En utilisant AWS re:Post, vous acceptez les AWS re:Post Conditions d’utilisation

Comment configurer une règle EventBridge pour que GuardDuty envoie des notifications SNS personnalisées pour des types d'événements spécifiques liés au service AWS ?

Lecture de 3 minute(s)
0

J'ai créé une règle Amazon EventBridge pour déclencher des types d'événements de service pour Amazon GuardDuty, mais les réponses sont au format JSON. Je souhaite recevoir une réponse par e-mail avec une notification personnalisée.

Brève description

Utilisez un modèle d'événement personnalisé avec la règle EventBridge pour correspondre à un type de recherche spécifique. Acheminez ensuite la réponse vers une rubrique Amazon Simple Notification Service (Amazon SNS).

Résolution

Cet exemple utilise un type d’événement Amazon GuardDuty UnauthorizedAccess:EC2/MaliciousIPCaller.Custom.

Remarque : Vous pouvez remplacer le nom du service et le type d'événement pour votre service AWS spécifique.

  1. Si vous n'avez pas encore créé de rubrique Amazon SNS, suivez les instructions de la section Premiers pas avec Amazon SNS.

**Remarque :**La rubrique Amazon SNS doit se trouver dans la même région que votre service Amazon GuardDuty.

  1. Ouvrez la console EventBridge.

  2. Sélectionnez Créer une règle.

  3. Entrez un nom pour votre règle. Vous pouvez éventuellement saisir une description.

  4. Sélectionnez le bus auquel s'applique l'événement.

  5. Dans Type de règle, sélectionnez Règle avec un modèle d'événements. Sélectionnez ensuite Suivant.

  6. Sous Modèle d'événement, choisissez les **services AWS ** pour la source de l'événement. Choisissez ensuite GuardDuty pour le service AWS.

  7. Pour le type d'événement, choisissez résultat GuardDuty.

  8. Dans la section d’aperçu du modèle d'événement, sélectionnez Modifier le modèle.

  9. Copiez le code suivant, collez-le dans la section d’aperçu du modèle d'événement, puis choisissez Enregistrer.

{
  "source": [
    "aws.guardduty"
  ],
  "detail": {
    "type": [
      "UnauthorizedAccess:EC2/MaliciousIPCaller.Custom"
    ]
  }
}
  1. Sélectionnez Suivant.

  2. Pour les types de cibles, sélectionnez le service AWS.

  3. Pour Sélectionner une cible, choisissez la rubrique SNS. Sélectionnez ensuite votre sujet dans la liste déroulante.

  4. (Facultatif) Pour configurer un transformateur d'entrée, choisissez la liste déroulante Paramètres supplémentaires.
    Dans la liste déroulante Configurer l'entrée cible, choisissez Transformateur d'entrée.
    Choisissez Configurer le transfert d'entrée. Dans la section Transformateur d'entrée cible, pour Chemin d’entrée, collez le code JSON suivant :

{
  "severity": "$.detail.severity",
  "Finding_ID": "$.detail.id",
  "instanceId": "$.detail.resource.instanceDetails.instanceId",
  "port": "$.detail.service.action.networkConnectionAction.localPortDetails.port",
  "eventFirstSeen": "$.detail.service.eventFirstSeen",
  "eventLastSeen": "$.detail.service.eventLastSeen",
  "count": "$.detail.service.count",
  "Finding_Type": "$.detail.type",
  "region": "$.region",
  "Finding_description": "$.detail.description"
}

Pour plus d'informations sur les filtres disponibles, voir Attributs de filtre.
Pour Modèle, collez le modèle de chaîne suivant :

"You have a new GuardDuty alert. View finding in console - https://console.aws.amazon.com/guardduty/home?<region>=#/findings?search=id%3D<Finding\_ID> "

Choisissez ensuite Confirmer.

  1. Sélectionnez Suivant.

    (Facultatif) Ajoutez des balises à votre règle, puis sélectionnez Suivant.

  2. Vérifiez les détails de la règle, puis sélectionnez Créer une règle.

  3. Sélectionnez Créer au bas de la page.

  4. Si un type d'événement est déclenché, vous recevez une notification SNS sur le point de terminaison SNS.

Informations connexes

Création de règles Amazon EventBridge qui réagissent aux événements

Tutoriel : utiliser le transformateur d'entrée pour personnaliser ce qu'EventBridge transmet à la cible de l'événement

Comment puis-je résoudre les problèmes liés aux notifications Amazon SNS personnalisées de GuardDuty qui ne sont pas envoyées ?

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 2 ans