Tutoriel : Gestion des incidents de sécurité dans Incident Manager - Incident Manager

AWS Systems Manager Incident Manager n'est plus ouvert aux nouveaux clients. Les clients existants peuvent continuer à utiliser le service normalement. Pour plus d'informations, consultez AWS Systems Manager Incident Manager la section Modification de la disponibilité.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Tutoriel : Gestion des incidents de sécurité dans Incident Manager

Vous pouvez utiliser AWS Security Hub CSPM Amazon EventBridge et Incident Manager ensemble pour identifier et gérer les incidents de sécurité dans vos applications AWS hébergées. Ce didacticiel explique comment configurer une EventBridge règle qui crée un incident en fonction des résultats envoyés automatiquement par Security Hub CSPM.

Note

Ce didacticiel utilise EventBridge Security Hub CSPM. L'utilisation de ces services peut entraîner des frais.

Conditions préalables

Pour ce didacticiel, nous utilisons un modèle prédéfini pour créer la EventBridge règle. Pour créer la règle à l'aide d'un modèle personnalisé, consultez la section Utilisation d'un modèle personnalisé pour créer la règle dans le guide de AWS Security Hub CSPM l'utilisateur.

Création d'une EventBridge règle

  1. Ouvrez la EventBridge console Amazon à l'adresse https://console.aws.amazon.com/events/.

  2. Dans le panneau de navigation, choisissez Rules.

  3. Choisissez Créer une règle.

  4. Saisissez un Nom et une Description pour la règle.

    Une règle ne peut pas avoir le même nom qu’une autre règle de la même région et sur le même bus d’événement.

  5. Pour Event bus (Bus d’événement), choisissez default (défaut).

  6. Pour Type de règle, choisissez Règle avec un modèle d’événement.

  7. Choisissez Suivant.

  8. Dans Source de l'événement, sélectionnez AWS événements ou événements EventBridge partenaires.

  9. Pour Modèle d'événement, choisissez Formulaire de modèle d'événement.

  10. Pour Source d'événement, choisissez Services AWS .

  11. Pour le AWS service, choisissez Security Hub CSPM.

  12. Pour Type d'événement, choisissez Security Hub CSPM Findings - Imported.

  13. Par défaut, EventBridge configure le modèle d'événement sans aucune valeur de filtre. Pour chaque attribut, l'attribute nameoption Tous est sélectionnée. Mettez à jour ces filtres pour créer des incidents basés sur les résultats de sécurité qui ont le plus d'impact sur votre environnement.

  14. Cliquez sur Suivant.

  15. Pour Types de cibles, choisissez service AWS .

  16. Pour Sélectionner une cible, choisissez le plan de réponse d'Incident Manager.

  17. Pour Plan de réponse, choisissez un plan de réponse à utiliser comme modèle pour les incidents créés.

  18. EventBridge peut créer le rôle IAM nécessaire à l'exécution de votre règle.

    • Pour créer automatiquement un rôle IAM, choisissez Créer un nouveau rôle pour la ressource spécifique.

    • Pour utiliser un rôle IAM qui existe déjà dans votre compte, choisissez Utiliser un rôle existant.

  19. (Facultatif) Saisissez une ou plusieurs balises pour la règle.

  20. Choisissez Suivant.

  21. Consultez les détails de la règle et choisissez Create rule (Créer une règle).

Maintenant que vous avez créé cette EventBridge règle, les résultats de sécurité correspondant aux valeurs d'attribut que vous avez définies créeront des incidents dans Incident Manager. Vous pouvez trier, gérer, surveiller et créer une analyse post-incident à partir de ces incidents.