Criação de respostas personalizadas às descobertas do Amazon Inspector com a Amazon EventBridge - Amazon Inspector
Esquema de eventosCriação de uma EventBridge regra para notificá-lo das descobertas do Amazon InspectorEventBridge para ambientes de várias contas do Amazon Inspector

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criação de respostas personalizadas às descobertas do Amazon Inspector com a Amazon EventBridge

O Amazon Inspector cria um evento na Amazon EventBridge para descobertas recém-geradas e descobertas agregadas. O Amazon Inspector também cria um evento para qualquer alteração no estado de uma descoberta. Isso significa que o Amazon Inspector cria um novo evento para uma descoberta quando você realiza ações como reiniciar um recurso ou alterar as tags associadas a um recurso. Quando o Amazon Inspector cria um novo evento para uma descoberta atualizada, a descoberta id permanece a mesma.

nota

Se sua conta for uma conta de administrador delegado do Amazon Inspector, EventBridge publica eventos na sua conta e na conta do membro onde os eventos se originaram.

Ao usar EventBridge eventos com o Amazon Inspector, você pode automatizar tarefas para ajudá-lo a responder aos problemas de segurança que suas descobertas revelam. Para receber notificações sobre descobertas do Amazon Inspector com base em EventBridge eventos, você deve criar uma EventBridge regra e especificar um alvo para o Amazon Inspector. A EventBridge regra permite EventBridge enviar notificações para descobertas do Amazon Inspector, e o alvo especifica para onde enviar as notificações.

O Amazon Inspector emite eventos para o barramento de eventos padrão no local em Região da AWS que você está usando o Amazon Inspector. Isso significa que você deve configurar regras de eventos para cada um em Região da AWS que você ativou o Amazon Inspector e configurou o Amazon Inspector para receber eventos. EventBridge O Amazon Inspector emite eventos com base no melhor esforço.

Esta seção fornece um exemplo de esquema de eventos e descreve como criar uma EventBridge regra.

Esquema de eventos

A seguir está um exemplo do formato de evento do Amazon Inspector para um evento de EC2 busca. Por exemplo, esquema de outros tipos de descoberta e tipos de eventos, consulte Esquema de EventBridge eventos da Amazon para eventos do Amazon Inspector.


{
    "version": "0",
    "id": "66a7a279-5f92-971c-6d3e-c92da0950992",
    "detail-type": "Inspector2 Finding",
    "source": "aws.inspector2",
    "account": "111122223333",
    "time": "2023-01-19T22:46:15Z",
    "region": "us-east-1",
    "resources": ["i-0c2a343f1948d5205"],
    "detail": {
        "awsAccountId": "111122223333",
        "description": "\n It was discovered that the sound subsystem in the Linux kernel contained a\n race condition in some situations. A local attacker could use this to cause\n a denial of service (system crash).",
        "exploitAvailable": "YES",
        "exploitabilityDetails": {
            "lastKnownExploitAt": "Oct 24, 2022, 11:08:59 PM"
        },
        "findingArn": "arn:aws:inspector2:us-east-1:111122223333:finding/FINDING_ID",
        "firstObservedAt": "Jan 19, 2023, 10:46:15 PM",
        "fixAvailable": "YES",
        "lastObservedAt": "Jan 19, 2023, 10:46:15 PM",
        "packageVulnerabilityDetails": {
            "cvss": [{
                "baseScore": 4.7,
                "scoringVector": "CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H",
                "source": "NVD",
                "version": "3.1"
            }],
            "referenceUrls": ["https://lore.kernel.org/all/CAFcO6XN7JDM4xSXGhtusQfS2mSBcx50VJKwQpCq=WeLt57aaZA@mail.gmail.com/", "https://ubuntu.com/security/notices/USN-5792-1", "https://ubuntu.com/security/notices/USN-5791-2", "https://ubuntu.com/security/notices/USN-5791-1", "https://ubuntu.com/security/notices/USN-5793-2", "https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=8423f0b6d513b259fdab9c9bf4aaa6188d054c2d", "https://ubuntu.com/security/notices/USN-5793-1", "https://ubuntu.com/security/notices/USN-5792-2", "https://ubuntu.com/security/notices/USN-5791-3", "https://ubuntu.com/security/notices/USN-5793-4", "https://ubuntu.com/security/notices/USN-5793-3", "https://git.kernel.org/linus/8423f0b6d513b259fdab9c9bf4aaa6188d054c2d(6.0-rc5)", "https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3303"],
            "relatedVulnerabilities": [],
            "source": "UBUNTU_CVE",
            "sourceUrl": "https://people.canonical.com/~ubuntu-security/cve/2022/CVE-2022-3303.html",
            "vendorCreatedAt": "Sep 27, 2022, 11:15:00 PM",
            "vendorSeverity": "medium",
            "vulnerabilityId": "CVE-2022-3303",
            "vulnerablePackages": [{
                "arch": "X86_64",
                "epoch": 0,
                "fixedInVersion": "0:5.15.0.1027.31~20.04.16",
                "name": "linux-image-aws",
                "packageManager": "OS",
                "remediation": "apt update && apt install --only-upgrade linux-image-aws",
                "version": "5.15.0.1026.30~20.04.16"
            }]
        },
        "remediation": {
            "recommendation": {
                "text": "None Provided"
            }
        },
        "resources": [{
            "details": {
                "awsEc2Instance": {
                    "iamInstanceProfileArn": "arn:aws:iam::111122223333:instance-profile/AmazonSSMRoleForInstancesQuickSetup",
                    "imageId": "ami-0b7ff1a8d69f1bb35",
                    "ipV4Addresses": ["172.31.85.212", "44.203.45.27"],
                    "ipV6Addresses": [],
                    "launchedAt": "Jan 19, 2023, 7:53:14 PM",
                    "platform": "UBUNTU_20_04",
                    "subnetId": "subnet-8213f2a3",
                    "type": "t2.micro",
                    "vpcId": "vpc-ab6650d1"
                }
            },
            "id": "i-0c2a343f1948d5205",
            "partition": "aws",
            "region": "us-east-1",
            "type": "AWS_EC2_INSTANCE"
        }],
        "severity": "MEDIUM",
        "status": "ACTIVE",
        "title": "CVE-2022-3303 - linux-image-aws",
        "type": "PACKAGE_VULNERABILITY",
        "updatedAt": "Jan 19, 2023, 10:46:15 PM"
    }
}

