Criação de respostas personalizadas às descobertas do Amazon Inspector com o Amazon EventBridge - Amazon Inspector
Esquema de eventosCriar uma regra do EventBridge para notificá-lo sobre descobertas do Amazon InspectorEventBridge para ambientes de várias contas do Amazon Inspector

Criação de respostas personalizadas às descobertas do Amazon Inspector com o Amazon EventBridge

O Amazon Inspector cria um evento no Amazon EventBridge para descobertas recém-geradas e agregadas. O Amazon Inspector também cria um evento para qualquer alteração no estado de uma descoberta. Isso significa que o Amazon Inspector cria eventos para uma descoberta ao realizar ações como reiniciar um recurso ou alterar as etiquetas associadas a um recurso. Quando o Amazon Inspector cria um novo evento para uma descoberta atualizada, o id da descoberta permanece o mesmo.

nota

Se sua conta for uma conta de administrador delegado do Amazon Inspector, o EventBridge publica eventos em sua conta e na conta-membro da qual eles se originaram.

Ao usar eventos do EventBridge com o Amazon Inspector, você pode automatizar tarefas para ajudar a responder aos problemas de segurança revelados pelas descobertas. Para receber notificações sobre descobertas do Amazon Inspector com base em eventos do EventBridge, crie uma regra do EventBridge e especifique um destino para o Amazon Inspector. A regra do EventBridge permite que o EventBridge envie notificações de descobertas do Amazon Inspector, e o destino especifica para onde enviar as notificações.

O Amazon Inspector emite eventos para o barramento de eventos padrão na Região da AWS onde você está usando o Amazon Inspector atualmente. Isso significa que você deve configurar regras de eventos para cada Região da AWS onde tenha ativado o Amazon Inspector e o configurado para receber os eventos do EventBridge. O Amazon Inspector emite eventos em uma base de melhor esforço.

Esta seção fornece um exemplo de esquema de eventos e descreve como criar uma regra do EventBridge.

Esquema de eventos

Este é um exemplo do formato de eventos do Amazon Inspector para um evento de descoberta do EC2. Por exemplo, esquema de outros tipos de descoberta e tipos de eventos, consulte Esquema de eventos do Amazon EventBridge para eventos do Amazon Inspector.


{
    "version": "0",
    "id": "66a7a279-5f92-971c-6d3e-c92da0950992",
    "detail-type": "Inspector2 Finding",
    "source": "aws.inspector2",
    "account": "111122223333",
    "time": "2023-01-19T22:46:15Z",
    "region": "us-east-1",
    "resources": ["i-0c2a343f1948d5205"],
    "detail": {
        "awsAccountId": "111122223333",
        "description": "\n It was discovered that the sound subsystem in the Linux kernel contained a\n race condition in some situations. A local attacker could use this to cause\n a denial of service (system crash).",
        "exploitAvailable": "YES",
        "exploitabilityDetails": {
            "lastKnownExploitAt": "Oct 24, 2022, 11:08:59 PM"
        },
        "findingArn": "arn:aws:inspector2:us-east-1:111122223333:finding/FINDING_ID",
        "firstObservedAt": "Jan 19, 2023, 10:46:15 PM",
        "fixAvailable": "YES",
        "lastObservedAt": "Jan 19, 2023, 10:46:15 PM",
        "packageVulnerabilityDetails": {
            "cvss": [{
                "baseScore": 4.7,
                "scoringVector": "CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H",
                "source": "NVD",
                "version": "3.1"
            }],
            "referenceUrls": ["https://lore.kernel.org/all/CAFcO6XN7JDM4xSXGhtusQfS2mSBcx50VJKwQpCq=WeLt57aaZA@mail.gmail.com/", "https://ubuntu.com/security/notices/USN-5792-1", "https://ubuntu.com/security/notices/USN-5791-2", "https://ubuntu.com/security/notices/USN-5791-1", "https://ubuntu.com/security/notices/USN-5793-2", "https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=8423f0b6d513b259fdab9c9bf4aaa6188d054c2d", "https://ubuntu.com/security/notices/USN-5793-1", "https://ubuntu.com/security/notices/USN-5792-2", "https://ubuntu.com/security/notices/USN-5791-3", "https://ubuntu.com/security/notices/USN-5793-4", "https://ubuntu.com/security/notices/USN-5793-3", "https://git.kernel.org/linus/8423f0b6d513b259fdab9c9bf4aaa6188d054c2d(6.0-rc5)", "https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3303"],
            "relatedVulnerabilities": [],
            "source": "UBUNTU_CVE",
            "sourceUrl": "https://people.canonical.com/~ubuntu-security/cve/2022/CVE-2022-3303.html",
            "vendorCreatedAt": "Sep 27, 2022, 11:15:00 PM",
            "vendorSeverity": "medium",
            "vulnerabilityId": "CVE-2022-3303",
            "vulnerablePackages": [{
                "arch": "X86_64",
                "epoch": 0,
                "fixedInVersion": "0:5.15.0.1027.31~20.04.16",
                "name": "linux-image-aws",
                "packageManager": "OS",
                "remediation": "apt update && apt install --only-upgrade linux-image-aws",
                "version": "5.15.0.1026.30~20.04.16"
            }]
        },
        "remediation": {
            "recommendation": {
                "text": "None Provided"
            }
        },
        "resources": [{
            "details": {
                "awsEc2Instance": {
                    "iamInstanceProfileArn": "arn:aws:iam::111122223333:instance-profile/AmazonSSMRoleForInstancesQuickSetup",
                    "imageId": "ami-0b7ff1a8d69f1bb35",
                    "ipV4Addresses": ["172.31.85.212", "44.203.45.27"],
                    "ipV6Addresses": [],
                    "launchedAt": "Jan 19, 2023, 7:53:14 PM",
                    "platform": "UBUNTU_20_04",
                    "subnetId": "subnet-8213f2a3",
                    "type": "t2.micro",
                    "vpcId": "vpc-ab6650d1"
                }
            },
            "id": "i-0c2a343f1948d5205",
            "partition": "aws",
            "region": "us-east-1",
            "type": "AWS_EC2_INSTANCE"
        }],
        "severity": "MEDIUM",
        "status": "ACTIVE",
        "title": "CVE-2022-3303 - linux-image-aws",
        "type": "PACKAGE_VULNERABILITY",
        "updatedAt": "Jan 19, 2023, 10:46:15 PM"
    }
}

