Security Incident Response 이벤트 세부 정보 참조 - AWS 보안 인시던트 대응 사용 설명서

Security Incident Response 이벤트 세부 정보 참조

AWS 서비스의 모든 이벤트에는 이벤트의 소스인 AWS 서비스, 이벤트가 생성된 시간, 이벤트가 발생한 계정 및 리전 등과 같은 이벤트에 대한 메타데이터를 포함하는 공통 필드 집합이 있습니다. 이러한 일반 필드에 대한 정의는 Amazon EventBridge 사용 설명서이벤트 구조 참조를 참조하세요.

또한 각 이벤트에는 해당 특정 이벤트와 관련된 데이터를 포함하는 detail 필드가 있습니다. 다음 참조는 다양한 Security Incident Response 이벤트에 대한 세부 정보 필드를 정의합니다.

EventBridge를 사용하여 Security Incident Response 이벤트를 선택하고 관리할 때는 다음 사항을 염두에 두는 것이 유용합니다.

  • Security Incident Response의 모든 이벤트에 대한 source 필드는 "aws.security-ir"로 설정됩니다.

  • detail-type 필드는 이벤트 유형을 지정합니다.

    예를 들어 "Case Updated"입니다.

  • detail 필드는 해당 특정 이벤트와 관련된 데이터를 포함합니다.

Security Incident Response 이벤트와 일치하는 규칙을 활성화하는 이벤트 패턴을 구성하는 방법에 대한 자세한 내용은 Amazon EventBridge 사용 설명서Event patterns를 참조하세요.

이벤트 및 EventBridge가 이벤트를 처리하는 방법에 대한 자세한 내용은 Amazon EventBridge 사용 설명서EventBridge 이벤트를 참조하세요.

공통 필드: 모든 AWS 보안 인시던트 대응 이벤트에는 이러한 표준 Amazon EventBridge 필드가 포함됩니다.

  • version: EventBridge 이벤트 형식 버전

  • id: 이벤트의 고유 식별자

  • detail-type: 사람이 읽을 수 있는 이벤트 유형 설명

  • source: Security Incident Response 이벤트의 경우 항상 ‘aws.security-ir’

  • 계정: 이벤트가 발생한 AWS 계정 ID입니다.

  • 타임 – 이벤트가 발생한 시점의 ISO 8601 타임스탬프입니다.

  • 리소스: 리소스가 존재하는 AWS 리전입니다.

  • resources: 영향을 받는 리소스의 ARN이 포함된 배열

세부 정보 필드: detail 객체에는 Security Incident Response 관련 정보가 포함됩니다.

  • caseId: 사례의 고유 식별자(사례 이벤트만 해당)

  • membershipId: 멤버십의 고유 식별자(멤버십 이벤트만 해당)

  • updatedBy: 업데이트를 수행한 사람(사례 및 설명 업데이트 이벤트만 해당)

  • createdBy: 엔터티를 생성한 사람(사례 및 설명 생성 이벤트만 해당)

행위자 값: updatedBycreatedBy 필드에는 다음이 포함될 수 있습니다.

  • AWS Responder: AWS 보안 대응 담당자가 수행하는 작업

  • security-ir.amazonaws.com: 서비스에서 자동으로 수행하는 작업

  • Account ID: 고객이 수행하는 작업(예: ‘111122223333’)

리소스 ARN 값: AWS 보안 인시던트 대응 리소스는 다음 ARN 형식을 사용합니다.

  • 사례: arn:aws:security-ir:{region}:{account-id}:case/{case-id}

  • 멤버십: arn:aws:security-ir:{region}:{account-id}:membership/{membership-id}