Criação de uma EventBridge regra para notificá-lo das descobertas do Amazon Inspector

Para aumentar a visibilidade das descobertas do Amazon Inspector, você pode usar EventBridge para configurar alertas de busca automatizados que são enviados para um hub de mensagens. Este tópico mostra como enviar alertas para CRITICAL e descobertas de gravidade HIGH para e-mail, Slack ou Amazon Chime. Você aprenderá como configurar um tópico do Amazon Simple Notification Service e depois conectar esse tópico a uma regra de EventBridge evento.

Etapa 1. Configurar um SNS tópico e um endpoint da Amazon

Para configurar alertas automáticos, primeiro configure um tópico no Amazon Simple Notification Service e adicione um endpoint. Para obter mais informações, consulte o SNSguia.

Este procedimento estabelece para a qual você deseja enviar dados de descobertas do Amazon Inspector. O SNS tópico pode ser adicionado a uma regra de EventBridge evento durante ou após a criação da regra de evento.

Email setup
Criar um tópico SNS

  1. Faça login no SNS console da Amazon em https://console.aws.amazon.com/sns/v3/home.

  2. No painel de navegação, selecione Tópicos e selecione Criar Tópico.

  3. Na seção Criar tópico, selecione Padrão. Em seguida, insira um nome de tópico, como Inspector_to_Email. Os outros detalhes são opcionais.

  4. Selecione Criar tópico. Isso abre um novo painel com detalhes do seu novo tópico.

  5. Na seção Assinatura, escolha Criar assinatura.

    1. No menu Protocolo selecione E-mail.

    2. No campo Endpoint, insira o endereço de e-mail no qual você deseja receber notificações.

      nota

      Você precisa confirmar sua assinatura por meio de seu cliente de e-mail após a criação da assinatura.

    3. Selecione Criar assinatura.

  7. Procure uma mensagem de assinatura em sua caixa de entrada e escolha Confirmar Assinatura.

Slack setup
Criar um tópico SNS

  1. Faça login no SNS console da Amazon em https://console.aws.amazon.com/sns/v3/home.

  2. No painel de navegação, selecione Tópicos e selecione Criar Tópico.

  3. Na seção Criar tópico, selecione Padrão. Em seguida, insira um nome de tópico, como Inspector_to_Slack. Os outros detalhes são opcionais. Escolha Criar tópico para concluir a criação do endpoint.

Configurando um cliente AWS Chatbot

  1. Navegue até o AWS Chatbot console emhttps://console.aws.amazon.com/chatbot/.

  2. No painel Clientes configurados, selecione Configurar novo cliente.

  3. Selecione Slack e, em seguida, selecione Configurar para confirmar.

    nota

    Ao escolher o Slack, confirme as permissões de AWS Chatbot para acessar seu canal selecionando permitir.

  4. Selecione Configurar novo canal para abrir o painel de detalhes da configuração.

    1. Insira um nome para o canal.

    2. Para o canal do Slack, escolha o canal que você deseja usar.

    3. No Slack, copie o ID do canal privado clicando com o botão direito do mouse no nome do canal e selecionando Link de cópia.

