用于 ECR 扫描问题的 AWS EventBridge 模式答案

【问题标题】：AWS EventBridge Pattern for ECR Scan Issues用于 ECR 扫描问题的 AWS EventBridge 模式
【发布时间】：2021-01-01 04:26:16
【问题描述】：

我不太明白，当 ECR 扫描返回并发现任何级别的漏洞时，触发 EventBridge 规则所需的事件模式是什么。任何人都可以分享一个允许这样做的事件模式吗？

【问题讨论】：

我已经就此与 AWS Support 进行了交谈，他们确认这是不可能的。他们提出了功能请求以增加支持，但没有 ETA。同时，您能做的最好的事情就是为每种漏洞类型设置一个事件模式。这可能会导致触发多个事件，但这是目前唯一真正的解决方法。

标签： amazon-web-services amazon-ecr aws-event-bridge

【解决方案1】：

您可以在https://docs.aws.amazon.com/AmazonECR/latest/userguide/ecr-eventbridge.html#ecr-eventbridge-bus 找到示例 ECR 扫描事件

{
    "version": "0",
    "id": "85fc3613-e913-7fc4-a80c-a3753e4aa9ae",
    "detail-type": "ECR Image Scan",
    "source": "aws.ecr",
    "account": "123456789012",
    "time": "2019-10-29T02:36:48Z",
    "region": "us-east-1",
    "resources": [
        "arn:aws:ecr:us-east-1:123456789012:repository/my-repo"
    ],
    "detail": {
        "scan-status": "COMPLETE",
        "repository-name": "my-repo",
        "finding-severity-counts": {
           "CRITICAL": 10,
           "MEDIUM": 9
         },
        "image-digest": "sha256:7f5b2640fe6fb4f46592dfd3410c4a79dac4f89e4782432e0378abcd1234",
        "image-tags": []
    }
}

您可以创建一个规则来匹配finding-severity-counts 中的值。你可能会觉得这很有帮助https://docs.aws.amazon.com/eventbridge/latest/userguide/content-filtering-with-event-patterns.html#filtering-exists-matching

【讨论】：

是的，我已经阅读了所有这些内容。它不能解决问题。您目前不能有一个基本上是“如果发现严重性计数存在则匹配”的规则。 AWS Support 已经确认了这一点（请参阅我对原始问题的评论），尽管它已作为功能请求提出。
啊，明白了，这是因为存在匹配仅适用于叶节点。或者，您是否考虑过只有多个规则而不是单个规则。每个严重性一个？
是的，完全考虑到这一点，但我的团队对警报疲劳很敏感。并且可能为单个报告触发多个警报不会很好。无论如何我都会向他们提出建议，但我认为我会保持这个问题开放，以便在我上面提到的功能请求完成时我可以更新。
同一事件的所有事件都有一个唯一的ID（称为事件ID）。您可以在代码中对其进行重复数据删除，以确保仅向下游发送单个事件。
在什么代码中？ EventBridge 规则模式语法不允许任何这种性质的重复数据删除，对吗？我在文档中看不到任何提及此类功能的内容（AWS Support 自己也没有向我提及）。你能举个例子吗？