本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 Amazon 創建對 Amazon Inspector 發現的自定義 EventBridge
Amazon Inspector 會在 Amazon EventBridge 為新產生的發現項目和彙總發現建立事件。Amazon Inspector 也會為發現項目狀態的任何變更建立事件。這表示當您採取重新啟動資源或變更與資源相關聯的標籤等動作時,Amazon Inspector 會建立新的事件以供發現。當 Amazon Inspector 為更新的發現項目建立新事件時,發現項目會id
保持不變。
注意
如果您的帳戶是 Amazon Inspector 委派的管理員帳戶,請將事件 EventBridge 發佈到您的帳戶和事件起源的成員帳戶。
搭配 Amazon Inspector 使用 EventBridge 事件時,您可以自動執行任務,協助您回應發現結果所揭示的安全問題。若要根據 EventBridge 事件接收有關 Amazon Inspector 發現項目的通知,您必須建立 EventBridge 規則並為 Amazon Inspector 指定目標。此 EventBridge 規則 EventBridge 允許傳送 Amazon Inspector 發現項目的通知,且目標會指定傳送通知的位置。
Amazon Inspector 將事件發送到您當前使用 Amazon Inspector AWS 區域 的默認事件總線。這表示您必須為每個啟用 Amazon Inspector 並設定 Amazon Inspector 以接收事件的每個 AWS 區域 地方設定 EventBridge 事件規則。Amazon Inspector 發出最大努力的基礎上的事件。
本節提供事件結構描述的範例,並說明如何建立 EventBridge 規則。
事件模式
以下是EC2尋找事件之 Amazon Inspector 事件格式的範例。如需其他尋找項目類型和事件類型的綱要範例,請參閱Amazon EventBridge 事件模式 Amazon Inspector 事件。
{ "version": "0", "id": "66a7a279-5f92-971c-6d3e-c92da0950992", "detail-type": "Inspector2 Finding", "source": "aws.inspector2", "account": "111122223333", "time": "2023-01-19T22:46:15Z", "region": "us-east-1", "resources": ["i-0c2a343f1948d5205"], "detail": { "awsAccountId": "111122223333", "description": "\n It was discovered that the sound subsystem in the Linux kernel contained a\n race condition in some situations. A local attacker could use this to cause\n a denial of service (system crash).", "exploitAvailable": "YES", "exploitabilityDetails": { "lastKnownExploitAt": "Oct 24, 2022, 11:08:59 PM" }, "findingArn": "arn:aws:inspector2:us-east-1:111122223333:finding/FINDING_ID", "firstObservedAt": "Jan 19, 2023, 10:46:15 PM", "fixAvailable": "YES", "lastObservedAt": "Jan 19, 2023, 10:46:15 PM", "packageVulnerabilityDetails": { "cvss": [{ "baseScore": 4.7, "scoringVector": "CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H", "source": "NVD", "version": "3.1" }], "referenceUrls": ["https://lore.kernel.org/all/CAFcO6XN7JDM4xSXGhtusQfS2mSBcx50VJKwQpCq=WeLt57aaZA@mail.gmail.com/", "https://ubuntu.com/security/notices/USN-5792-1", "https://ubuntu.com/security/notices/USN-5791-2", "https://ubuntu.com/security/notices/USN-5791-1", "https://ubuntu.com/security/notices/USN-5793-2", "https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=8423f0b6d513b259fdab9c9bf4aaa6188d054c2d", "https://ubuntu.com/security/notices/USN-5793-1", "https://ubuntu.com/security/notices/USN-5792-2", "https://ubuntu.com/security/notices/USN-5791-3", "https://ubuntu.com/security/notices/USN-5793-4", "https://ubuntu.com/security/notices/USN-5793-3", "https://git.kernel.org/linus/8423f0b6d513b259fdab9c9bf4aaa6188d054c2d(6.0-rc5)", "https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3303"], "relatedVulnerabilities": [], "source": "UBUNTU_CVE", "sourceUrl": "https://people.canonical.com/~ubuntu-security/cve/2022/CVE-2022-3303.html", "vendorCreatedAt": "Sep 