    4. Em AWS Management Console, na AWS Chatbot janela, cole o ID do canal que você copiou do Slack no campo ID do canal privado.

    5. Em Permissões, escolha criar uma IAM função usando um modelo se você ainda não tiver uma função.

    6. Em Modelos de política, selecione Permissões de notificação. Este é o modelo IAM de política para AWS Chatbot. Essa política fornece as permissões necessárias de leitura e lista para CloudWatch alarmes, eventos e registros e para SNS tópicos da Amazon.

    7. Para políticas de proteção do canal, escolha AmazonInspector 2. ReadOnlyAccess

    8. Escolha a região na qual você criou seu SNS tópico anteriormente e, em seguida, selecione o SNS tópico da Amazon que você criou para enviar notificações ao canal do Slack.

  5. Selecione Configurar.

Amazon Chime setup
Criar um tópico SNS

  1. Faça login no SNS console da Amazon em https://console.aws.amazon.com/sns/v3/home.

  2. Selecione Tópicos no painel de navegação e selecione Criar tópico.

  3. Na seção Criar tópico, selecione Padrão. Em seguida, insira um nome de tópico, como Inspector_to_Chime. Os outros detalhes são opcionais. Escolha Criar tópico para concluir.

Configurando um cliente AWS Chatbot

  1. Navegue até o AWS Chatbot console emhttps://console.aws.amazon.com/chatbot/.

  2. No painel Clientes configurados, selecione Configurar novo cliente.

  3. Selecione Chime e, em seguida, escolha Configurar para confirmar.

  4. No painel Detalhes da configuração, insira um nome para o canal.

  5. No Amazon Chime, abra a sala de chat desejada.

    1. Escolha o ícone de engrenagem no canto superior direito e selecione Gerenciar webhooks.

    2. Selecione Copiar URL para copiar o webhook URL para sua área de transferência.

  6. Em AWS Management Console, na AWS Chatbot janela, cole o URL que você copiou no campo Webhook URL.

  7. Em Permissões, escolha criar uma IAM função usando um modelo se você ainda não tiver uma função.

  8. Em Modelos de política, selecione Permissões de notificação. Este é o modelo IAM de política para AWS Chatbot. Ele fornece as permissões necessárias de leitura e lista para CloudWatch alarmes, eventos e registros e para SNS tópicos da Amazon.

  9. Escolha a região na qual você criou seu SNS tópico anteriormente e, em seguida, selecione o SNS tópico da Amazon que você criou para enviar notificações para a sala do Amazon Chime.

  10. Selecione Configurar.

Etapa 2. Crie uma EventBridge regra para as descobertas do Amazon Inspector

  1. Faça login usando suas credenciais.

  2. Abra o EventBridge console da Amazon em https://console.aws.amazon.com/events/.

  3. Selecione Regras no painel de navegação e selecione Criar regra.

  4. Insira um nome e uma descrição opcional para a regra.

  5. Selecione Regra com um padrão de evento e depois Avançar.

  6. No painel Padrão de evento, escolha Padrões personalizados (JSONeditor).

  7. Cole o seguinte JSON no editor. 

    {
  "source": ["aws.inspector2"],
  "detail-type": ["Inspector2 Finding"],
  "detail": {
    "severity": ["HIGH", "CRITICAL"],
    "status": ["ACTIVE"]
  }
}
    nota

    Esse padrão envia notificações para qualquer descoberta ativa CRITICAL ou de gravidade HIGH detectada pelo Amazon Inspector.

    Selecione Avançar quando terminar de inserir o padrão do evento.

  8. Na página Selecionar destinos, escolha AWS service (Serviço da AWS). Em seguida, em Selecionar tipo de alvo, escolha SNStópico.

  9. Em Tópico, selecione o nome do SNS tópico que você criou na etapa 1. Em seguida, escolha Próximo.

  10. Adicione tags opcionais, se necessário, e escolha Avançar.

  11. Verifique sua regra e selecione Criar regra.

EventBridge para ambientes de várias contas do Amazon Inspector

Se você for um administrador delegado do Amazon Inspector, EventBridge as regras aparecerão em sua conta com base nas descobertas aplicáveis de suas contas de membros. Se você configurar notificações de descobertas por meio EventBridge de sua conta de administrador, conforme detalhado na seção anterior, você receberá notificações sobre várias contas. Em outras palavras, você será notificado sobre descobertas e eventos gerados por suas contas de membros, além daqueles gerados por sua própria conta.

Você pode usar os JSON detalhes accountId da descoberta para identificar a conta do membro da qual a descoberta do Amazon Inspector se originou.