Referencia de detalles de los eventos de Respuesta ante incidentes de seguridad - Respuesta frente a incidencias de seguridad de AWSGuía del usuario de

Referencia de detalles de los eventos de Respuesta ante incidentes de seguridad

Todos los eventos de los servicios de AWS tienen un conjunto común de campos que contienen metadatos sobre el evento, como el servicio de AWS que es el origen del evento, la hora en que se generó el evento, la cuenta y la región en las que tuvo lugar el evento, etc. Para ver las definiciones de estos campos generales, consulte Event structure reference en la Guía del usuario de Amazon EventBridge.

Además, cada evento tiene un campo detail que contiene datos específicos de ese evento en particular. En la siguiente referencia se definen los campos de detalle para los distintos eventos de Respuesta ante incidentes de seguridad.

Al usar EventBridge para seleccionar y administrar eventos de Respuesta ante incidentes de seguridad, es útil tener en cuenta lo siguiente:

  • El campo source de todos los eventos de Respuesta ante incidentes de seguridad está establecido en "aws.security-ir".

  • El campo detail-type especifica el tipo de evento.

    Por ejemplo, "Case Updated".

  • El campo detail contiene los datos específicos de ese evento en particular.

Para obtener más información sobre cómo crear patrones de eventos que permitan que las reglas coincidan con los eventos de Respuesta ante incidentes de seguridad, consulte Event patterns en la Guía del usuario de Amazon EventBridge.

Para obtener más información sobre los eventos y cómo EventBridge los procesa, consulte Eventos de EventBridge en la Guía del usuario de Amazon EventBridge.

Campos comunes: todos los eventos de Respuesta frente a incidencias de seguridad de AWS incluyen estos campos estándar de Amazon EventBridge:

  • version: versión del formato de evento de EventBridge.

  • id: identificador único del evento.

  • detail-type: descripción inteligible del tipo de evento.

  • source: siempre “aws.security-ir” para los eventos de Respuesta ante incidentes de seguridad.

  • account: ID de la cuenta de AWS en la que se produjo el error.

  • time: marca temporal ISO 8601 de cuando se produjo el evento.

  • region: Región de AWS en la que está el recurso.

  • resources: matriz que contiene el ARN del recurso afectado.

Campos de detalle: el objeto detail contiene información específica de Respuesta ante incidentes de seguridad:

  • caseId: identificador único del caso (solo para eventos de casos).

  • membershipId: identificador único de la membresía (solo para eventos de membresías).

  • updatedBy: persona que llevó a cabo la actualización (solo para eventos de actualización de casos y comentarios).

  • createdBy: persona que creó la entidad (solo para eventos de creación de casos y comentarios).

Valores del agente: los campos updatedBy y createdBy pueden contener:

  • AWS Responder: acción que lleva a cabo un miembro del equipo de seguridad de AWS.

  • security-ir.amazonaws.com: acción que el servicio lleva a cabo automáticamente.

  • ID de cuenta: acción que lleva a cabo el cliente (por ejemplo, “111122223333”).

Valores de ARN de recursos: los recursos de Respuesta frente a incidencias de seguridad de AWS utilizan estos formatos de ARN:

  • Casos: arn:aws:security-ir:{region}:{account-id}:case/{case-id}

  • Membresías: arn:aws:security-ir:{region}:{account-id}:membership/{membership-id}