Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Gestion des événements de réponse aux incidents de sécurité à l'aide d'Amazon EventBridge
Amazon EventBridge est un service sans serveur qui utilise des événements pour connecter les composants de l'application entre eux, ce qui vous permet de créer plus facilement des applications évolutives pilotées par des événements. Une architecture pilotée par les événements est un style de création de systèmes logiciels faiblement couplés qui fonctionnent ensemble en émettant des événements et en y répondant. Les événements représentent une modification d’une ressource ou d’un environnement.
Voici comment cela fonctionne :
Comme c'est le cas pour de nombreux AWS services, Security Incident Response génère et envoie des événements au bus d'événements EventBridge par défaut. (Le bus d'événements par défaut est automatiquement configuré dans votre AWS compte.) Un bus d'événements est un routeur qui reçoit des événements et les transmet à zéro ou plusieurs destinations, ou *cibles*. Les règles que vous spécifiez pour le bus d’événements évaluent les événements à mesure qu’ils arrivent. Chaque règle vérifie si un événement correspond au *modèle d’événement* de la règle. Si l’événement correspond, le bus d’événements envoie l’événement à la ou aux cibles spécifiées.
![\[AWS les services envoient des événements au bus d'événements EventBridge par défaut. Si l'événement correspond au modèle d'événement d'une règle, EventBridge envoie l'événement aux cibles spécifiées pour cette règle.\]](http://docs.aws.amazon.com/fr_fr/security-ir/latest/userguide/images/eventbridge-integration-how-it-works.png)
## Organisation d'événements de réponse aux incidents de sécurité à l'aide de EventBridge règles
Pour que le bus d'événements EventBridge par défaut envoie des événements de réponse aux incidents de sécurité à une cible, vous devez créer une règle. Chaque règle contient un modèle d'événement, qui EventBridge correspond à chaque événement reçu sur le bus d'événements. Si les données d'événement correspondent au modèle d'événement spécifié, EventBridge transmet cet événement aux cibles de la règle.
Pour obtenir des instructions complètes sur la création de règles de bus d'événements, consultez la section [Création de règles qui réagissent aux événements](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) dans le *guide de EventBridge l'utilisateur Amazon*.
### Création d'un modèle d'événements correspondant aux événements de réponse aux incidents de sécurité
Chaque modèle d’événement est un objet JSON qui contient :
+ Un attribut `source` qui identifie le service qui envoie l’événement. Pour les événements de réponse aux incidents de sécurité, la source est`"aws.security-ir"`.
+ (Facultatif) : un attribut `detail-type` qui contient un tableau des types d’événements à associer.
+ (Facultatif) : un attribut `detail` qui contient toute autre donnée d’événement à rechercher.
Par exemple, le modèle d'événement suivant correspond à tous les `Case Updated by Réponse aux incidents de sécurité AWS Service` événements d'un événement spécifique Compte AWS :
```
{
"version": "0",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"detail-type": "Case Updated",
"source": "aws.security-ir",
"account": "111122223333",
"time": "2023-05-12T03:45:00Z",
"region": "us-west-2",
"resources": [
"arn:aws:security-ir:us-west-2:111122223333:case/1234567890"
],
"detail": {
"caseId": "1234567890",
"updatedBy": "security-ir.amazonaws.com"
}
}
```
Pour plus d'informations sur la rédaction de modèles d'événements, consultez la section [Modèles d'événements](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html) dans le *guide de EventBridge l'utilisateur*.
# Référence détaillée des événements de réponse aux incidents de sécurité
Tous les événements issus AWS des services ont un ensemble commun de champs contenant des métadonnées relatives à l'événement, telles que le AWS service à l'origine de l'événement, l'heure à laquelle l'événement a été généré, le compte et la région dans lesquels l'événement a eu lieu, etc. Pour les définitions de ces champs généraux, consultez la [référence relative à la structure des événements](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events-structure.html) dans le *guide de EventBridge l'utilisateur Amazon*.
En outre, chaque événement possède un champ `detail` qui contient des données spécifiques à cet événement en particulier. La référence ci-dessous définit les champs détaillés pour les différents événements de réponse aux incidents de sécurité.
Lors EventBridge de l'utilisation pour sélectionner et gérer les événements de réponse aux incidents de sécurité, il est utile de garder à l'esprit les points suivants :
+ Le `source` champ pour tous les événements de Security Incident Response est défini sur`"aws.security-ir"`.
+ Le champ `detail-type` indique le type d'événement.
Par exemple, `"Case Updated"`.
+ Le champ `detail` contient les données spécifiques à cet événement en particulier.
Pour plus d'informations sur la création de modèles d'événements permettant aux règles de correspondre aux événements de réponse aux incidents de sécurité, consultez la section [Modèles d'événements](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html) dans le *guide de EventBridge l'utilisateur Amazon*.
