# Amazon EventBridge を使用した Security Incident Response イベントの管理
Amazon EventBridge は、イベントを使用してアプリケーションコンポーネント同士を接続するサーバーレスサービスです。これにより、スケーラブルなイベント駆動型アプリケーションを簡単に構築できます。イベント駆動型アーキテクチャとは、イベントの発信と応答によって連携する、疎結合のソフトウェアシステムを構築するスタイルです。イベントとは、リソースまたは環境で発生した変更を指します。
処理の流れ
多くの AWS サービスと同様に、Security Incident Response は EventBridge のデフォルトのイベントバスにイベントを生成して送信します。(デフォルトのイベントバスは、AWS アカウントで自動的にプロビジョニングされます)。イベントバスは、イベントを受信して、ゼロ個以上の送信先 (*ターゲット*) に配信するルーターです。イベントが受信されると、ユーザーがイベントバスに対して指定したルールによって評価されます。各ルールは、イベントがルールの*イベントパターン*に一致するかどうかをチェックします。一致する場合、イベントバスはそのイベントを指定されたターゲットに送信します。
## EventBridge ルールを使用した Security Incident Response イベントの配信
EventBridge のデフォルトイベントバスで Security Incident Response イベントをターゲットに送信させるには、ルールを作成する必要があります。各ルールにはイベントパターンが含まれており、EventBridge はイベントバスで受信した各イベントと照合します。イベントデータが指定したイベントパターンに一致すると、EventBridge は、ルールのターゲットにそのイベントを送信します。
イベントバスルールの詳細な作成方法については、「*Amazon EventBridge ユーザーガイド*」の「[Creating rules that react to events](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html)」を参照してください。
### Security Incident Response イベントに一致するイベントパターンの作成
各イベントパターンは JSON 形式のオブジェクトで、以下が含まれています。
+ イベントを送信するサービスを識別する `source` 属性。Security Incident Response イベントの場合、ソースは `"aws.security-ir"` です。
+ (オプション): 照合するイベントタイプの配列を含む `detail-type` 属性。
+ (オプション): 照合対象となるその他のイベントデータを含む `detail` 属性。
例えば、以下のイベントパターンは、指定された AWS アカウント のすべての `Case Updated by AWS Security Incident Response Service` イベントと一致します。
```
{
"version": "0",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"detail-type": "Case Updated",
"source": "aws.security-ir",
"account": "111122223333",
"time": "2023-05-12T03:45:00Z",
"region": "us-west-2",
"resources": [
"arn:aws:security-ir:us-west-2:111122223333:case/1234567890"
],
"detail": {
"caseId": "1234567890",
"updatedBy": "security-ir.amazonaws.com"
}
}
```
イベントパターンの記述の詳細については、「*EventBridge ユーザーガイド*」の「[Event patterns](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html)」を参照してください。