Administrador de incidentes de AWS Systems Manager ya no está abierto a nuevos clientes. Los clientes existentes pueden seguir utilizando el servicio con normalidad. Para obtener más información, consulte Cambio en la disponibilidad de Administrador de incidentes de AWS Systems Manager.
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Tutorial: Gestión de incidentes de seguridad en Incident Manager
Puede usar AWS Security Hub CSPM Amazon EventBridge e Incident Manager juntos para identificar y gestionar los incidentes de seguridad en sus aplicaciones AWS alojadas. En este tutorial se explica cómo configurar una EventBridge regla que cree un incidente en función de las conclusiones que el CSPM envía automáticamente a Security Hub.
nota
En este tutorial se utiliza EventBridge Security Hub CSPM. Podría incurrir en costos por el uso de estos servicios.
Requisitos previos
-
Configure Security Hub CSPM. Para obtener más información, consulte Configuración AWS Security Hub CSPM.
-
Cree o actualice las conclusiones en Security Hub CSPM. Para obtener más información, consulte Resultados en AWS Security Hub CSPM.
-
Configure un plan de respuesta que Incident Manager utilice como plantilla al crear su incidente de seguridad. Para obtener más información, consulte Preparación para incidentes en Incident Manager.
En este tutorial, utilizamos un patrón predefinido para crear la EventBridge regla. Para crear la regla con un patrón personalizado, consulte Uso de un patrón personalizado para crear la regla en la guía del AWS Security Hub CSPM usuario.
Cree una EventBridge regla
Abre la EventBridge consola de Amazon en https://console.aws.amazon.com/events/
. -
En el panel de navegación, seleccione Reglas.
-
Elija Creación de regla.
-
Escriba un nombre y la descripción de la regla.
Una regla no puede tener el mismo nombre que otra regla de la misma región y del mismo bus de eventos.
-
En Bus de eventos, elija Predeterminado.
-
En Tipo de regla, elija Regla con un patrón de evento.
-
Elija Siguiente.
-
En Fuente del evento, selecciona AWS eventos o eventos EventBridge asociados.
-
En Patrón del evento, elija Formulario de patrón de eventos.
-
En Origen de evento, seleccione Servicios de AWS .
-
Para el AWS servicio, elija Security Hub CSPM.
-
En Tipo de evento, elija Security Hub CSPM Findings - Imported.
-
De forma predeterminada, EventBridge configura el patrón de eventos sin ningún valor de filtro. Para cada atributo, se selecciona la
attribute nameopción Cualquiera. Actualice estos filtros para crear incidentes basados en los resultados de seguridad que más afecten a su entorno. -
Haga clic en Next (Siguiente).
-
En Tipos de destino, seleccione Servicio de AWS .
-
En Seleccionar un objetivo, elija Plan de respuesta de Incident Manager.
-
En Plan de respuesta, elija un plan de respuesta para utilizarlo como plantilla para los incidentes creados.
-
EventBridge puede crear el rol de IAM necesario para que se ejecute la regla.
-
Para crear un rol de IAM de forma automática, elija Crear un nuevo rol para el recurso específico.
-
Para utilizar un rol de IAM que ya exista en su cuenta, elija Utilizar rol existente.
-
-
(Opcional) Introduzca una o varias etiquetas para la regla.
-
Elija Siguiente.
-
Revise los detalles de la regla y seleccione Creación de regla.
Ahora que ha creado esta EventBridge regla, los fallos de seguridad que coincidan con los valores de los atributos que ha definido crearán incidentes en Incident Manager. Puede clasificar, administrar, monitorear y crear análisis post-incidente a partir de estos incidentes.
