Security Incident Response イベントの詳細リファレンス - AWS Security Incident Response ユーザーガイド

Security Incident Response イベントの詳細リファレンス

AWS サービスのすべてのイベントには、イベントのソースである AWS サービス、イベントが生成された時刻、イベントが発生したアカウントと地域など、イベントに関するメタデータを含む共通のフィールドセットがあります。これらの一般的なフィールドの定義については、「Amazon EventBridge ユーザーガイド」の「イベント構造リファレンス」を参照してください。

さらに、各イベントには、その特定のイベントに固有のデータを含む detail フィールドがあります。以下のリファレンスでは、さまざまな Security Incident Response イベントの詳細フィールドを定義しています。

EventBridge を使用して Security Incident Response イベントの選択と管理を行う場合、以下の点に留意するのが有用です。

  • Security Incident Response からのすべてのイベントの source フィールドは "aws.security-ir" に設定されます。

  • detail-type フィールドはイベントタイプを指定します。

    例えば、"Case Updated"

  • detail フィールドには、その特定のイベントに固有のデータが含まれます。

Security Incident Response イベントに一致するようにルールを有効化するイベントパターンの作成方法については、「Amazon EventBridge ユーザーガイド」の「Event patterns」を参照してください。

イベントおよび EventBridge がイベントを処理する方法の詳細については、「Amazon EventBridge ユーザーガイド」の「EventBridge イベント」を参照してください。

共通フィールド: すべての AWS Security Incident Response イベントには、これらの標準 Amazon EventBridge フィールドが含まれます。

  • version: EventBridge イベント形式バージョン

  • id: イベントの一意の識別子

  • detail-type: イベントタイプの人間が読み取れる説明

  • source: Security Incident Response イベントの場合は常に「aws.security-ir」

  • account: イベントが発生した AWS アカウント ID

  • time: イベントが発生したときの ISO 8601 タイムスタンプ

  • region: リソースが存在する AWS リージョン

  • resources: 影響を受けたリソースの ARN を含む配列

詳細フィールド: detail オブジェクトには、Security Incident Response 固有の情報が含まれています

  • caseId: ケースの一意の識別子 (ケースイベントのみ)

  • membershipId: メンバーシップの一意の識別子 (メンバーシップイベントのみ)

  • updatedBy: 更新を実行したユーザー (ケースとコメントの更新イベントのみ)

  • createdBy: エンティティを作成したユーザー (ケースとコメントの作成イベントのみ)

アクター値: updatedBy および createdBy フィールドに含めることができます

  • AWS Responder: AWS セキュリティレスポンダーが実行したアクション

  • security-ir.amazonaws.com: サービスによって自動的に実行されたアクション

  • Account ID: お客様によって実行されたアクション (例: "111122223333")

リソース ARN 値: AWS Security Incident Response リソースはこれらの ARN 形式を使用します

  • Cases: arn:aws:security-ir:{region}:{account-id}:case/{case-id}

  • Memberships: arn:aws:security-ir:{region}:{account-id}:membership/{membership-id}