Referência detalhada dos eventos da Resposta a Incidentes de Segurança

Todos os eventos dos serviços da AWS têm um conjunto comum de campos contendo metadados sobre o evento, como o serviço da AWS que é a origem do evento, a hora em que o evento foi gerado, a conta e a região em que o evento ocorreu, e outros. Para obter as definições desses campos gerais, consulte Event structure reference no Guia do usuário do Amazon EventBridge.

Além disso, cada evento tem um campo de detail que contém dados específicos desse determinado evento. A referência abaixo define os campos de detalhes para os diversos eventos da Resposta a Incidentes de Segurança.

Ao usar o EventBridge para selecionar e gerenciar eventos da Resposta a Incidentes de Segurança, é útil considerar o seguinte:

O campo source de todos os eventos da Resposta a Incidentes de Segurança é definido como "aws.security-ir".
O campo do detail-type especifica o tipo de evento.

Por exemplo, "Case Updated".
O campo de detail contém os dados específicos desse determinado evento.

Para obter mais informações sobre como desenvolver padrões de eventos que possibilitam que regras correspondam a eventos da Resposta a Incidentes de Segurança, consulte Event patterns no Guia do usuário do Amazon EventBridge.

Consulte mais informações sobre eventos e como o EventBridge os processa em EventBridge events no Guia do usuário do Amazon EventBridge.

Campos comuns: todos os eventos da AWS Security Incident Response incluem os campos padrão do Amazon EventBridge apresentados abaixo

version: versão do formato do evento do EventBridge
id: identificador único para o evento
detail-type: descrição textual e compreensível do tipo de evento
source: sempre “aws.security-ir” para eventos da Resposta a Incidentes de Segurança
account: ID da conta da AWS em que o evento ocorreu
time: carimbo de data/hora no formato ISO 8601 indicando quando o evento ocorreu
region: Região da AWS em que o recurso existe
resources: matriz que contém o ARN do recurso afetado

Campos de detalhes: o objeto detail contém informações específicas da Resposta a Incidentes de Segurança

caseId: identificador exclusivo para o caso (somente para eventos de caso)
membershipId: identificador exclusivo para a associação (somente para eventos de associação)
updatedBy: identifica quem realizou a atualização (somente para eventos de atualização de casos e comentários)
createdBy: identifica quem criou a entidade (somente para eventos de criação de casos e comentários)

Valores possíveis para o ator: os campos updatedBy e createdBy podem conter

AWS Responder: indica uma ação executada por um responsável pela segurança da AWS
security-ir.amazonaws.com: identifica uma ação executada automaticamente pelo serviço
Account ID: identifica uma ação executada pelo cliente (por exemplo, “111122223333”)

Valores de ARN de recursos: os recursos da AWS Security Incident Response usam os seguintes formatos de ARN

Casos: arn:aws:security-ir:{region}:{account-id}:case/{case-id}
Associações: arn:aws:security-ir:{region}:{account-id}:membership/{membership-id}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Gerenciar eventos usando o EventBridge

Eventos relacionados ao caso