Criação de respostas personalizadas às descobertas do Amazon Inspector com o Amazon EventBridge
O Amazon Inspector cria um evento no Amazon EventBridge para descobertas recém-geradas e agregadas. O Amazon Inspector também cria um evento para qualquer alteração no estado de uma descoberta. Isso significa que o Amazon Inspector cria eventos para uma descoberta ao realizar ações como reiniciar um recurso ou alterar as etiquetas associadas a um recurso. Quando o Amazon Inspector cria um novo evento para uma descoberta atualizada, o id
da descoberta permanece o mesmo.
nota
Se sua conta for uma conta de administrador delegado do Amazon Inspector, o EventBridge publica eventos em sua conta e na conta-membro da qual eles se originaram.
Ao usar eventos do EventBridge com o Amazon Inspector, você pode automatizar tarefas para ajudar a responder aos problemas de segurança revelados pelas descobertas. Para receber notificações sobre descobertas do Amazon Inspector com base em eventos do EventBridge, crie uma regra do EventBridge e especifique um destino para o Amazon Inspector. A regra do EventBridge permite que o EventBridge envie notificações de descobertas do Amazon Inspector, e o destino especifica para onde enviar as notificações.
O Amazon Inspector emite eventos para o barramento de eventos padrão na Região da AWS onde você está usando o Amazon Inspector atualmente. Isso significa que você deve configurar regras de eventos para cada Região da AWS onde tenha ativado o Amazon Inspector e o configurado para receber os eventos do EventBridge. O Amazon Inspector emite eventos em uma base de melhor esforço.
Esta seção fornece um exemplo de esquema de eventos e descreve como criar uma regra do EventBridge.
Esquema de eventos
Este é um exemplo do formato de eventos do Amazon Inspector para um evento de descoberta do EC2. Por exemplo, esquema de outros tipos de descoberta e tipos de eventos, consulte Esquema de eventos do Amazon EventBridge para eventos do Amazon Inspector.
{ "version": "0", "id": "66a7a279-5f92-971c-6d3e-c92da0950992", "detail-type": "Inspector2 Finding", "source": "aws.inspector2", "account": "111122223333", "time": "2023-01-19T22:46:15Z", "region": "us-east-1", "resources": ["i-0c2a343f1948d5205"], "detail": { "awsAccountId": "111122223333", "description": "\n It was discovered that the sound subsystem in the Linux kernel contained a\n race condition in some situations. A local attacker could use this to cause\n a denial of service (system crash).", "exploitAvailable": "YES", "exploitabilityDetails": { "lastKnownExploitAt": "Oct 24, 2022, 11:08:59 PM" }, "findingArn": "arn:aws:inspector2:us-east-1:111122223333:finding/FINDING_ID", "firstObservedAt": "Jan 19, 2023, 10:46:15 PM", "fixAvailable": "YES", "lastObservedAt": "Jan 19, 2023, 10:46:15 PM", "packageVulnerabilityDetails": { "cvss": [{ "baseScore": 4.7, "scoringVector": "CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H", "source": "NVD", "version": "3.1" }], "referenceUrls": ["https://lore.kernel.org/all/CAFcO6XN7JDM4xSXGhtusQfS2mSBcx50VJKwQpCq=WeLt57aaZA@mail.gmail.com/", "https://ubuntu.com/security/notices/USN-5792-1", "https://ubuntu.com/security/notices/USN-5791-2", "https://ubuntu.com/security/notices/USN-5791-1", "https://ubuntu.com/security/notices/USN-5793-2", "https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=8423f0b6d513b259fdab9c9bf4aaa6188d054c2d", "https://ubuntu.com/security/notices/USN-5793-1", "https://ubuntu.com/security/notices/USN-5792-2", "https://ubuntu.com/security/notices/USN-5791-3", "https://ubuntu.com/security/notices/USN-5793-4", "https://ubuntu.com/security/notices/USN-5793-3", "https://git.kernel.org/linus/8423f0b6d513b259fdab9c9bf4aaa6188d054c2d(6.0-rc5)", "https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3303"], "relatedVulnerabilities": [], "source": "UBUNTU_CVE", "sourceUrl": "https://people.canonical.com/~ubuntu-security/cve/2022/CVE-2022-3303.html", "vendorCreatedAt": "Sep 27, 