AWS Audit Manager 使用 Amazon 进行监控 EventBridge - AWS Audit Manager
EventBridge Audit Manager 的格式先决条件为 Audi EventBridge t Manager 创建规则

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Audit Manager 使用 Amazon 进行监控 EventBridge

Amazon EventBridge 可帮助您自动处理 AWS 服务 并自动响应系统事件,例如应用程序可用性问题或资源更改。

您可以使用 EventBridge规则来检测和响应 Audit Manager 事件。根据您创建的规则,当事件与您在规则中指定的值匹配时, EventBridge 调用一个或多个目标操作。根据事件类型,您可能想要发送通知、捕获事件信息、采取纠正措施、启动事件或采取其他操作。

例如,每当您的账户中发生以下 Audit Manager 事件时,您都可以检测到:

  • 审计负责人创建、更新或删除评测

  • 审计负责人委托控件集进行审核

  • 委托人完成审核并将已审核的控件集提交给审计负责人

  • 审计负责人更新评测控制的状态

可自动触发的操作包括:

  • 使用 AWS Lambda 函数将通知传递给 Slack 频道。

  • 将有关检查的数据推送到 Amazon Kinesis Data Streams 流,以支持全面、实时的状态监控。

  • 向您的电子邮箱发送亚马逊简单通知服务 (AmazonSNS) 主题。

  • 获取 Amazon CloudWatch 警报操作的通知。

注意

Audit Manager 持久传送事件。这意味着 Audit Manager 将成功地尝试将事件传送到 EventBridge 至少一次。如果由于 EventBridge 服务中断而无法交付事件,Audit Manager 稍后将再次重试这些事件,最长可达 24 小时。

EventBridge Audit Manager 的示例格式

以下JSON代码显示了 Audit Manager 中创建评估事件的示例。有关此事件中任何字段的信息,请参阅事件结构参考

{
    "version": "0",
    "id": "55c5a6f3-6183-3989-49ec-a3c998857644",
    "detail-type": "Assessment Created",
    "source": "aws.auditmanager",
    "account": "111122223333",
    "time": "2023-07-27T00:38:33Z",
    "region": "us-west-2",
    "resources":
        [
            "arn:aws:auditmanager:us-west-2:111122223333:assessment/a1b2c3d4-e5f6-g7h8-i9j0-k1l2m3n4o5p6"
        ],
    "detail":
    {
        "eventID": "4e939b2f-9429-3141-beec-d640d83ef68e",
        "author": "arn:aws:sts::111122223333:assumed-role/roleName/role-session-name",
        "assessmentTenantId": "111122223333",
        "assessmentName": "myAssessment",
        "eventTime": 1690418289068,
        "eventName": "CREATE",
        "eventType": "ASSESSMENT",
        "assessmentID": "a1b2c3d4-e5f6-g7h8-i9j0-k1l2m3n4o5p6"
    }
}

创建 EventBridge 规则的先决条件

在为 Audit Manager 事件创建规则之前,建议执行以下操作:

  • 熟悉中的事件、规则和目标。 EventBridge有关更多信息,请参阅什么是亚马逊 EventBridge? 在《亚马逊 EventBridge 用户指南》中。

  • 创建要在您的事件规则中使用的目标。例如,您可以创建一个 Amazon SNS 主题,这样,只要控制集审核完成,您就会收到一条短信或电子邮件。有关更多信息,请参阅EventBridge 目标

为 Audi EventBridge t Manager 创建规则

按照以下步骤创建一条在 Audit Manager 发出的事件上触发的 EventBridge 规则。尽最大努力发出事件。

为 Audi EventBridge t Manager 创建规则

  1. 打开 Amazon EventBridge 控制台,网址为https://console.aws.amazon.com/events/

  2. 在导航窗格中,选择规则

  3. 选择创建规则

  4. 定义规则详细信息页面上,输入规则名称和描述。

  5. 对于 事件总线规则类型,保留默认值,然后选择下一步

  6. 构建事件模式页面上,为事件源选择AWS 事件或 EventBridge 合作伙伴事件

  7. 在 “创建方法” 中,选择 “自定义模式(JSON编辑器)”。

  8. 在 “事件模式” 下,在中写一个事件模式JSON并指定要用于匹配的字段。

    要匹配 Audit Manager 事件,您可以使用以下简单模式:

    { 
  "detail-type": ["Event"]
}

    Replace(替换) Event 使用以下支持的值之一:

    1. 输入 Assessment Created 以在创建评测时收到通知。

    2. 输入 Assessment Updated 以在更新评测时收到通知。

    3. 输入 Assessment Deleted 以在删除评测时收到通知。

    4. 输入 Assessment ControlSet Delegation Created 以在委托控件集进行审核时收到通知。

    5. 输入 Assessment ControlSet Reviewed 以在审核评测控件集时收到通知。

    6. 输入 Assessment Control Reviewed 以在审核评测控件时收到通知。

    提示

    根据需要向事件模式添加更多字段。有关可用字段的更多信息,请参阅 Amazon EventBridge 事件模式

  9. 选择下一步

  10. 选择目标页面上,选择您为此规则创建的目标,然后配置该类型所需的任何其他选项。例如,如果您选择 AmazonSNS,请确保您的SNS主题配置正确,以便通过电子邮件或通知您SMS。

    提示

    显示的字段因所选服务而异。有关可用目标的更多信息,请参阅 EventBridge 控制台中的可用目标

  11. 对于许多目标类型, EventBridge 需要向目标发送事件的权限。在这些情况下, EventBridge 可以创建运行规则所需的IAM角色。

    1. 要自动创建IAM角色,请选择为此特定资源创建新角色

    2. 要使用之前创建的IAM角色,请选择使用现有角色

  12. (可选)选择 Add another target(添加其他目标),以为此规则添加其他目标。

  13. 选择下一步

  14. (可选)在 Configure tags(配置标签)页面上,添加任意标签,然后选择 Next(下一步)。

  15. Review and create(审查并创建)页面上,审查您的规则设置并确保其符合您的事件监控要求。

  16. 选择 创建规则。您的规则现在将监控 Audit Manager 事件,然后将它们发送到您指定的目标。