AWS re:Post을(를) 사용하면 다음에 동의하게 됩니다. AWS re:Post 이용 약관
AWS re:Postre:Post

특정 AWS 서비스 이벤트 유형에 사용자 지정 SNS 알림을 보내도록 GuardDuty의 EventBridge 규칙을 구성하려면 어떻게 해야 하나요?

2분 분량
0

Amazon GuardDuty의 서비스 이벤트 유형에서 트리거하는 Amazon EventBridge 규칙을 만들었는데 응답이 JSON 형식입니다. 사용자 지정 알림이 포함된 이메일 응답을 받고 싶습니다.

간략한 설명

EventBridge 규칙과 사용자 지정 이벤트 패턴을 사용해 특정 검색 유형과 일치시킵니다. 그 후 응답을 Amazon Simple Notification Service(SNS) 주제로 라우팅합니다.

해결 방법

이 예에서는 Amazon GuardDuty 이벤트 유형 UnauthorizedAccess:EC2/MaliciousIPCaller.Custom을 사용합니다.

참고: 서비스 이름과 이벤트 유형을 내 특정 AWS 서비스로 대체하세요.

1.    Amazon SNS 주제를 아직 만들지 않았다면 Amazon SNS 시작하기 지침을 따르세요.

**참고:**Amazon SNS 주제는 Amazon GuardDuty 서비스와 동일한 리전에 있어야 합니다.

2.    EventBridge 콘솔을 엽니다.

3.    규칙 생성을 선택합니다.

4.    규칙 이름을 입력합니다. 설명을 추가할 수도 있습니다.

5.    이벤트가 적용되는 버스를 선택합니다.

6.    규칙 유형에서 이벤트 패턴이 있는 규칙을 선택합니다. 그 후 다음을 선택합니다.

7.    이벤트 패턴에서 이벤트 소스AWS 서비스를 선택합니다. 그런 다음 AWS 서비스에서 GuardDuty를 선택합니다.

8.    이벤트 유형에서 GuardDuty 조사 결과를 선택합니다.

9.    이벤트 패턴 미리 보기 섹션에서 패턴 편집을 선택합니다.

10.    다음 코드를 복사하여 이벤트 패턴 미리 보기 섹션에 붙여 넣은 다음 저장을 선택합니다.

{
  "source": [
    "aws.guardduty"
  ],
  "detail": {
    "type": [
      "UnauthorizedAccess:EC2/MaliciousIPCaller.Custom"
    ]
  }
}

11.    다음을 선택합니다.

12.    대상 유형에서 AWS 서비스를 선택합니다.

13.    대상 선택에서 SNS 주제를 선택합니다. 그런 다음 드롭다운 목록에서 주제를 선택합니다.

14.    (선택 사항) 입력 변환기를 구성하려면 추가 설정 드롭다운 목록을 선택합니다.
대상 입력 구성 드롭다운 목록에서 입력 변환기를 선택합니다.
입력 변환 구성을 선택합니다. 대상 입력 변환기 섹션에서 입력 경로에 다음 JSON을 붙여 넣습니다.

{
  "severity": "$.detail.severity",
  "Finding_ID": "$.detail.id",
  "instanceId": "$.detail.resource.instanceDetails.instanceId",
  "port": "$.detail.service.action.networkConnectionAction.localPortDetails.port",
  "eventFirstSeen": "$.detail.service.eventFirstSeen",
  "eventLastSeen": "$.detail.service.eventLastSeen",
  "count": "$.detail.service.count",
  "Finding_Type": "$.detail.type",
  "region": "$.region",
  "Finding_description": "$.detail.description"
}

사용 가능한 필터에 대한 자세한 내용은 필터 특성을 참고하세요.
템플릿에 다음 문자열 템플릿을 붙여 넣습니다.

"You have a new GuardDuty alert. View finding in console - https://console.aws.amazon.com/guardduty/home?<region>=#/findings?search=id%3D<Finding\_ID> "

그런 다음 확인을 선택합니다.

15.    다음을 선택합니다.

    (선택 사항) 규칙에 태그를 추가한 후 다음을 선택합니다.

16.    규칙의 세부 정보를 검토한 다음 규칙 생성을 선택합니다.

17.    페이지 하단에서 생성을 선택합니다.

18.    이벤트 유형이 트리거되면 SNS 엔드포인트에서 SNS 알림을 받게 됩니다.

관련 정보

이벤트에 반응하는 Amazon EventBridge 규칙 생성

자습서: 입력 변환기를 사용해 EventBridge가 이벤트 대상에 전달하는 내용 사용자 지정

GuardDuty 사용자 지정 Amazon SNS 알림이 전송되지 않는 문제를 해결하려면 어떻게 해야 하나요?

주제
보안, 신원 및 규정 준수
태그
Amazon GuardDuty
언어
한국어

관련 비디오

Attalia의 동영상을 통해 자세히 알아보기(3:30)
Attalia의 동영상을 통해 자세히 알아보기(3:30)
AWS 공식
AWS 공식업데이트됨 일 년 전
댓글 없음

관련 콘텐츠