# 使用 Amazon EventBridge 管理安全事件响应事件
Amazon EventBridge 是一项无服务器服务,使用事件将应用程序组件连接在一起,可让您更轻松地构建可扩展的事件驱动型应用程序。事件驱动型架构是一种构建松耦合软件系统的风格,这些系统通过发出和响应事件来协同工作。事件代表资源或环境中的变化。
下面将介绍操作方式:
与许多 AWS 服务一样,安全事件响应会生成事件并将其发送到 EventBridge 的默认事件总线。(默认事件总线会在您的 AWS 账户中自动预置。) 事件总线是接收事件并将其传送到零个或多个目的地或*目标*的路由器。为事件总线指定的规则会在事件到达时进行评估。每条规则都会检查事件是否与规则的*事件模式*相匹配。如果事件确实匹配,事件总线会将事件发送到指定的目标。
![\[AWS 服务将事件发送到 EventBridge 默认事件总线。如果事件与规则的事件模式匹配,则 EventBridge 会将事件发送到该规则指定的目标。\]](http://docs.aws.amazon.com/zh_cn/security-ir/latest/userguide/images/eventbridge-integration-how-it-works.png)
## 使用 EventBridge 规则传送安全事件响应事件
要让 EventBridge 默认事件总线将安全事件响应事件发送到目标,必须创建规则。每条规则都包含一个事件模式,EventBridge 将其与在事件总线上接收到的每个事件进行匹配。如果事件数据与指定的事件模式匹配,EventBridge 会将该事件传送给规则的目标。
有关创建事件总线规则的全面说明,请参阅《Amazon EventBridge User Guide》**中的 [Creating rules that react to events](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html)。
### 创建与安全事件响应事件相匹配的事件模式
每个事件模式是一个 JSON 对象,其中包含:
+ 标识发送事件的服务的 `source` 属性。对于安全事件响应事件,来源是 `"aws.security-ir"`。
+ (可选):包含要匹配的事件类型数组的 `detail-type` 属性。
+ (可选):包含要匹配的其他事件数据的 `detail` 属性。
例如,以下事件模式与特定 AWS 账户的所有 `Case Updated by AWS 安全事件响应 Service` 事件相匹配:
```
{
"version": "0",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"detail-type": "Case Updated",
"source": "aws.security-ir",
"account": "111122223333",
"time": "2023-05-12T03:45:00Z",
"region": "us-west-2",
"resources": [
"arn:aws:security-ir:us-west-2:111122223333:case/1234567890"
],
"detail": {
"caseId": "1234567890",
"updatedBy": "security-ir.amazonaws.com"
}
}
```
有关写入事件模式的更多信息,请参阅《EventBridge 用户指南》**中的 [Event patterns](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html)。