Detaillierte Referenz zu Ereignissen im Bereich Security Incident Response - AWS Security Incident Response Benutzerleitfaden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Detaillierte Referenz zu Ereignissen im Bereich Security Incident Response

Alle Ereignisse von AWS Diensten haben einen gemeinsamen Satz von Feldern, die Metadaten über das Ereignis enthalten, z. B. den AWS Dienst, der die Quelle des Ereignisses darstellt, den Zeitpunkt, zu dem das Ereignis generiert wurde, das Konto und die Region, in der das Ereignis stattgefunden hat, und andere. Definitionen dieser allgemeinen Felder finden Sie unter Referenz zur Ereignisstruktur im EventBridge Amazon-Benutzerhandbuch.

Darüber hinaus weist jedes Ereignis ein detail-Feld auf, das spezifische Daten für das betreffende Ereignis enthält. In der folgenden Referenz werden die Detailfelder für die verschiedenen Ereignisse zur Reaktion auf Sicherheitsvorfälle definiert.

Bei der EventBridge Auswahl und Verwaltung von Security Incident Response-Ereignissen ist es hilfreich, Folgendes zu beachten:

  • Das source Feld für alle Ereignisse aus Security Incident Response ist auf gesetzt"aws.security-ir".

  • Das Feld detail-type gibt den Ereignistyp an.

    Beispiel, "Case Updated".

  • Das Feld detail enthält die Daten, die für das betreffende Ereignis spezifisch sind.

Informationen zur Erstellung von Ereignismustern, mit denen Regeln den Ereignissen der Reaktion auf Sicherheitsvorfälle entsprechen, finden Sie unter Ereignismuster im EventBridge Amazon-Benutzerhandbuch.

Weitere Informationen zu Ereignissen und deren EventBridge Verarbeitung finden Sie unter EventBridge Ereignisse im EventBridge Amazon-Benutzerhandbuch.

Allgemeine Felder: Alle AWS Security Incident Response Ereignisse enthalten diese EventBridge Amazon-Standardfelder

  • Version: Version im EventBridge Ereignisformat

  • id: Eindeutiger Bezeichner für das Ereignis

  • detail-type: Für Menschen lesbare Beschreibung des Ereignistyps

  • Quelle: Immer „aws.security-ir“ für Security Incident Response-Ereignisse

  • AWS Konto: Konto-ID, unter der das Ereignis eingetreten ist

  • Zeit: ISO 8601-Zeitstempel, zu dem das Ereignis eingetreten ist

  • Region: AWS-Region wo die Ressource existiert

  • resources: Array, das den ARN der betroffenen Ressource enthält

Detailfelder: Das detail Objekt enthält spezifische Informationen zur Reaktion auf Sicherheitsvorfälle

  • CaseID: Eindeutige Kennung für den Fall (nur Fallereignisse)

  • membershipId: Eindeutige Kennung für die Mitgliedschaft (nur Mitgliedschaftsveranstaltungen)

  • updatedBy: Wer hat die Aktualisierung durchgeführt (nur Ereignisse zur Aktualisierung von Fällen und Kommentaren)

  • createdBy: Wer hat die Entität erstellt (nur Ereignisse bei der Erstellung von Fällen und Kommentaren)

Akteurwerte: Die createdBy Felder updatedBy und können Folgendes enthalten

  • AWS Responder: Aktion, die von einem AWS Sicherheits-Responder ausgeführt wurde

  • security-ir.amazonaws.com: Aktion, die automatisch vom Dienst ausgeführt wird

  • Konto-ID: Vom Kunden ausgeführte Aktion (z. B. „111122223333“)

ARN-Werte für AWS Security Incident Response Ressourcen: Ressourcen verwenden diese ARN-Formate

  • Fälle: arn:aws:security-ir:{region}:{account-id}:case/{case-id}

  • Mitgliedschaften: arn:aws:security-ir:{region}:{account-id}:membership/{membership-id}