¿Cómo puedo solucionar problemas con las notificaciones personalizadas de GuardDuty de Amazon SNS que no se han entregado?

Descripción breve

He seguido las instrucciones para configurar una regla de Amazon EventBridge para que GuardDuty envíe notificaciones de SNS personalizadas si se lanzan tipos de eventos de servicio específicos de AWS, pero las notificaciones de SNS no se entregan.

Resolución

Siga estas instrucciones para confirmar que la configuración a continuación es correcta:

• Confirmación de la suscripción a Amazon SNS.
• Política de acceso de AWS Identity and Access Management (IAM) a temas de Amazon SNS.
• Permisos de AWS Key Management Service (AWS KMS).
• Tipo de resultado de objetos JSON del patrón de eventos de EventBridge.

Confirmación de la suscripción a Amazon SNS

1. Abra la consola de Amazon SNS y, a continuación, seleccione Suscripciones.
2. Para su ID de suscripción de Amazon SNS, compruebe que el estado sea Confirmado y que el Tema sea correcto.
3. Si el estado es Pendiente de confirmación, siga las instrucciones para confirmar la suscripción.

Confirmación de los permisos para la política de acceso de IAM a temas de SNS

1. Abra la consola de Amazon SNS y, a continuación, seleccione Temas.
2. En Nombre, seleccione su tema de Amazon SNS.
3. En Detalles, seleccione la pestaña Política de acceso.
4. Compruebe que la política de IAM permita publicar la entidad principal events.amazonaws.com de forma similar a la siguiente:

{
  "Sid": "AWSEvents",
  "Effect": "Allow",
  "Principal": {
    "Service": "events.amazonaws.com"
  },
  "Action": "sns:Publish",
  "Resource": "arn:aws:sns:YOUR-REGION:YOUR-ACCOUNT-ID:YOUR-SNS-TOPIC"
}

Confirmación de los permisos de AWS KMS

Nota: Puede omitir este paso si no ha activado el cifrado o si ha utilizado una clave administrada de AWS.

1. Abra la consola de AWS KMS y, a continuación, seleccione Claves administradas por el cliente.
2. En ID de clave, seleccione la clave administrada por el cliente que utilizó para cifrar los mensajes de SNS.
3. En Política de claves, seleccione Cambiar a la vista de política.
4. Asegúrese de que la política de claves de KMS permita publicar la entidad principal events.amazonaws.com de forma similar a la siguiente:

{
  "Sid": "AWSEvents",
  "Effect": "Allow",
  "Principal": {
    "Service": "events.amazonaws.com"
  },
  "Action": [
    "kms:GenerateDataKey",
    "kms:Decrypt"
  ],
  "Resource": "*"
}

Confirmación del tipo de resultado de objetos JSON del patrón de eventos de EventBridge

1. Abra la consola de EventBridge y, a continuación, seleccione Reglas.
2. En Nombre, seleccione su regla.
3. En Patrón de eventos, compruebe que el tipo de resultado de objetos de JSON coincide con el servicio de AWS específico de forma similar a la siguiente:

{  "source": [
    "aws.guardduty"
  ],
  "detail-type": [
    "GuardDuty Finding"
  ]
}

Para más información, consulte Creating custom responses to GuardDuty findings with Amazon CloudWatch Events.

Confirme la frecuencia de exportación de EventBridge

1. Abra la consola GuardDuty y, a continuación, seleccione Configuración.
2. En Opciones de exportación de los resultados, seleccione Editar.
3. En Editar la frecuencia en la que se publican los hallazgos actualizados, compruebe el conjunto de frecuencias. De forma predeterminada, los resultados se envían automáticamente a EventBridge cada 6 horas. Para cambiar la frecuencia de la configuración predeterminada de 6 horas, seleccione 1 hora o 15 minutos y, a continuación, seleccione Guardar cambios.

Nota: GuardDuty envía notificaciones de nuevos tipos de resultados en un plazo de 5 minutos. Para obtener más información, consulte CloudWatch Events notification frequency for GuardDuty.

Información relacionada

Tipos de resultado

Exportación de resultados

¿Por qué mi tema de Amazon SNS no recibe notificaciones de EventBridge?