Pour plus d'informations sur les événements et leur EventBridge traitement, consultez le *guide de l' EventBridge utilisateur Amazon consacré* aux [EventBridge événements](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html).
**Champs communs :** tous les Réponse aux incidents de sécurité AWS événements incluent ces EventBridge champs Amazon standard
+ *version : version* du format de l' EventBridge événement
+ *id :* identifiant unique de l'événement
+ *detail-type :* description lisible par l'homme du type d'événement
+ *source :* Toujours « aws.security-ir » pour les événements de réponse aux incidents de sécurité
+ *compte :* identifiant AWS du compte où l'événement s'est produit
+ *heure :* horodatage ISO 8601 lorsque l'événement s'est produit
+ *région :* Région AWS où se trouve la ressource
+ *resources :* tableau contenant l'ARN de la ressource affectée
**Champs détaillés :** L'`detail`objet contient des informations spécifiques à la réponse aux incidents de sécurité
+ *CaseID :* identifiant unique du dossier (événements liés au dossier uniquement)
+ *MembershipID* : identifiant unique de l'adhésion (événements réservés aux membres)
+ *UpdatedBy :* qui a effectué la mise à jour (événements de mise à jour des dossiers et des commentaires uniquement)
+ *CreatedBy :* Qui a créé l'entité (événements de création de cas et de commentaires uniquement)
**Valeurs des acteurs :** les `createdBy` champs `updatedBy` et peuvent contenir
+ *AWS Répondeur :* action exécutée par un répondeur AWS de sécurité
+ *`security-ir.amazonaws.com`:* action exécutée automatiquement par le service
+ *ID de compte :* action effectuée par le client (par exemple, « 111122223333 »)
**Valeurs ARN des ressources : les** Réponse aux incidents de sécurité AWS ressources utilisent ces formats d'ARN
+ *Affaires :* `arn:aws:security-ir:{region}:{account-id}:case/{case-id}`
+ *Adhésions :* `arn:aws:security-ir:{region}:{account-id}:membership/{membership-id}`
# Événements liés à l'affaire
Dossier créé par AWS Responder
```
{
"version": "0",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"detail-type": "Case Created",
"source": "aws.security-ir",
"account": "111122223333",
"time": "2023-05-12T00:00:00Z",
"region": "us-west-2",
"resources": [
"arn:aws:security-ir:us-west-2:111122223333:case/1234567890"
],
"detail": {
"caseId": "1234567890",
"createdBy": "AWS Responder"
}
}
```
Dossier créé par le service
```
{
"version": "0",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"detail-type": "Case Created",
"source": "aws.security-ir",
"account": "111122223333",
"time": "2023-05-12T00:00:00Z",
"region": "us-west-2",
"resources": [
"arn:aws:security-ir:us-west-2:111122223333:case/1234567890"
],
"detail": {
"caseId": "1234567890",
"createdBy": "security-ir.amazonaws.com"
}
}
```
Dossier créé par le client
```
{
"version": "0",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"detail-type": "Case Created",
"source": "aws.security-ir",
"account": "111122223333",
"time": "2023-05-12T00:00:00Z",
"region": "us-west-2",
"resources": [
"arn:aws:security-ir:us-west-2:111122223333:case/1234567890"
],
"detail": {
"caseId": "1234567890",
"createdBy": "111122223333"
}
}
```
Dossier mis à jour par le AWS répondeur
```
{
"version": "0",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"detail-type": "Case Updated",
"source": "aws.security-ir",
"account": "111122223333",
"time": "2023-05-12T01:30:00Z",
"region": "us-west-2",
"resources": [
"arn:aws:security-ir:us-west-2:111122223333:case/1234567890"
],
"detail": {
"caseId": "1234567890",
"updatedBy": "AWS Responder"
}
}
```
Dossier mis à jour par AWS le client
```
{
"version": "0",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"detail-type": "Case Updated",
"source": "aws.security-ir",
"account": "111122223333",
"time": "2023-05-12T02:15:00Z",
"region": "us-west-2",
"resources": [
"arn:aws:security-ir:us-west-2:111122223333:case/1234567890"
],
"detail": {
"caseId": "1234567890",
"updatedBy": "111122223333"
}
}
```
Dossier mis à jour par le Réponse aux incidents de sécurité AWS service
```
{
"version": "0",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"detail-type": "Case Updated",
"source": "aws.security-ir",
"account": "111122223333",
"time": "2023-05-12T03:45:00Z",
"region": "us-west-2",
"resources": [
"arn:aws:security-ir:us-west-2:111122223333:case/1234567890"
],
"detail": {
"caseId": "1234567890",
"updatedBy": "security-ir.amazonaws.com"
}
}
```
Affaire classée
```
{
"version": "0",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"detail-type": "Case Closed",
