Riferimento dettagliato agli eventi di Security Incident Response - AWS Security Incident Response Guida per l'utente

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Riferimento dettagliato agli eventi di Security Incident Response

Tutti gli eventi generati dai AWS servizi dispongono di un set comune di campi contenenti metadati relativi all'evento, ad esempio il AWS servizio da cui è generato l'evento, l'ora in cui l'evento è stato generato, l'account e la regione in cui si è verificato l'evento e altri. Per le definizioni di questi campi generali, consulta il riferimento alla struttura degli eventi nella Amazon EventBridge User Guide.

Inoltre, ogni evento ha un campo detail che contiene dati specifici per quel particolare evento. Il riferimento seguente definisce i campi di dettaglio per i vari eventi di Security Incident Response.

Quando si utilizza EventBridge per selezionare e gestire gli eventi di Security Incident Response, è utile tenere presente quanto segue:

  • Il source campo per tutti gli eventi di Security Incident Response è impostato su"aws.security-ir".

  • Il campo detail-type specifica il tipo di evento.

    Ad esempio, "Case Updated".

  • Il campo detail contiene i dati specifici di quel particolare evento.

Per informazioni sulla creazione di modelli di eventi che consentono alle regole di corrispondere agli eventi di Security Incident Response, consulta Event pattern nella Amazon EventBridge User Guide.

Per ulteriori informazioni sugli eventi e su come li EventBridge elabora, consulta EventBridge gli eventi nella Amazon EventBridge User Guide.

Campi comuni: tutti AWS Security Incident Response gli eventi includono questi EventBridge campi Amazon standard

  • versione: versione in formato EventBridge evento

  • id: identificatore univoco dell'evento

  • detail-type: descrizione leggibile dall'uomo del tipo di evento

  • fonte: sempre «aws.security-ir» per gli eventi di Security Incident Response

  • account: ID dell'account in cui si è AWS verificato l'evento

  • ora: timestamp ISO 8601 in cui si è verificato l'evento

  • regione: Regione AWS dove esiste la risorsa

  • risorse: Array contenente l'ARN della risorsa interessata

Campi di dettaglio: l'detailoggetto contiene informazioni specifiche sulla risposta agli incidenti di sicurezza

  • CaseID: identificatore univoco per il caso (solo eventi relativi al caso)

  • MembershipiD: identificatore univoco per l'iscrizione (solo eventi di iscrizione)

  • UpdateBy: chi ha eseguito l'aggiornamento (solo eventi di aggiornamento di maiuscole e commenti)

  • CreatedBy: chi ha creato l'entità (solo eventi di creazione di casi e commenti)

Valori degli attori: i createdBy campi updatedBy and possono contenere

  • AWS Risponditore: azione eseguita da un addetto AWS alla sicurezza

  • security-ir.amazonaws.com: Azione eseguita automaticamente dal servizio

  • ID account: azione eseguita dal cliente (ad esempio, «111122223333")

Valori ARN delle risorse: AWS Security Incident Response le risorse utilizzano questi formati ARN

  • Casi: arn:aws:security-ir:{region}:{account-id}:case/{case-id}

  • Abbonamenti: arn:aws:security-ir:{region}:{account-id}:membership/{membership-id}