Référence détaillée des événements de réponse aux incidents de sécurité - Réponse aux incidents de sécurité AWS Guide de l'utilisateur

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Référence détaillée des événements de réponse aux incidents de sécurité

Tous les événements issus AWS des services ont un ensemble commun de champs contenant des métadonnées relatives à l'événement, telles que le AWS service à l'origine de l'événement, l'heure à laquelle l'événement a été généré, le compte et la région dans lesquels l'événement a eu lieu, etc. Pour les définitions de ces champs généraux, consultez la référence relative à la structure des événements dans le guide de EventBridge l'utilisateur Amazon.

En outre, chaque événement possède un champ detail qui contient des données spécifiques à cet événement en particulier. La référence ci-dessous définit les champs détaillés pour les différents événements de réponse aux incidents de sécurité.

Lors EventBridge de l'utilisation pour sélectionner et gérer les événements de réponse aux incidents de sécurité, il est utile de garder à l'esprit les points suivants :

  • Le source champ pour tous les événements de Security Incident Response est défini sur"aws.security-ir".

  • Le champ detail-type indique le type d'événement.

    Par exemple, "Case Updated".

  • Le champ detail contient les données spécifiques à cet événement en particulier.

Pour plus d'informations sur la création de modèles d'événements permettant aux règles de correspondre aux événements de réponse aux incidents de sécurité, consultez la section Modèles d'événements dans le guide de EventBridge l'utilisateur Amazon.

Pour plus d'informations sur les événements et leur EventBridge traitement, consultez le guide de l' EventBridge utilisateur Amazon consacré aux EventBridge événements.

Champs communs : tous les Réponse aux incidents de sécurité AWS événements incluent ces EventBridge champs Amazon standard

  • version : version du format de l' EventBridge événement

  • id : identifiant unique de l'événement

  • detail-type : description lisible par l'homme du type d'événement

  • source : Toujours « aws.security-ir » pour les événements de réponse aux incidents de sécurité

  • compte : identifiant AWS du compte où l'événement s'est produit

  • heure : horodatage ISO 8601 lorsque l'événement s'est produit

  • région : Région AWS où se trouve la ressource

  • resources : tableau contenant l'ARN de la ressource affectée

Champs détaillés : L'detailobjet contient des informations spécifiques à la réponse aux incidents de sécurité

  • CaseID : identifiant unique du dossier (événements liés au dossier uniquement)

  • MembershipID : identifiant unique de l'adhésion (événements réservés aux membres)

  • UpdatedBy : qui a effectué la mise à jour (événements de mise à jour des dossiers et des commentaires uniquement)

  • CreatedBy : Qui a créé l'entité (événements de création de cas et de commentaires uniquement)

Valeurs des acteurs : les createdBy champs updatedBy et peuvent contenir

  • AWS Répondeur : action exécutée par un répondeur AWS de sécurité

  • security-ir.amazonaws.com: action exécutée automatiquement par le service

  • ID de compte : action effectuée par le client (par exemple, « 111122223333 »)

Valeurs ARN des ressources : les Réponse aux incidents de sécurité AWS ressources utilisent ces formats d'ARN

  • Affaires : arn:aws:security-ir:{region}:{account-id}:case/{case-id}

  • Adhésions : arn:aws:security-ir:{region}:{account-id}:membership/{membership-id}