invia notifiche per qualsiasi rilevazione attiva
CRITICALo diHIGHgravità rilevata da Amazon Inspector.Seleziona Avanti quando hai finito di inserire lo schema dell'evento.
-
Nella pagina Seleziona obiettivi, scegli Servizio AWS. Quindi, per Seleziona il tipo di oggetto, scegli l'SNSargomento.
-
Per Argomento, seleziona il nome dell'SNSargomento creato nel passaggio 1. Quindi scegli Successivo.
-
Aggiungi tag opzionali se necessario e scegli Avanti.
-
Rivedi la regola, quindi scegli Crea regola.
EventBridge per ambienti con più account Amazon Inspector
Se sei un amministratore delegato di Amazon Inspector, EventBridge le regole vengono visualizzate sul tuo account in base ai risultati applicabili dei tuoi account membro. Se configuri le notifiche relative ai risultati tramite EventBridge il tuo account amministratore, come descritto nella sezione precedente, riceverai notifiche relative a più account. In altre parole, riceverai una notifica dei risultati e degli eventi generati dai tuoi account membro oltre a quelli generati dal tuo account.
Puoi utilizzare i accountId JSON dettagli dei risultati per identificare l'account membro da cui proviene il risultato di Amazon Inspector.