27, 2022, 11:15:00 PM", "vendorSeverity": "medium", "vulnerabilityId": "CVE-2022-3303", "vulnerablePackages": [{ "arch": "X86_64", "epoch": 0, "fixedInVersion": "0:5.15.0.1027.31~20.04.16", "name": "linux-image-aws", "packageManager": "OS", "remediation": "apt update && apt install --only-upgrade linux-image-aws", "version": "5.15.0.1026.30~20.04.16" }] }, "remediation": { "recommendation": { "text": "None Provided" } }, "resources": [{ "details": { "awsEc2Instance": { "iamInstanceProfileArn": "arn:aws:iam::111122223333:instance-profile/AmazonSSMRoleForInstancesQuickSetup", "imageId": "ami-0b7ff1a8d69f1bb35", "ipV4Addresses": ["172.31.85.212", "44.203.45.27"], "ipV6Addresses": [], "launchedAt": "Jan 19, 2023, 7:53:14 PM", "platform": "UBUNTU_20_04", "subnetId": "subnet-8213f2a3", "type": "t2.micro", "vpcId": "vpc-ab6650d1" } }, "id": "i-0c2a343f1948d5205", "partition": "aws", "region": "us-east-1", "type": "AWS_EC2_INSTANCE" }], "severity": "MEDIUM", "status": "ACTIVE", "title": "CVE-2022-3303 - linux-image-aws", "type": "PACKAGE_VULNERABILITY", "updatedAt": "Jan 19, 2023, 10:46:15 PM" } }
建立 EventBridge 規則以通知您 Amazon Inspector 發現
若要提高 Amazon Inspector 發現項目的可見度,您可 EventBridge 以使用設定傳送至簡訊中樞的自動尋找提醒。本主題說明如何將發現的警示CRITICAL
和HIGH
嚴重性發現項目傳送至電子郵件、Slack 或 Amazon Chime。您將學習如何設定 Amazon 簡單通知服務主題,然後將該主題連接到 EventBridge 事件規則。
步驟 1. 設置 Amazon SNS 主題和端點
若要設定自動提醒,您必須先在 Amazon 簡單通知服務中設定主題,然後新增端點。如需詳細資訊,請參閱指SNS南。
此程序會建立您要傳送 Amazon Inspector 發現項目資料的位置。在建立 EventBridge 事件規則期間或之後,可將SNS主題新增至事件規則。
步驟 2. 為 Amazon Inspector 發現創建 EventBridge 規則
-
使用您的認證登入。
在打開 Amazon EventBridge 控制台https://console.aws.amazon.com/events/
。 -
從導覽窗格中選取 [規則],然後選取 [建立規則]。
-
輸入規則的名稱和選擇性說明。
-
選取具有事件模式的規則,然後選取下一步。
-
在 [事件模式] 窗格中,選擇 [自訂模式 (JSON編輯器)]。
-
JSON將以下內容粘貼到編輯器中。
{ "source": ["aws.inspector2"], "detail-type": ["Inspector2 Finding"], "detail": { "severity": ["HIGH", "CRITICAL"], "status": ["ACTIVE"] } }
注意
此模式會針對 Amazon Inspector 偵測到的任何使用中
CRITICAL
或HIGH
嚴重性發現傳送通知。完成輸入事件模式後,請選取 [下一步]。
-
在「選取目標」 頁面上,選擇AWS 服務。然後,針對 「選取目標類型」選擇「SNS主題」。
-
針對「主題」,選取您在步驟 1 中建立的SNS主題名稱。然後選擇下一步。
-
視需要新增可選標籤,然後選擇「下一步」
-
檢閱規則,然後選擇 [建立規則]。
EventBridge 適用於 Amazon Inspector 多帳戶環境
如果您是 Amazon Inspector 委派的管理員, EventBridge 則會根據您會員帳戶中的適用發現項目,在您的帳戶中顯示規則。如果您透過 EventBridge 管理員帳戶設定發現項目通知 (如上一節所述),您將會收到有關多個帳戶的通知。換句話說,除了您自己的帳戶生成的發現和事件之外,還會通知您會員帳戶產生的發現和事件。
您可以使用accountId
從發現項目的JSON詳細資訊來識別 Amazon Inspector 尋找來源的成員帳戶。