Criar uma regra do EventBridge para notificá-lo sobre descobertas do Amazon Inspector

Para aumentar a visibilidade das descobertas do Amazon Inspector, use o EventBridge para configurar alertas de busca automatizados que são enviados para um hub de mensagens. Este tópico mostra como enviar alertas para CRITICAL e descobertas de gravidade HIGH para e-mail, Slack ou Amazon Chime. Você aprenderá como configurar um tópico do Amazon Simple Notification Service e, em seguida, conectar esse tópico a uma regra de evento do EventBridge.

Etapa 1. Configurar um tópico e um endpoint do Amazon SNS

Para configurar alertas automáticos, primeiro configure um tópico no Amazon Simple Notification Service e adicione um endpoint. Para obter mais informações, consulte o Guia do SNS.

Este procedimento estabelece para a qual você deseja enviar dados de descobertas do Amazon Inspector. O tópico do SNS pode ser adicionado a uma regra de evento do EventBridge durante ou após a criação da regra do evento.

Email setup
Criar um tópico do SNS

  1. Faça login no console do Amazon SNS em https://console.aws.amazon.com/sns/v3/home.

  2. No painel de navegação, selecione Tópicos e selecione Criar Tópico.

  3. Na seção Criar tópico, selecione Padrão. Em seguida, insira um nome de tópico, como Inspector_to_Email. Os outros detalhes são opcionais.

  4. Selecione Criar tópico. Isso abre um novo painel com detalhes do seu novo tópico.

  5. Na seção Assinatura, escolha Criar assinatura.

    1. No menu Protocolo selecione E-mail.

    2. No campo Endpoint, insira o endereço de e-mail no qual você deseja receber notificações.

      nota

      Você precisa confirmar sua assinatura por meio de seu cliente de e-mail após a criação da assinatura.

    3. Selecione Criar assinatura.

  7. Procure uma mensagem de assinatura em sua caixa de entrada e escolha Confirmar Assinatura.

Slack setup
Criar um tópico do SNS

  1. Faça login no console do Amazon SNS em https://console.aws.amazon.com/sns/v3/home.

  2. No painel de navegação, selecione Tópicos e selecione Criar Tópico.

  3. Na seção Criar tópico, selecione Padrão. Em seguida, insira um nome de tópico, como Inspector_to_Slack. Os outros detalhes são opcionais. Escolha Criar tópico para concluir a criação do endpoint.

Configurar um cliente AWS Chatbot

  1. Navegue até o console do AWS Chatbot no https://console.aws.amazon.com/chatbot/.

  2. No painel Clientes configurados, selecione Configurar novo cliente.

  3. Selecione Slack e, em seguida, selecione Configurar para confirmar.

    nota

    Ao escolher o Slack, confirme as permissões de AWS Chatbot para acessar seu canal selecionando permitir.

  4. Selecione Configurar novo canal para abrir o painel de detalhes da configuração.

    1. Insira um nome para o canal.

    2. Para o canal do Slack, escolha o canal que você deseja usar.

    3. No Slack, copie o ID do canal privado clicando com o botão direito do mouse no nome do canal e selecionando Link de cópia.

