Comment configurer les règles EventBridge afin que GuardDuty envoie des notifications SNS personnalisées pour des types de résultats de service spécifiques ?

Résolution

Prérequis : Créez une rubrique Amazon SNS. La rubrique Amazon SNS doit se trouver dans la même région AWS que votre service GuardDuty.

Pour configurer les règles EventBridge afin que GuardDuty envoie des notifications SNS personnalisées, procédez comme suit :

1. Ouvrez la console EventBridge.

2. Dans la section Bus, sélectionnez Règles.

3. Choisissez Créer une règle, puis procédez comme suit pour configurer la règle :
   Saisissez un nom et une description.
   Dans Bus d’événement, choisissez Par défaut.
   Dans Type de règle, sélectionnez Règle avec un modèle d’événement.

4. Sélectionnez Suivant.

5. Dans Modèle d'événement, effectuez les étapes suivantes :
   Dans Source de l'événement, sélectionnez AWS.
   Dans Service AWS, choisissez GuardDuty.
   Dans Type d'événement, choisissez Résultat GuardDuty.

6. Dans la section d’aperçu Modèle d'événement, choisissez Modifier le modèle.

7. Dans la zone de texte JSON, saisissez le code suivant :

   {
     "source": ["aws.guardduty"],
     "detail": {
       "type": ["Backdoor:EC2/C&CActivity.B!DNS"]
     }
   }

   Remarque : Remplacez Backdoor:EC2/C&CActivity.B!DNS par votre type de résultat. Pour tester le type de résultat Backdoor:EC2/C&CActivity.B!DNS, envoyez une requête DNS depuis une instance Amazon Elastic Compute Cloud (Amazon EC2) au domaine de test guarddutyc2activityb.com. Vous pouvez exécuter la commande dig pour Linux ou la commande nslookup pour Windows. Le résultat est généré en quelques minutes.

8. Sélectionnez Suivant.

9. Dans Types de cibles, sélectionnez Service AWS.

10. Dans Sélectionner une cible, sélectionnez Rubrique SNS.

11. Dans Rubrique, sélectionnez votre rubrique.

12. (Facultatif) Configurez un transformeur d'entrée.
    Dans la section Transformeur d’entrée cible, pour Chemin d'entrée, saisissez le chemin JSON suivant dans la zone de texte :

{
  "severity": "$.detail.severity",
  "Finding_ID": "$.detail.id",
  "instanceId": "$.detail.resource.instanceDetails.instanceId",
  "port": "$.detail.service.action.networkConnectionAction.localPortDetails.port",
  "eventFirstSeen": "$.detail.service.eventFirstSeen",
  "eventLastSeen": "$.detail.service.eventLastSeen",
  "count": "$.detail.service.count",
  "Finding_Type": "$.detail.type",
  "region": "$.region",
  "Finding_description": "$.detail.description"
}

Dans Modèle, saisissez le modèle de chaîne suivant dans la zone de texte :

"You have a new GuardDuty alert. View finding in console - https://console.aws.amazon.com/guardduty/home?REGION=#/findings?search=id%3DFINDING_ID "

Remarque : Dans le modèle, conservez l'espace final après FINDING_ID afin que le guillemet fermant n'interrompe pas l'URL de la notification SNS. Le chemin d'entrée utilise des attributs spécifiques issus du résultat GuardDuty. Pour plus d'informations sur les filtres disponibles, consultez la section Filtres de propriétés dans GuardDuty. Sélectionnez Suivant. (Facultatif) Ajoutez des identifications à votre règle, puis sélectionnez Suivant. Vérifiez les détails de la règle, puis choisissez Créer une règle.

Lorsque GuardDuty génère le type de résultat, EventBridge envoie la notification SNS au point de terminaison que vous avez spécifié dans les 5 minutes. Pour configurer les notifications SNS pour tous les types de résultats GuardDuty, consultez la section Traitement des résultats GuardDuty avec Amazon EventBridge.

Informations connexes

Création de règles Amazon EventBridge qui réagissent aux événements

Tutoriel : Utiliser des transformeurs d'entrée pour transformer les événements dans EventBridge

Comment puis-je résoudre les problèmes liés aux notifications Amazon SNS personnalisées provenant de GuardDuty qui ne sont pas livrées ?