本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 Amazon EventBridge 管理安全事件回應事件
Amazon EventBridge 是一種無伺服器服務,該服務使用事件將應用程式元件連接在一起,讓您更輕鬆地建置可擴展的事件驅動型應用程式。事件驅動型架構是一種建置鬆耦合軟體系統的方式,透過發出和回應事件來協作。事件代表資源或環境中的變更。
以下是其運作方式:
如同許多 AWS 服務,安全事件回應會產生事件並將其傳送至 EventBridge 預設事件匯流排。(預設事件匯流排會自動在您的 AWS 帳戶中佈建。) 事件匯流排是接收事件,並將事件傳遞至零個或多個目的地或*目標*的路由器。為事件匯流排指定的規則會在事件到達時評估事件。每項規則都會檢查事件是否與規則的*事件模式*相符。如果事件不相符,事件匯流排會將事件傳送至指定的目標。
![\[AWS 服務會將事件傳送至 EventBridge 預設事件匯流排。如果事件與規則的事件模式相符,則 EventBridge 會將事件傳送至該規則的指定目標。\]](http://docs.aws.amazon.com/zh_tw/security-ir/latest/userguide/images/eventbridge-integration-how-it-works.png)
## 使用 EventBridge 規則傳遞安全事件回應事件
若要讓 EventBridge 預設事件匯流排將安全事件回應事件傳送至目標,您必須建立 規則。每個規則都包含事件模式,EventBridge 會比對事件匯流排上收到的每個事件。如果事件資料符合指定的事件模式,EventBridge 會將該事件交付至規則的目標 (s)。
如需建立事件匯流排規則的完整說明,請參閱《*Amazon EventBridge 使用者指南*》中的[建立對事件做出反應的規則](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html)。
### 建立符合安全事件回應事件的事件模式
每個事件模式都是 JSON 物件,它包含:
+ 識別傳送事件之服務的 `source` 屬性。對於安全事件回應事件,來源為 `"aws.security-ir"`。
+ (選擇性):包含要比對之事件類型陣列的 `detail-type` 屬性。
+ (選擇性):包含要比對的任何其他事件資料的 `detail` 屬性。
例如,下列事件模式符合指定 的所有`Case Updated by AWS 安全事件應變 Service`事件 AWS 帳戶:
```
{
"version": "0",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"detail-type": "Case Updated",
"source": "aws.security-ir",
"account": "111122223333",
"time": "2023-05-12T03:45:00Z",
"region": "us-west-2",
"resources": [
"arn:aws:security-ir:us-west-2:111122223333:case/1234567890"
],
"detail": {
"caseId": "1234567890",
"updatedBy": "security-ir.amazonaws.com"
}
}
```
如需撰寫事件模式的詳細資訊,請參閱《[EventBridge 使用者指南》中的事件模式](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html)。 *EventBridge *