Come posso risolvere i problemi relativi alle notifiche Amazon SNS personalizzate di GuardDuty che non vengono consegnate?

Breve descrizione

Ho seguito le istruzioni per configurare una regola Amazon EventBridge per consentire a GuardDuty di inviare notifiche SNS personalizzate in caso di attivazione di specifici tipi di eventi relativi ai servizi AWS. Tuttavia, le notifiche SNS non sono state recapitate.

Risoluzione

Segui queste istruzioni per confermare che le seguenti impostazioni sono corrette:

• Conferma dell'abbonamento Amazon SNS.
• Policy di accesso AWS Identity and Access Management (IAM) ad argomenti Amazon SNS.
• Autorizzazioni del Servizio di gestione delle chiavi AWS (AWS KMS).
• Tipo di ricerca di oggetti JSON con modello di eventi EventBridge.

Conferma dell'abbonamento Amazon SNS

1. Apri la console Amazon SNS, quindi scegli Abbonamenti.
2. Per il tuo ID di abbonamento Amazon SNS, verifica che lo stato sia Confermato e che l'argomento sia corretto.
3. Se lo stato è In attesa di conferma, segui le istruzioni per confermare l'abbonamento.

Conferma delle autorizzazioni per la policy di accesso IAM a un argomento SNS

1. Apri la console Amazon SNS, quindi scegli Argomenti.
2. In Nome, scegli il tuo argomento Amazon SNS.
3. In Dettagli, scegli la scheda Policy di accesso.
4. Verifica che la policy IAM consenta l'autorizzazione a pubblicare il principale events.amazonaws.com, come nell’esempio seguente:

{
  "Sid": "AWSEvents",
  "Effect": "Allow",
  "Principal": {
    "Service": "events.amazonaws.com"
  },
  "Action": "sns:Publish",
  "Resource": "arn:aws:sns:YOUR-REGION:YOUR-ACCOUNT-ID:YOUR-SNS-TOPIC"
}

Conferma le autorizzazioni AWS KMS

Nota: Puoi saltare questo passaggio se non hai attivato la crittografia o se hai utilizzato una chiave gestita da AWS.

1. Apri la console AWS KMS, quindi scegli Chiavi gestite dal cliente.
2. In Key ID, scegli la chiave gestita dal cliente che hai utilizzato per crittografare i messaggi SNS.
3. In Policy della chiave, scegli Passa alla visualizzazione della policy.
4. Verifica che la policy della chiave KMS consenta l'autorizzazione a pubblicare il principale events.amazonaws.com, come nell’esempio seguente:

{
  "Sid": "AWSEvents",
  "Effect": "Allow",
  "Principal": {
    "Service": "events.amazonaws.com"
  },
  "Action": [
    "kms:GenerateDataKey",
    "kms:Decrypt"
  ],
  "Resource": "*"
}

Conferma del tipo di ricerca di oggetti JSON con modello di eventi EventBridge

1. Apri la console EventBridge, quindi scegli Regole.
2. In Nome, scegli la tua regola.
3. In Modello di eventi, verifica che il tipo di ricerca dell'oggetto JSON corrisponda allo specifico servizio AWS, come nell’esempio seguente:

{  "source": [
    "aws.guardduty"
  ],
  "detail-type": [
    "GuardDuty Finding"
  ]
}

Per maggiori informazioni, consulta Creazione di risposte personalizzate ai risultati di GuardDuty con Amazon CloudWatch Events.

Conferma la frequenza di esportazione di EventBridge

1. Apri la console GuardDuty, quindi scegli Impostazioni.
2. Nelle opzioni di esportazione dei risultati, scegli Modifica.
3. In Modifica frequenza per pubblicare risultati aggiornati, seleziona la frequenza impostata. Per impostazione predefinita, i risultati vengono inviati automaticamente a EventBridge ogni 6 ore. Per modificare la frequenza dall'impostazione predefinita di 6 ore, scegli 1 ora o 15 minuti, quindi scegli Salva modifiche.

Nota: GuardDuty invia notifiche per nuovi tipi di ricerca entro 5 minuti. Per ulteriori informazioni, consulta Frequenza di notifica degli eventi CloudWatch per GuardDuty.

Informazioni correlate

Tipi di risultati

Esportazione dei risultati

Perché il mio argomento Amazon SNS non riceve le notifiche di EventBridge?