2022, 11:15:00 PM", "vendorSeverity": "medium", "vulnerabilityId": "CVE-2022-3303", "vulnerablePackages": [{ "arch": "X86_64", "epoch": 0, "fixedInVersion": "0:5.15.0.1027.31~20.04.16", "name": "linux-image-aws", "packageManager": "OS", "remediation": "apt update && apt install --only-upgrade linux-image-aws", "version": "5.15.0.1026.30~20.04.16" }] }, "remediation": { "recommendation": { "text": "None Provided" } }, "resources": [{ "details": { "awsEc2Instance": { "iamInstanceProfileArn": "arn:aws:iam::111122223333:instance-profile/AmazonSSMRoleForInstancesQuickSetup", "imageId": "ami-0b7ff1a8d69f1bb35", "ipV4Addresses": ["172.31.85.212", "44.203.45.27"], "ipV6Addresses": [], "launchedAt": "Jan 19, 2023, 7:53:14 PM", "platform": "UBUNTU_20_04", "subnetId": "subnet-8213f2a3", "type": "t2.micro", "vpcId": "vpc-ab6650d1" } }, "id": "i-0c2a343f1948d5205", "partition": "aws", "region": "us-east-1", "type": "AWS_EC2_INSTANCE" }], "severity": "MEDIUM", "status": "ACTIVE", "title": "CVE-2022-3303 - linux-image-aws", "type": "PACKAGE_VULNERABILITY", "updatedAt": "Jan 19, 2023, 10:46:15 PM" } }
Criar uma regra do EventBridge para notificá-lo sobre descobertas do Amazon Inspector
Para aumentar a visibilidade das descobertas do Amazon Inspector, use o EventBridge para configurar alertas de busca automatizados que são enviados para um hub de mensagens. Este tópico mostra como enviar alertas para CRITICAL
e descobertas de gravidade HIGH
para e-mail, Slack ou Amazon Chime. Você aprenderá como configurar um tópico do Amazon Simple Notification Service e, em seguida, conectar esse tópico a uma regra de evento do EventBridge.
Etapa 1. Configurar um tópico e um endpoint do Amazon SNS
Para configurar alertas automáticos, primeiro configure um tópico no Amazon Simple Notification Service e adicione um endpoint. Para obter mais informações, consulte o Guia do SNS.
Este procedimento estabelece para a qual você deseja enviar dados de descobertas do Amazon Inspector. O tópico do SNS pode ser adicionado a uma regra de evento do EventBridge durante ou após a criação da regra do evento.
Etapa 2. Criar uma regra do EventBridge para as descobertas do Amazon Inspector
-
Faça login usando suas credenciais.
Abra o console do Amazon EventBridge em https://console.aws.amazon.com/events/
. -
Selecione Regras no painel de navegação e selecione Criar regra.
-
Insira um nome e uma descrição opcional para a regra.
-
Selecione Regra com um padrão de evento e depois Avançar.
-
No painel Padrão de Evento, escolha Padrões personalizados (editor JSON).
-
Cole o JSON a seguir no editor.
{ "source": ["aws.inspector2"], "detail-type": ["Inspector2 Finding"], "detail": { "severity": ["HIGH", "CRITICAL"], "status": ["ACTIVE"] } }
nota
Esse padrão envia notificações para qualquer descoberta ativa
CRITICAL
ou de gravidadeHIGH
detectada pelo Amazon Inspector.Selecione Avançar quando terminar de inserir o padrão do evento.
-
Na página Selecionar destinos, escolha AWS service (Serviço da AWS). Em seguida, em Selecionar tipo de destino, escolha o tópico SNS.
-
Em Tópico selecione o nome do tópico do SNS criado na Etapa 1. Em seguida, escolha Próximo.
-
Adicione tags opcionais, se necessário, e escolha Avançar.
-
Verifique sua regra e selecione Criar regra.
EventBridge para ambientes de várias contas do Amazon Inspector
Se você for um administrador delegado do Amazon Inspector, as regras do EventBridge aparecerão em sua conta com base nas descobertas aplicáveis de suas contas de membros. Se configurar notificações de descobertas por meio do EventBridge em sua conta de administrador, conforme detalhado na seção anterior, você receberá notificações sobre várias contas. Em outras palavras, você será notificado sobre descobertas e eventos gerados por suas contas de membros, além daqueles gerados por sua própria conta.
Use os detalhes da accountId
do JSON da descoberta para identificar a conta membro da qual a descoberta do Amazon Inspector se originou.