Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
GuardDuty에서 특정 서비스 조사 결과 유형에 대한 사용자 지정 SNS 알림을 전송하도록 EventBridge 규칙을 구성하려면 어떻게 해야 합니까?
Amazon GuardDuty의 서비스 조사 결과 유형에 응답하는 Amazon EventBridge 규칙을 생성했는데 응답이 JSON 형식입니다. 사용자 지정 Amazon Simple Notification Service(Amazon SNS) 알림을 사용하여 이메일 응답을 받고 싶습니다.
해결 방법
사전 요구 사항: Amazon SNS 주제를 생성합니다. Amazon SNS 주제는 GuardDuty 서비스와 동일한 AWS 리전에 있어야 합니다.
사용자 지정 SNS 알림을 전송하도록 GuardDuty에 대한 EventBridge 규칙을 구성하려면 다음 단계를 완료하십시오.
-
EventBridge 콘솔을 엽니다.
-
버스 섹션에서 규칙을 선택합니다.
-
규칙 생성을 선택한 후 다음 단계를 완료하여 규칙을 구성합니다.
이름 및 설명을 입력합니다.
이벤트 버스에서 기본값을 선택합니다.
규칙 유형에서 이벤트 패턴이 있는 규칙을 선택합니다. -
다음을 선택합니다.
-
이벤트 패턴에서 다음 단계를 완료합니다.
**Event source(이벤트 소스)**에 **AWS services(AWS 서비스)**를 선택합니다.
AWS 서비스에서 GuardDuty를 선택합니다.
이벤트 유형에서 GuardDuty 조사 결과를 선택합니다. -
이벤트 패턴 미리 보기 섹션에서 패턴 편집을 선택합니다.
-
JSON 텍스트 상자에 다음 코드를 입력합니다.
{ "source": ["aws.guardduty"], "detail": { "type": ["Backdoor:EC2/C&CActivity.B!DNS"] } }참고: Backdoor:EC2/C&CActivity.B!DNS를 조사 결과 유형으로 바꾸십시오. Backdoor:EC2/C&CActivity.B!DNS 조사 결과 유형을 테스트하려면 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스의 DNS 요청을 guarddutyc2activityb.com 테스트 도메인으로 전송합니다. Linux에서는 dig 명령을, Windows에서는 nslookup 명령을 실행할 수 있습니다. 조사 결과는 몇 분 내에 생성됩니다.
-
다음을 선택합니다.
-
대상 유형에서 AWS 서비스를 선택합니다.
-
대상 선택에서 SNS 주제를 선택합니다.
-
주제에서 해당 주제를 선택합니다.
-
(선택 사항) 입력 변환기를 구성합니다.
대상 입력 변환기 섹션의 입력 경로에서 텍스트 상자에 다음 JSON 경로를 입력합니다.
{ "severity": "$.detail.severity", "Finding_ID": "$.detail.id", "instanceId": "$.detail.resource.instanceDetails.instanceId", "port": "$.detail.service.action.networkConnectionAction.localPortDetails.port", "eventFirstSeen": "$.detail.service.eventFirstSeen", "eventLastSeen": "$.detail.service.eventLastSeen", "count": "$.detail.service.count", "Finding_Type": "$.detail.type", "region": "$.region", "Finding_description": "$.detail.description" }
템플릿에서 텍스트 상자에 다음 문자열 템플릿을 입력합니다.
"You have a new GuardDuty alert. View finding in console - https://console.aws.amazon.com/guardduty/home?REGION=#/findings?search=id%3DFINDING_ID "
참고: 템플릿에서 FINDING_ID 뒤에 후행 공백을 두어 닫는 따옴표로 인해 SNS 알림의 URL이 깨지지 않도록 합니다. 입력 경로는 GuardDuty 조사 결과의 특정 속성을 사용합니다. 사용 가능한 필터에 대한 자세한 내용은 GuardDuty의 속성 필터를 참조하십시오. 다음을 선택합니다. (선택 사항) 규칙에 태그를 추가한 후 다음을 선택합니다. 규칙의 세부 정보를 검토한 다음 규칙 생성을 선택합니다.
GuardDuty가 조사 결과 유형을 생성하면 EventBridge는 5분 이내에 지정된 엔드포인트에 SNS 알림을 보냅니다. 모든 GuardDuty 조사 결과 유형에 대한 SNS 알림을 설정하려면 Amazon EventBridge를 사용한 GuardDuty 조사 결과 처리를 참조하십시오.
관련 정보
Amazon EventBridge에서 이벤트에 반응하는 규칙 생성
튜토리얼: 입력 변환기를 사용하여 EventBridge의 이벤트 변환
GuardDuty의 사용자 지정 Amazon SNS 알림이 전송되지 않는 문제를 해결하려면 어떻게 해야 합니까?