    4. Em AWS Management Console, na janela do AWS Chatbot, cole o ID do canal que você copiou do Slack no campo ID do canal privado.

    5. Em Permissões, escolha criar um perfil do IAM usando um modelo se você ainda não tiver uma função.

    6. Em Modelos de política, selecione Permissões de notificação. Esse é o modelo de política do IAM para AWS Chatbot. Essa política fornece as permissões necessárias de leitura e lista para alarmes, eventos e logs do CloudWatch e para tópicos do Amazon SNS.

    7. Para Políticas de barreira de proteção de canais, escolha AmazonInspector2ReadOnlyAccess.

    8. Escolha a região na qual você criou seu tópico do SNS anteriormente e, em seguida, selecione o tópico do Amazon SNS que você criou para enviar notificações ao canal do Slack.

  5. Selecione CConfigurar.

Amazon Chime setup
Criar um tópico do SNS

  1. Faça login no console do Amazon SNS em https://console.aws.amazon.com/sns/v3/home.

  2. Selecione Tópicos no painel de navegação e selecione Criar tópico.

  3. Na seção Criar tópico, selecione Padrão. Em seguida, insira um nome de tópico, como Inspector_to_Chime. Os outros detalhes são opcionais. Escolha Criar tópico para concluir.

Configurar um cliente AWS Chatbot

  1. Navegue até o console do AWS Chatbot no https://console.aws.amazon.com/chatbot/.

  2. No painel Clientes configurados, selecione Configurar novo cliente.

  3. Selecione Chime e, em seguida, escolha Configurar para confirmar.

  4. No painel Detalhes da configuração, insira um nome para o canal.

  5. No Amazon Chime, abra a sala de chat desejada.

    1. Escolha o ícone de engrenagem no canto superior direito e selecione Gerenciar webhooks.

    2. Selecione Copiar URL para copiar o URL do webhook para sua área de transferência.

  6. Em AWS Management Console, na janela do AWS Chatbot, cole o URL copiada no campo URL do Webhook.

  7. Em Permissões, escolha criar um perfil do IAM usando um modelo se você ainda não tiver uma função.

  8. Em Modelos de política, selecione Permissões de notificação. Esse é o modelo de política do IAM para AWS Chatbot. Ele fornece as permissões de leitura e lista necessárias para alarmes, eventos e registros do CloudWatch e para tópicos do Amazon SNS.

  9. Escolha a região na qual você criou seu tópico do SNS anteriormente e, em seguida, selecione o tópico do Amazon SNS que você criou para enviar notificações para a sala do Amazon Chime.

  10. Selecione Configurar.

Etapa 2. Criar uma regra do EventBridge para as descobertas do Amazon Inspector

  1. Faça login usando suas credenciais.

  2. Abra o console do Amazon EventBridge em https://console.aws.amazon.com/events/.

  3. Selecione Regras no painel de navegação e selecione Criar regra.

  4. Insira um nome e uma descrição opcional para a regra.

  5. Selecione Regra com um padrão de evento e depois Avançar.

  6. No painel Padrão de Evento, escolha Padrões personalizados (editor JSON).

  7. Cole o JSON a seguir no editor. 

    {
  "source": ["aws.inspector2"],
  "detail-type": ["Inspector2 Finding"],
  "detail": {
    "severity": ["HIGH", "CRITICAL"],
    "status": ["ACTIVE"]
  }
}
    nota

    Esse padrão envia notificações para qualquer descoberta ativa CRITICAL ou de gravidade HIGH detectada pelo Amazon Inspector.

    Selecione Avançar quando terminar de inserir o padrão do evento.

  8. Na página Selecionar destinos, escolha AWS service (Serviço da AWS). Em seguida, em Selecionar tipo de destino, escolha o tópico SNS.

  9. Em Tópico selecione o nome do tópico do SNS criado na Etapa 1. Em seguida, escolha Próximo.

  10. Adicione tags opcionais, se necessário, e escolha Avançar.

  11. Verifique sua regra e selecione Criar regra.

EventBridge para ambientes de várias contas do Amazon Inspector

Se você for um administrador delegado do Amazon Inspector, as regras do EventBridge aparecerão em sua conta com base nas descobertas aplicáveis de suas contas de membros. Se configurar notificações de descobertas por meio do EventBridge em sua conta de administrador, conforme detalhado na seção anterior, você receberá notificações sobre várias contas. Em outras palavras, você será notificado sobre descobertas e eventos gerados por suas contas de membros, além daqueles gerados por sua própria conta.

Use os detalhes da accountId do JSON da descoberta para identificar a conta membro da qual a descoberta do Amazon Inspector se originou.