Wie konfiguriere ich EventBridge-Regeln für GuardDuty, um benutzerdefinierte SNS-Benachrichtigungen für bestimmte Arten der Diensterkennung zu senden?

Behebung

Voraussetzung: Erstelle ein Amazon-SNS-Thema. Das Amazon-SNS-Thema muss sich in derselben AWS-Region wie dein GuardDuty-Service befinden.

Gehe wie folgt vor, um EventBridge-Regeln für GuardDuty zum Senden benutzerdefinierter SNS-Benachrichtigungen zu konfigurieren:

1. Öffne die EventBridge-Konsole.

2. Wähle im Abschnitt Busse die Option Regeln aus.

3. Wähle Regel erstellen aus und führe dann die folgenden Schritte aus, um die Regel zu konfigurieren:
   Gib einen Namen und eine Beschreibung ein.
   Wähle für Event Bus die Option Standard aus.
   Wähle als Regeltyp Regel mit einem Ereignismuster aus.

4. Wähle Weiter.

5. Führe unter Ereignismuster die folgenden Schritte aus:
   Wähle als Ereignisquelle die Option AWS-Services aus.
   Wähle für AWS-Service die Option GuardDuty aus.
   Wähle als Ereignistyp die Option GuardDuty-Erkenntnis aus.

6. Wähle im Ereignismuster-Vorschauabschnitt die Option Muster bearbeiten aus.

7. Gib in das JSON-Textfeld den folgenden Code ein:

   {
     "source": ["aws.guardduty"],
     "detail": {
       "type": ["Backdoor:EC2/C&CActivity.B!DNS"]
     }
   }

   Hinweis: Ersetze Backdoor:EC2/C&CActivity.B!DNS durch deinen Erkenntnistyp. Um den Erkenntnistyp Backdoor:EC2/C&CActivity.B!DNS zu testen, sende eine DNS-Anfrage von einer Amazon Elastic Compute Cloud (Amazon EC2)-Instance an die Testdomain guarddutyc2activityb.com. Du kannst den Befehl dig für Linux oder den Befehl nslookup für Windows ausführen. Die Erkenntnis wird innerhalb weniger Minuten generiert.

8. Wähle Weiter.

9. Wähle als Zieltypen AWS-Service aus.

10. Wähle unter Ein Ziel auswählen die Option SNS-Thema aus.

11. Wähle Thema dein Thema aus.

12. (Optional) Konfiguriere einen Eingabetransformator.
    Gib im Abschnitt Zieleingabetransformator für Eingabepfad den folgenden JSON-Pfad in das Textfeld ein:

{
  "severity": "$.detail.severity",
  "Finding_ID": "$.detail.id",
  "instanceId": "$.detail.resource.instanceDetails.instanceId",
  "port": "$.detail.service.action.networkConnectionAction.localPortDetails.port",
  "eventFirstSeen": "$.detail.service.eventFirstSeen",
  "eventLastSeen": "$.detail.service.eventLastSeen",
  "count": "$.detail.service.count",
  "Finding_Type": "$.detail.type",
  "region": "$.region",
  "Finding_description": "$.detail.description"
}

Gib für Vorlage die folgende Zeichenfolgenvorlage in das Textfeld ein:

"You have a new GuardDuty alert. View finding in console - https://console.aws.amazon.com/guardduty/home?REGION=#/findings?search=id%3DFINDING_ID "

Hinweis: Lass in der Vorlage das Leerzeichen hinter FINDING_ID stehen, damit das schließende Anführungszeichen die URL in der SNS-Benachrichtigung nicht unterbricht. Der Eingabepfad verwendet bestimmte Attribute aus der GuardDuty-Erkenntnis. Weitere Informationen zu verfügbaren Filtern findest du unter Eigenschaftsfilter in GuardDuty. Wähle Weiter. (Optional) Füge deiner Regel Tags hinzu und wähle dann Nächster Schritt aus. Überprüfe die Regeldetails und wähle dann Regel erstellen aus.

Wenn GuardDuty den Erkenntnistyp generiert, sendet EventBridge die SNS-Benachrichtigung innerhalb von 5 Minuten an deinen angegebenen Endpunkt. Informationen zum Einrichten von SNS-Benachrichtigungen für alle GuardDuty-Erkenntnistypen findest du unter GuardDuty-Erkenntnisse mit Amazon EventBridge verarbeiten.

Ähnliche Informationen

Regeln erstellen, die auf Ereignisse in Amazon EventBridge reagieren

Tutorial: Verwendung von Input-Transformern, um Ereignisse in EventBridge zu transformieren

Wie kann ich Probleme mit benutzerdefinierten GuardDuty-Amazon-SNS-Benachrichtigungen beheben, die nicht zugestellt werden?