Comment puis-je résoudre les problèmes liés aux notifications Amazon SNS personnalisées provenant de GuardDuty qui ne sont pas livrées ?

Brève description

J’ai suivi les instructions pour configurer une règle Amazon EventBridge pour que GuardDuty envoie des notifications SNS personnalisées en cas de lancement de types d’événements de service AWS spécifiques. Cependant, les notifications SNS n’ont pas été livrées.

Résolution

Suivez ces instructions pour vérifier que les paramètres suivants sont correctement définis :

• Confirmation d’abonnement à Amazon SNS.
• Rubrique Amazon SNS de stratégie d’accès Gestion des identités et des accès AWS (AWS IAM).
• Autorisations AWS Key Management Service (AWS KMS).
• Type de résultat d’objets JSON du modèle d’événement EventBridge.

Vérifier l’abonnement Amazon SNS

1. Ouvrez la console Amazon SNS, puis choisissez Abonnements.
2. Vérifiez que votre ID d’abonnement Amazon SNS présente le statut Confirmé et que le champ Rubrique est correct.
3. Si le statut est En attente de confirmation, suivez les instructions pour confirmer l’abonnement.

Confirmer les autorisations pour la rubrique SNS de stratégie d’accès IAM

1. Ouvrez la console Amazon SNS, puis choisissez Rubriques.
2. Dans le champ Nom, choisissez le nom de votre rubrique Amazon SNS.
3. Dans le champ Détails, choisissez l’onglet Stratégie d’accès.
4. Vérifiez que la politique IAM autorise la publication du principal events.amazonaws.com, comme suit :

{
  "Sid": "AWSEvents",
  "Effect": "Allow",
  "Principal": {
    "Service": "events.amazonaws.com"
  },
  "Action": "sns:Publish",
  "Resource": "arn:aws:sns:YOUR-REGION:YOUR-ACCOUNT-ID:YOUR-SNS-TOPIC"
}

Vérifier les autorisations AWS KMS

Remarque : vous pouvez ignorer cette étape si vous n’avez pas activé le chiffrement ou si vous avez utilisé une clé gérée par AWS.

1. Ouvrez la console AWS KMS, puis choisissez Clés gérées par le client.
2. Dans le champ ID de clé, choisissez la clé gérée par le client que vous avez utilisée pour chiffrer les messages SNS.
3. Dans le champ Stratégie de clé, choisissez Passer à la vue de stratégie.
4. Vérifiez que la stratégie de clé KMS autorise la publication du principal events.amazonaws.com, comme suit :

{
  "Sid": "AWSEvents",
  "Effect": "Allow",
  "Principal": {
    "Service": "events.amazonaws.com"
  },
  "Action": [
    "kms:GenerateDataKey",
    "kms:Decrypt"
  ],
  "Resource": "*"
}

Vérifier le type de résultat d’objets JSON du modèle d’événement EventBridge

1. Ouvrez la console EventBridge, puis choisissez Règles.
2. Dans le champ Nom, choisissez votre règle.
3. Dans le champ Modèle d’événement, vérifiez que le type de résultat d’objets JSON correspond au service AWS, comme suit :

{  "source": [
    "aws.guardduty"
  ],
  "detail-type": [
    "GuardDuty Finding"
  ]
}

Pour en savoir plus, consultez la page Creating custom responses to GuardDuty findings with Amazon CloudWatch Events.

Vérifier la fréquence d’exportation d’EventBridge

1. Ouvrez la console GuardDuty, puis choisissez Paramètres.
2. Dans le champ Options d’exportation des résultats, choisissez Modifier.
3. Dans le champ Modifier la fréquence pour publier les résultats mis à jour, vérifiez la fréquence définie. Par défaut, les résultats sont envoyés automatiquement à EventBridge toutes les 6 heures. Pour modifier la fréquence par rapport à la valeur par défaut de 6 heures, choisissez 1 heure ou 15 minutes, puis choisissez Enregistrer les modifications.

Remarque : GuardDuty envoie des notifications pour les nouveaux types de résultats dans un délai de 5 minutes. Pour en savoir plus, consultez la page CloudWatch Events notification frequency for GuardDuty.

Informations connexes

Types de résultats

Exportation des résultats

Pourquoi ma rubrique Amazon SNS ne reçoit-elle pas de notifications EventBridge ?