三歩あるけば物も忘れる

私メタボックル!お腹のお肉の妖精さ!

ユーザ用ツール

サイト用ツール


Aws:SecurityManagement:EventBridge-Others

(書きかけ)93.EventBridge02

「ログメトリクスフィルターとアラームが存在すること」系をEventBridgeに置き換えられないか検討してみた。

発見的対策

EventsBridgeSampleTemplate
AWSTemplateFormatVersion: 2010-09-09

対応項目

Security Hub のイベント取得

        {
          "source": ["aws.securityhub"],
          "detail-type": ["Security Hub Findings - Imported"],
          "detail": {
            "findings": {
              "Compliance": {
                "Status": [{
                    "anything-but": "PASSED"
                }]
              },
              "RecordState": ["ACTIVE"],
              "Resources": {
                "Type": [{
                    "anything-but": "AwsAccount"
                }]
              },
              "Workflow": {
                "Status": ["NEW"]
             }
            }
          }
        }

Access Analyzer のイベント取得

        {
          "source": [
            "aws.access-analyzer"
          ],
          "detail-type": [
            "Access Analyzer Finding","Access Preview State Change"
          ]
        }

GuardDuty のイベント取得

{
  "source": [
    "aws.guardduty"
  ],
  "detail": {
    "type": [
      "UnauthorizedAccess:EC2/MaliciousIPCaller.Custom"
     ]
  }
}

追加したConfigルールのチェック

        {
          "detail": {
            "eventSource": [
              "config.amazonaws.com"
            ],
            "eventName": [
              "PutEvaluations"
            ],
            "requestParameters": {
              "evaluations": {
                "complianceType": [
                  "NON_COMPLIANT"
                ]
              }
            },
            "additionalEventData": {
              "managedRuleIdentifier": ["LAMBDA_INSIDE_VPC","EIP_ATTACHED","CLOUD_TRAIL_ENABLED"]
            }
          }
        }

コメント

コメントを入力:
Y T L E​ O
 
Aws/SecurityManagement/EventBridge-Others.txt · 最終更新: 2022/05/27 by 127.0.0.1