AWS Audit Manager 使用 Amazon 監控 EventBridge - AWS Audit Manager
EventBridge Audit Manager 格式必要條件建立 Audit Manager 的 EventBridge 規則

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Audit Manager 使用 Amazon 監控 EventBridge

Amazon EventBridge 可協助您自動化您的 AWS 服務 ,並自動回應系統事件,例如應用程式可用性問題或資源變更。

您可以使用 EventBridge規則來偵測和回應 Audit Manager 事件。根據您建立的規則,當事件符合您在規則中指定的值時, EventBridge 會叫用一或多個目標動作。根據事件的類型,您可能會想要傳送通知、擷取事件資訊,採取修正動作、啟動事件,或採取其他動作。

例如,每當您的帳戶中發生下列 Audit Manager 事件時,您可以進行偵測:

  • 稽核擁有者建立、更新或刪除評估

  • 稽核擁有者委派控制集以供檢閱

  • 委派人員完成其檢閱,並將已檢閱的控制集交回稽核擁有者

  • 稽核擁有者更新評估控制項的狀態

可以自動觸發的動作如下:

  • 使用 AWS Lambda 函數將通知傳遞至 Slack 頻道。

  • 將有關檢查的資料推送到 Amazon Kinesis Data Streams,以支援完整且即時的狀態監控。

  • 將 Amazon Simple Notification Service (Amazon SNS) 主題傳送至您的電子郵件。

  • 收到 Amazon CloudWatch 警示動作的通知。

注意

Audit Manager 持續傳遞事件。這表示 Audit Manager 將成功嘗試將事件交付至 EventBridge 至少一次。如果事件因為 EventBridge 服務中斷而無法交付,Audit Manager 稍後會重試事件,最多 24 小時。

EventBridge Audit Manager 的範例格式

下列JSON程式碼顯示 Audit Manager 中評估建立事件的範例。如需有關此事件中任何欄位的資訊,請參閱事件結構參考

{
    "version": "0",
    "id": "55c5a6f3-6183-3989-49ec-a3c998857644",
    "detail-type": "Assessment Created",
    "source": "aws.auditmanager",
    "account": "111122223333",
    "time": "2023-07-27T00:38:33Z",
    "region": "us-west-2",
    "resources":
        [
            "arn:aws:auditmanager:us-west-2:111122223333:assessment/a1b2c3d4-e5f6-g7h8-i9j0-k1l2m3n4o5p6"
        ],
    "detail":
    {
        "eventID": "4e939b2f-9429-3141-beec-d640d83ef68e",
        "author": "arn:aws:sts::111122223333:assumed-role/roleName/role-session-name",
        "assessmentTenantId": "111122223333",
        "assessmentName": "myAssessment",
        "eventTime": 1690418289068,
        "eventName": "CREATE",
        "eventType": "ASSESSMENT",
        "assessmentID": "a1b2c3d4-e5f6-g7h8-i9j0-k1l2m3n4o5p6"
    }
}

建立 EventBridge 規則的先決條件

建議您在為 Audit Manager 事件建立規則之前,執行以下操作:

建立 Audit Manager 的 EventBridge 規則

請依照下列步驟建立規則,該 EventBridge 規則會在 Audit Manager 發出的事件上觸發。盡可能發出事件。

為 Audit Manager 建立 EventBridge 規則

  1. 在 開啟 Amazon EventBridge 主控台https://console.aws.amazon.com/events/

  2. 在導覽窗格中,選擇規則

  3. 選擇建立規則

  4. 定義規則詳細資訊頁面中,輸入規則名稱和描述。

  5. 請保留事件匯流排規則類型的預設值,然後選擇 下一步

  6. 建置事件模式頁面上,針對事件來源 ,選擇AWS 事件或 EventBridge 合作夥伴事件

  7. 對於建立方法 ,選擇自訂模式 (JSON 編輯器)

  8. 事件模式 下,在 中寫入事件模式,JSON並指定您要用於比對的欄位。

    如需比對 Audit Manager 事件,您可以使用以下簡單模式:

    { 
  "detail-type": ["Event"]
}

    Replace (取代) Event 具有下列其中一個支援的值:

    1. 輸入 Assessment Created 以在建立評估時收到通知。

    2. 輸入 Assessment Updated 以在更新評估時收到通知。

    3. 輸入 Assessment Deleted 以在刪除評估時收到通知。

    4. 輸入 Assessment ControlSet Delegation Created 以在委派控制集進行檢閱時收到通知。

    5. 輸入 Assessment ControlSet Reviewed 以在檢閱評估控制集時收到通知。

    6. 輸入 Assessment Control Reviewed 以在檢閱評估控制項時收到通知。

    提示

    根據需要將更多欄位添加到您的事件模式中。如需可用欄位的詳細資訊,請參閱 Amazon EventBridge 事件模式

  9. 選擇 Next (下一步)

  10. 選擇目標頁面上,選擇您為此規則建立的目標類型,然後設定該類型所需的任何其他選項。例如,如果您選擇 Amazon SNS,請確定您的SNS主題已正確設定,以便透過電子郵件或 通知您SMS。

    提示

    顯示的欄位會因選擇的服務而異。如需可用目標的詳細資訊,請參閱 EventBridge 主控台 中可用的目標

  11. 對於許多目標類型, EventBridge 需要將事件傳送至目標的許可。在這些情況下, EventBridge 可以建立規則執行所需的IAM角色。

    1. 若要自動建立IAM角色,請選擇為此特定資源建立新角色。

    2. 若要使用您先前建立IAM的角色,請選擇使用現有角色

  12. (選用) 選擇新增其他目標,為此規則新增另一個目標。

  13. 選擇 Next (下一步)

  14. (選用) 在 設定標籤頁面,新增任何標籤,然後選擇下一步

  15. 檢閱並建立頁面上,檢閱您的規則設定,並確定其符合您的事件監控要求。

  16. 選擇建立規則。您的規則現在將監控 Audit Manager 事件,然後將這些事件傳送至您指定的目標。