Tutorial: Gerenciando incidentes de segurança no Incident Manager - Incident Manager

AWS Systems Manager Incident Manager não está mais aberto a novos clientes. Os clientes atuais podem continuar usando o serviço normalmente. Para obter mais informações, consulte Mudança de disponibilidade do AWS Systems Manager Incident Manager.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Tutorial: Gerenciando incidentes de segurança no Incident Manager

Você pode usar AWS Security Hub CSPM a Amazon EventBridge e o Incident Manager juntos para identificar e gerenciar incidentes de segurança em seus aplicativos AWS hospedados. Este tutorial explica como configurar uma EventBridge regra que cria um incidente com base nas descobertas enviadas automaticamente pelo CSPM do Security Hub.

nota

Este tutorial usa o EventBridge Security Hub CSPM. Você pode incorrer em custos com o uso desses serviços.

Pré-requisitos

Neste tutorial, usamos um padrão predefinido para criar a EventBridge regra. Para criar a regra usando um padrão personalizado, consulte Usando um padrão personalizado para criar a regra no guia do AWS Security Hub CSPM usuário.

Crie uma EventBridge regra

  1. Abra o EventBridge console da Amazon em https://console.aws.amazon.com/events/.

  2. No painel de navegação, escolha Regras.

  3. Escolha Create rule.

  4. Insira um Name (Nome) e uma Description (Descrição) para a regra.

    Uma regra não pode ter o mesmo nome que outra na mesma Região e barramento de eventos.

  5. Em Barramento de eventos, escolha padrão.

  6. Em Rule type, escolha Rule with an event pattern.

  7. Escolha Próximo.

  8. Em Origem do evento, escolha AWS eventos ou eventos de EventBridge parceiros.

  9. Em Padrão de evento, selecione Formulário de padrão de evento.

  10. Em Fonte do evento, selecione Serviços da AWS .

  11. Para o AWS serviço, escolha Security Hub CSPM.

  12. Em Tipo de evento, escolha Security Hub CSPM Findings - Imported.

  13. Por padrão, EventBridge configura o padrão do evento sem nenhum valor de filtro. Para cada atributo, a attribute name opção Qualquer é selecionada. Atualize esses filtros para criar incidentes com base nas descobertas de segurança que mais afetam seu ambiente.

  14. Clique em Next.

  15. Em Tipos de destino, escolha Serviço da AWS .

  16. Em Selecionar um destino, escolha plano de resposta do Incident Manager.

  17. Em Plano de resposta, escolha um plano de resposta para usar como modelo para os incidentes criados.

  18. EventBridge pode criar a função do IAM necessária para que sua regra seja executada.

    • Para criar um perfil do IAM automaticamente, escolha Criar novo perfil para este recurso específico.

    • Para usar um perfil do IAM já existente, escolha Usar perfil existente.

  19. (Opcional) Insira uma ou mais tags para a regra.

  20. Escolha Próximo.

  21. Analise os detalhes da regra e selecione Criar regra.

Agora que você criou essa EventBridge regra, as descobertas de segurança que correspondem aos valores dos atributos que você definiu criarão incidentes no Incident Manager. Você pode fazer a triagem, gerenciar, monitorar e criar análises pós-incidentes a partir desses incidentes.