问题
需要启用AWS GuardDuty邮件通知。
前提
已经启用AWS GuardDuty。
解决
AWS SNS
打开AWS SNS首页,开始创建主题:GuardDuty-Findings-Notifications-Topic。如下图:
接下来,直接创建主题即可,如下图:
创建完成SNS主题后,点击创建订阅,使用自己的email地址订阅这个SNS主题。
AWS EventBridge
开始创建事件规则,如下图:
设置规则名称GuardDutyFindings-Rule,点击下一步,如下图:
选择GuardDuty模版设置,如下图:
设置针对中、高和关键GuardDuty发现创建警报,内容如下:
{
"source": ["aws.guardduty"],
"detail-type": ["GuardDuty Finding"],
"detail": {
"severity": [
4,
4.0,
4.1,
4.2,
4.3,
4.4,
4.5,
4.6,
4.7,
4.8,
4.9,
5,
5.0,
5.1,
5.2,
5.3,
5.4,
5.5,
5.6,
5.7,
5.8,
5.9,
6,
6.0,
6.1,
6.2,
6.3,
6.4,
6.5,
6.6,
6.7,
6.8,
6.9,
7,
7.0,
7.1,
7.2,
7.3,
7.4,
7.5,
7.6,
7.7,
7.8,
7.9,
8,
8.0,
8.1,
8.2,
8.3,
8.4,
8.5,
8.6,
8.7,
8.8,
8.9,
9,
9.0,
9.1,
9.2,
9.3,
9.4,
9.5,
9.6,
9.7,
9.8,
9.9,
10,
10.0
]
}
}
设置如下图,点击下一步:
配置通知推送到SNS主题中,然后,开始配置邮件模版,如下图:
在新弹出来的对话框中的目标输入转换器部分设置内容如下:
{
"severity": "$.detail.severity",
"Account_ID": "$.detail.accountId",
"Finding_ID": "$.detail.id",
"Finding_Type": "$.detail.type",
"region": "$.region",
"Finding_description": "$.detail.description"
}
模板内容,如下:
"You have a severity <severity> GuardDuty finding type <Finding_Type> in the <region> Region."
"Finding Description:"
"<Finding_description>. "
"For more details open the GuardDuty console at https://console.amazonaws.cn/guardduty/home?region=<region>#/findings?search=id%3D<Finding_ID>"
注意这里需要使用aws中国云区的域名。
确认如下图:
下一步配置标签,如下图:
审核没问题之后,点击创建规则即可。
总结
GuardDuty邮件告警,主要就是AWS EventBridge和AWS SNS的集成。