Wie kann ich Probleme mit benutzerdefinierten GuardDuty-Amazon-SNS-Benachrichtigungen beheben, die nicht zugestellt werden?

Kurzbeschreibung

Ich habe die Anweisungen befolgt, um eine Amazon-EventBridge-Regel für GuardDuty zu konfigurieren, um benutzerdefinierte SNS-Benachrichtigungen zu senden, wenn bestimmte AWS-Service-Ereignistypen ausgelöst werden. Die SNS-Benachrichtigungen wurden jedoch nicht zugestellt.

Behebung

Folgen Sie diesen Anweisungen, um zu überprüfen, ob die folgenden Einstellungen korrekt sind:

• Bestätigung des Amazon-SNS-Abonnements.
• Amazon SNS-Thema AWS Identity and Access Management (IAM) Zugriffsrichtlinie.
• AWS Key Management Service (AWS KMS) Berrechtigungen.
• EventBridge-Ereignismuster, JSON-Objekt, das den Typ findet.

Bestätigen Sie das Amazon SNS-Abonnement

1. Öffnen Sie die Amazon-SNS-Konsole und wählen Sie dann Abonnements.
2. Stellen Sie für Ihre Amazon-SNS-Abonnement-ID sicher, dass der Status Bestätigt lautet und das Thema korrekt ist.
3. Wenn der Status Bestätigung ausstehend lautet, folgen Sie den Anweisungen, um das Abonnement zu bestätigen.

Bestätigen der Berechtigungen für die SNS-IAM-Themenzugriffsrichtlinie

1. Öffnen Sie die Amazon-SNS-Konsole und wählen Sie dann Themen.
2. Wählen Sie unter Name Ihr Amazon-SNS-Thema.
3. Wählen Sie unter Details die Registerkarte Zugriffsrichtlinie.
4. Stellen Sie sicher, dass die IAM-Richtlinie die Veröffentlichung des events.amazonaws.com-Prinzipals ähnlich dem folgenden erlaubt:

{
  "Sid": "AWSEvents",
  "Effect": "Allow",
  "Principal": {
    "Service": "events.amazonaws.com"
  },
  "Action": "sns:Publish",
  "Resource": "arn:aws:sns:YOUR-REGION:YOUR-ACCOUNT-ID:YOUR-SNS-TOPIC"
}

Bestätigen der AWS-KMS-Berechtigungen

Hinweis: Sie können diesen Schritt überspringen, wenn Sie die Verschlüsselung nicht aktiviert haben oder wenn Sie einen von AWS verwalteten Schlüssel verwendet haben.

1. Öffnen Sie die AWS-KMS-Konsole und wählen Sie dann Kunden verwaltete Schlüssel.
2. Wählen Sie unter Schlüssel-ID den vom Kunden verwalteten Schlüssel aus, den Sie zum Verschlüsseln von SNS-Nachrichten verwendet haben.
3. Wählen Sie unter Schlüsselrichtlinie die Option Zur Richtlinienansicht wechseln.
4. Stellen Sie sicher, dass die KMS-Schlüsselrichtlinie die Veröffentlichung des events.amazonaws.com-Prinzipals ähnlich dem folgenden erlaubt:

{
  "Sid": "AWSEvents",
  "Effect": "Allow",
  "Principal": {
    "Service": "events.amazonaws.com"
  },
  "Action": [
    "kms:GenerateDataKey",
    "kms:Decrypt"
  ],
  "Resource": "*"
}

Den Typ des EventBridge-Ereignismusters im JSON-Objekt Erkenntnis bestätigen

1. Öffnen Sie die EventBridge-Konsole und wählen Sie dann Regeln.
2. Wählen Sie **unter **Name Ihre Regel.
3. Überprüfen Sie im Ereignismuster, ob der Typ des JSON-Objekts Erkenntnis mit dem spezifischen AWS-Service übereinstimmt, ähnlich wie im Folgenden beschrieben:

{  "source": [
    "aws.guardduty"
  ],
  "detail-type": [
    "GuardDuty Finding"
  ]
}

Weitere Informationen finden Sie unter Erstellen von benutzerdefinierten Antworten auf GuardDuty-Erkenntnisse mit Amazon CloudWatch Events.

Bestätigen der EventBridge-Exporthäufigkeit

1. Öffnen Sie die GuardDuty-Konsole und wählen Sie dann Einstellungen.
2. Wählen Sie unter Exportoptionen für Erkenntnisse die Option Bearbeiten aus.
3. Überprüfen Sie unter Häufigkeit bearbeiten, um aktualisierte Erkenntnisse zu veröffentlichen, die eingestellte Häufigkeit. Standardmäßig werden die Erkenntnisse automatisch alle 6 Stunden an EventBridge gesendet. Um die Häufigkeit von der Standardeinstellung von 6 Stunden zu ändern, wählen Sie entweder 1 Stunde oder 15 Minuten und wählen Sie dann Änderungen speichern aus.

**Hinweis:**GuardDuty sendet innerhalb von 5 Minuten Benachrichtigungen über neue Erkenntnisarten. Weitere Informationen finden Sie unter Häufigkeit der CloudWatch-Events-Benachrichtigungen für GuardDuty.

Ähnliche Informationen

Erkenntnisarten

Erkenntnisse exportieren

Warum erhält mein Amazon-SNS-Thema keine EventBridge-Benachrichtigungen?