Wie kann ich eine EventBridge-Regel für GuardDuty so konfigurieren, dass benutzerdefinierte SNS-Benachrichtigungen gesendet werden, wenn bestimmte AWS-Service-Ereignistypen ausgelöst werden?

Letzte Aktualisierung: 10.01.2022

Ich habe eine Amazon EventBridge-Regel erstellt, die bei Service-Ereignistypen für Amazon GuardDuty ausgelöst wird, aber die Antworten sind im JSON-Format. Wie kann ich eine E-Mail-Antwort mit einer benutzerdefinierten Benachrichtigung erhalten?

Kurzbeschreibung

Verwenden Sie ein benutzerdefiniertes Ereignismuster mit der zu einem bestimmten Ergebnistyp passenden EventBridge-Regel. Dann leiten Sie die Antwort an ein Amazon-Simple-Notification-Service (Amazon SNS)-Thema weiter.

Auflösung

Dieses Beispiel beschreibt einen Amazon GuardDuty-Ereignistyp UnauthorizedAccess:EC2/MaliciousIPCaller.Custom.

Hinweis: Sie können den Servicenamen und den Ereignistyp entsprechend Ihres spezifischen AWS-Services ersetzen.

1.    Wenn Sie noch kein Amazon-SNS-Thema erstellt haben, befolgen Sie die Anweisungen für Erste Schritte mit Amazon SNS.

Hinweis: Das Amazon-SNS-Thema muss sich in derselben Region wie Ihr Amazon-GuardDuty-Dienst befinden.

2.    Öffnen Sie die EventBridge-Konsole.

3.    Wählen Sie Regel erstellen aus.

4.    Geben Sie einen Namen für Ihre Regel ein. Optional können Sie eine Beschreibung eingeben.

5.    Wählen Sie unter Muster definieren die Option Ereignismuster aus.

6.    Wählen Sie Vordefiniertes Muster nach Service aus.

7.    Wählen Sie als Dienstanbieter AWS aus.

8.    Wählen Sie als Servicenamen GuardDuty aus.

9.    Wählen Sie als Ereignistyp GuardDuty-Ergebnis aus.

10.    Wählen Sie im Abschnitt Vorschau Ereignismuster die Option Bearbeiten aus.

11.    Kopieren Sie den folgenden Code, fügen Sie ihn in den Abschnitt Vorschau Ereignismuster ein und wählen Sie dann Speichern.

{
  "source": [
    "aws.guardduty"
  ],
  "detail": {
    "type": [
      "UnauthorizedAccess:EC2/MaliciousIPCaller.Custom"
     ]
  }
}

12.    Wählen Sie unter Ereignisbus die Option AWS-Standard-Ereignisbus aus.

13.    Wählen Sie unter Ziele auswählen die Option SNS-Thema und dann das zuvor erstellte SNS-Thema aus.

14.    Erweitern Sie Eingabe konfigurieren und wählen Sie dann Eingabetransformator aus.

15.    Kopieren Sie den folgenden Code. Fügen Sie ihn dann in den Eingabepfad ein.

{
    "severity": "$.detail.severity",
    "Finding_ID": "$.detail.id",
    "instanceId": "$.detail.resource.instanceDetails.instanceId",
    "port": "$.detail.service.action.networkConnectionAction.localPortDetails.port",
    "eventFirstSeen": "$.detail.service.eventFirstSeen",
    "eventLastSeen": "$.detail.service.eventLastSeen",
    "count": "$.detail.service.count",
    "Finding_Type": "$.detail.type",
    "region": "$.region",
    "Finding_description": "$.detail.description"
}

16.    Kopieren Sie den folgenden Code. Fügen Sie ihn dann in die Eingabevorlage ein.

"You have a severity <severity> GuardDuty finding type <Finding_Type> for the EC2 instance <instanceId> in the region <region> as the <Finding_description> on the port <port>. The first attempt was on <eventFirstSeen> and the most recent attempt on <eventLastSeen> . The total occurrence is <count>. For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=<region>#/findings?search=id%3D<Finding_ID>"

17.    Gehen Sie zum unteren Ende der Seite und wählen Sie Erstellen aus.

18.    Wenn ein Ereignistyp ausgelöst wird, erhalten Sie eine SNS-E-Mail-Benachrichtigung mit den in Schritt 16 eingegebenen benutzerdefinierten Feldern, die folgendermaßen aussieht:

"You have a severity 5 GuardDuty finding type UnauthorizedAccess:EC2/MaliciousIPCaller.Custom for the EC2 instance EXAMPLEID in the region EXAMPLEREGION as the EC2 instance EXAMPLE is communicating with a disallowed IP address EXAMPLEREMOTEIP on the EXAMPLELIST on the port EXAMPLEPORT. The first attempt was on EXAMPLEDATE1 and the most recent attempt on EXAMPLEDATE2. The total occurrence is COUNTEXAMPLE. For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?EXAMPLEREGION"