安全事件响应事件详细信息参考 - AWS 安全事件响应 用户指南

安全事件响应事件详细信息参考

来自 AWS 服务的所有事件都有一组公共字段,其中包含有关事件的元数据,例如作为事件来源的 AWS 服务、事件的生成时间、事件发生的账户和区域。有关这些常规字段的定义,请参阅《Amazon EventBridge User Guide》中的 Event structure reference

此外,每个事件都有一个 detail 字段,其中包该特定事件专有的数据。下面的引用内容定义了各种安全事件响应事件的详细信息字段。

在使用 EventBridge 选择和管理安全事件响应事件时,请记住以下几点:

  • 安全事件响应中所有事件的 source 字段均设置为 "aws.security-ir"

  • detail-type 字段指定事件类型。

    例如 "Case Updated"

  • detail 字段包含该特定事件专有的数据。

有关如何构造使规则能够与安全事件响应事件匹配的事件模式的信息,请参阅《Amazon EventBridge User Guide》中的 Event patterns

有关事件以及 EventBridge 如何处理事件的更多信息,请参阅《Amazon EventBridge 用户指南》中的 EventBridge 事件

常用字段:所有 AWS 安全事件响应事件都包含这些标准的 Amazon EventBridge 字段

  • version:EventBridge 事件格式版本

  • id:事件的唯一标识符

  • detail-type:人类可读的事件类型描述

  • source:对于安全事件响应事件,始终是“aws.security-ir”

  • account:发生事件的 AWS 账户 ID

  • time:事件发生时的 ISO 8601 时间戳

  • region:资源所在的 AWS 区域

  • resources:包含受影响资源 ARN 的数组

详细信息字段:detail 对象包含特定于安全事件响应的信息

  • caseId:案例的唯一标识符(仅限案例事件)

  • membershipId:会员资格的唯一标识符(仅限会员事件)

  • updatedBy:执行了更新的人员(仅限案例和评论更新事件)

  • createdBy:创建了实体的人员(仅限案例和评论创建事件)

操作人员值:updatedBycreatedBy 字段可能包含

  • AWS Responder:AWS 安全响应者执行的操作

  • security-ir.amazonaws.com服务自动执行的操作

  • Account ID:客户执行的操作(例如,“111122223333”)

资源 ARN 值:AWS 安全事件响应资源会使用以下 ARN 格式

  • Cases:arn:aws:security-ir:{region}:{account-id}:case/{case-id}

  • Memberships:arn:aws:security-ir:{region}:{account-id}:membership/{membership-id}