本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
安全事件回應事件詳細資訊參考
AWS 服務中的所有事件都有一組通用的欄位,其中包含事件的中繼資料,例如事件來源 AWS 的服務、事件產生的時間、事件發生的帳戶和區域,以及其他。如需這些一般欄位的定義,請參閱《Amazon EventBridge 使用者指南》中的事件結構描述參考。
此外,每個事件都有一個 detail 欄位,其中包含該特定事件的特定資料。以下參考定義了各種安全事件回應事件的詳細資訊欄位。
使用 EventBridge 來選取和管理安全事件回應事件時,請謹記下列事項:
-
來自安全事件回應的所有事件的
source欄位設定為"aws.security-ir"。 -
detail-type欄位指定事件類型。例如
"Case Updated"。 -
detail欄位包含該特定事件的特定資料。
如需有關建構事件模式以讓規則符合安全事件回應事件的資訊,請參閱《Amazon EventBridge 使用者指南》中的事件模式。
如需有關事件以及 EventBridge 如何處理事件的詳細資訊,請參閱《Amazon EventBridge 使用者指南》中的 EventBridge 事件。
常見欄位:所有 AWS 安全事件應變 事件都包含這些標準 Amazon EventBridge 欄位
版本:EventBridge 事件格式版本
id:事件的唯一識別符
detail-type:事件類型的人類可讀描述
來源:安全事件回應事件一律為 "aws.security-ir"
事件發生的 account: AWS account ID
時間:事件發生時的 ISO 8601 時間戳記
region: AWS 區域 資源的存在位置
資源:包含受影響資源 ARN 的陣列
詳細資訊欄位: detail 物件包含安全事件回應特定資訊
caseId:案例的唯一識別符 (僅限案例事件)
membershipId:成員資格的唯一識別符 (僅限成員事件)
updatedBy:誰執行更新 (僅限案例和評論更新事件)
createdBy:建立實體的人員 (僅限案例和評論建立事件)
演員值: updatedBy和 createdBy 欄位可包含
AWS 回應者:由 AWS 安全回應者執行的動作
security-ir.amazonaws.com:服務自動執行的動作帳戶 ID:客戶執行的動作 (例如 "111122223333")
資源 ARN 值: AWS 安全事件應變 資源使用這些 ARN 格式
案例:
arn:aws:security-ir:{region}:{account-id}:case/{case-id}成員資格:
arn:aws:security-ir:{region}:{account-id}:membership/{membership-id}
