In che modo è possibile configurare una regola EventBridge per GuardDuty per l'invio di notifiche SNS personalizzate se vengono attivati tipi di eventi del servizio AWS specifici?

Ultimo aggiornamento: 2022/01/10

Ho creato una regola Amazon EventBridge da attivare sui tipi di eventi di servizio per Amazon GuardDuty, ma le risposte sono in formato JSON. Come posso ricevere una risposta via e-mail con una notifica personalizzata?

Breve descrizione

Utilizza un modello di eventi personalizzato con la regola EventBridge per trovare un tipo di ricerca specifico. Quindi, instrada la risposta a un argomento Amazon Simple Notification Service (Amazon SNS).

Risoluzione

Questo esempio utilizza un tipo di evento Amazon GuardDuty UnauthorizedAccess:EC2/MaliciousIPCaller.Custom.

Nota: puoi sostituire il nome del servizio e il tipo di evento per il tuo servizio AWS specifico.

1.    Se non hai ancora creato un argomento Amazon SNS, segui le istruzioni per iniziare con Amazon SNS.

Nota: l'argomento Amazon SNS deve trovarsi nella stessa Regione del servizio Amazon GuardDuty.

2.    Apri la console di EventBridge.

3.    Seleziona Crea regola.

4.    Inserisci un nome per la regola. Facoltativamente, puoi inserire una descrizione.

5.    In Definisci modello, seleziona Modello dell'evento.

6.    Seleziona Modello predefinito per servizio.

7.    Per i provider di servizi, scegli AWS.

8.    Per il nome del servizio, scegli GuardDuty.

9.    Per il tipo di evento, scegli Ricerca di GuardDuty.

10.    Nella sezione di anteprima del modello dell'evento, seleziona Modifica.

11.    Copia il codice seguente, incollalo nella sezione di anteprima del modello dell'evento, quindi scegli Salva.

{
  "source": [
    "aws.guardduty"
  ],
  "detail": {
    "type": [
      "UnauthorizedAccess:EC2/MaliciousIPCaller.Custom"
     ]
  }
}

12.    In Seleziona bus eventi, seleziona il bus eventi di default di AWS.

13.    In Seleziona destinazioni, scegli argomento SNS, quindi scegli l'argomento SNS creato in precedenza.

14.    Espandi Configura input, quindi scegli Trasformatore di input.

15.    Copia il seguente codice. Quindi, incollalo in Percorso di input.

{
    "severity": "$.detail.severity",
    "Finding_ID": "$.detail.id",
    "instanceId": "$.detail.resource.instanceDetails.instanceId",
    "port": "$.detail.service.action.networkConnectionAction.localPortDetails.port",
    "eventFirstSeen": "$.detail.service.eventFirstSeen",
    "eventLastSeen": "$.detail.service.eventLastSeen",
    "count": "$.detail.service.count",
    "Finding_Type": "$.detail.type",
    "region": "$.region",
    "Finding_description": "$.detail.description"
}

16.    Copia il seguente codice. Quindi, incollalo nel modello di input.

"You have a severity <severity> GuardDuty finding type <Finding_Type> for the EC2 instance <instanceId> in the region <region> as the <Finding_description> on the port <port>. The first attempt was on <eventFirstSeen> and the most recent attempt on <eventLastSeen> . The total occurrence is <count>. For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=<region>#/findings?search=id%3D<Finding_ID>"

17.    Scorri fino in fondo alla pagina e seleziona Crea.

18.    Se viene attivato un tipo di evento, ricevi una notifica via e-mail SNS con i campi personalizzati compilati dal passaggio 16 in modo simile al seguente:

"You have a severity 5 GuardDuty finding type UnauthorizedAccess:EC2/MaliciousIPCaller.Custom for the EC2 instance EXAMPLEID in the region EXAMPLEREGION as the EC2 instance EXAMPLE is communicating with a disallowed IP address EXAMPLEREMOTEIP on the EXAMPLELIST on the port EXAMPLEPORT. The first attempt was on EXAMPLEDATE1 and the most recent attempt on EXAMPLEDATE2. The total occurrence is COUNTEXAMPLE. For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?EXAMPLEREGION"