"source": "aws.security-ir",
"account": "111122223333",
"time": "2023-05-15T14:22:00Z",
"region": "us-west-2",
"resources": [
"arn:aws:security-ir:us-west-2:111122223333:case/1234567890"
],
"detail": {
"caseId": "1234567890"
}
}
```
# Événements relatifs aux commentaires sur les cas
Commentaire de cas créé par AWS Responder
```
{
"version": "0",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"detail-type": "Case Comment Created",
"source": "aws.security-ir",
"account": "111122223333",
"time": "2023-05-12T04:30:00Z",
"region": "us-west-2",
"resources": [
"arn:aws:security-ir:us-west-2:111122223333:case/1234567890"
],
"detail": {
"caseId": "1234567890",
"createdBy": "AWS Responder"
}
}
```
Commentaire de dossier créé par le client
```
{
"version": "0",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"detail-type": "Case Comment Created",
"source": "aws.security-ir",
"account": "111122223333",
"time": "2023-05-12T02:15:00Z",
"region": "us-west-2",
"resources": [
"arn:aws:security-ir:us-west-2:111122223333:case/1234567890"
],
"detail": {
"caseId": "1234567890",
"createdBy": "111122223333"
}
}
```
Commentaire de dossier créé par le Réponse aux incidents de sécurité AWS service
```
{
"version": "0",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"detail-type": "Case Comment Created",
"source": "aws.security-ir",
"account": "111122223333",
"time": "2023-05-12T02:15:00Z",
"region": "us-west-2",
"resources": [
"arn:aws:security-ir:us-west-2:111122223333:case/1234567890"
],
"detail": {
"caseId": "1234567890",
"createdBy": "security-ir.amazonaws.com"
}
}
```
Commentaire du dossier mis à jour par le client
```
{
"version": "0",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"detail-type": "Case Comment Updated",
"source": "aws.security-ir",
"account": "111122223333",
"time": "2023-05-12T02:45:00Z",
"region": "us-west-2",
"resources": [
"arn:aws:security-ir:us-west-2:111122223333:case/1234567890"
],
"detail": {
"caseId": "1234567890",
"updatedBy": "111122223333"
}
}
```
Commentaire du dossier mis à jour par le Réponse aux incidents de sécurité AWS service
```
{
"version": "0",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"detail-type": "Case Comment Updated",
"source": "aws.security-ir",
"account": "111122223333",
"time": "2023-05-12T02:45:00Z",
"region": "us-west-2",
"resources": [
"arn:aws:security-ir:us-west-2:111122223333:case/1234567890"
],
"detail": {
"caseId": "1234567890",
"updatedBy": "security-ir.amazonaws.com"
}
}
```
Commentaire de cas créé par AWS Responder
```
{
"version": "0",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"detail-type": "Case Comment Updated",
"source": "aws.security-ir",
"account": "111122223333",
"time": "2023-05-12T02:45:00Z",
"region": "us-west-2",
"resources": [
"arn:aws:security-ir:us-west-2:111122223333:case/1234567890"
],
"detail": {
"caseId": "1234567890",
"updatedBy": "AWS Responder"
}
}
```
# Événements pour les membres
Adhésion créée
```
{
"version": "0",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"detail-type": "Membership Created",
"source": "aws.security-ir",
"account": "111122223333",
"time": "2023-04-01T10:00:00Z",
"region": "us-west-2",
"resources": [
"arn:aws:security-ir:us-west-2:111122223333:membership/m-1234567890abcdef0"
],
"detail": {
"membershipId": "m-1234567890abcdef0"
}
}
```
Adhésion mise à jour
```
{
"version": "0",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"detail-type": "Membership Updated",
"source": "aws.security-ir",
"account": "111122223333",
"time": "2023-04-15T16:30:00Z",
"region": "us-west-2",
"resources": [
"arn:aws:security-ir:us-west-2:111122223333:membership/m-1234567890abcdef0"
],
"detail": {
"membershipId": "m-1234567890abcdef0"
}
}
```
Abonnement annulé
```
{
"version": "0",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"detail-type": "Membership Closed",
"source": "aws.security-ir",
"account": "111122223333",
"time": "2023-06-30T23:59:59Z",
"region": "us-west-2",
"resources": [
"arn:aws:security-ir:us-west-2:111122223333:membership/m-1234567890abcdef0"
],
"detail": {
"membershipId": "m-1234567890abcdef0"
}
}
```
Abonnement résilié
```
{
"version": "0",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"detail-type": "Membership Terminated",
"source": "aws.security-ir",
"account": "111122223333",
"time": "2023-07-01T00:00:00Z",
"region": "us-west-2",
"resources": [
"arn:aws:security-ir:us-west-2:111122223333:membership/m-123456s7890abcdef0"
],
"detail": {
"membershipId": "m-1234567890abcdef0"
}
}
```