Como posso solucionar problemas de notificações personalizadas do Amazon SNS do GuardDuty que não foram entregues?

Breve descrição

Eu segui as instruções para configurar uma regra do Amazon EventBridge para que o GuardDuty envie notificações do SNS personalizadas se tipos de eventos de serviço específico da AWS forem iniciados. No entanto, as notificações do SNS não foram entregues.

Resolução

Siga estas instruções para confirmar se as configurações a seguir estão corretas:

• Confirmação da assinatura do Amazon SNS.
• Política de acesso ao tópico do Amazon SNS do AWS Identity and Access Management (IAM).
• Permissões do AWS Key Management Service (AWS KMS).
• Tipo de descoberta de objeto JSON do padrão de evento do EventBridge.

Confirme a assinatura do Amazon SNS

1. Abra o console do Amazon SNS e escolha Assinaturas.
2. Para seu ID de assinatura do Amazon SNS, verifique se o status é Confirmado e se Tópico está correto.
3. Se o status for Confirmação pendente, siga as instruções para confirmar a assinatura.

Confirme as permissões para a política de acesso ao tópico do SNS

1. Abra o console do Amazon SNS e escolha Tópicos.
2. Em Nome, escolha seu tópico do Amazon SNS.
3. Em Detalhes, escolha a guia Política de acesso.
4. Verifique se a política do IAM permite a publicação da entidade principal events.amazonaws.com semelhante à seguinte:

{
  "Sid": "AWSEvents",
  "Effect": "Allow",
  "Principal": {
    "Service": "events.amazonaws.com"
  },
  "Action": "sns:Publish",
  "Resource": "arn:aws:sns:YOUR-REGION:YOUR-ACCOUNT-ID:YOUR-SNS-TOPIC"
}

Confirme as permissões do AWS KMS

Observação: você pode pular essa etapa se não tiver ativado a criptografia ou se tiver usado uma chave gerenciada pela AWS.

1. Abra o console do AWS KMS e escolha Chaves gerenciadas pelo cliente.
2. Em ID da chave, escolha a chave gerenciada pelo cliente que você usou para criptografar mensagens SNS.
3. Em Política de chave, escolha Mudar para visualização da política.
4. Verifique se a política de chave do KMS permite a publicação da entidade principal events.amazonaws.com semelhante à seguinte:

{
  "Sid": "AWSEvents",
  "Effect": "Allow",
  "Principal": {
    "Service": "events.amazonaws.com"
  },
  "Action": [
    "kms:GenerateDataKey",
    "kms:Decrypt"
  ],
  "Resource": "*"
}

Confirme o tipo de descoberta de objeto JSON do padrão de evento do EventBridge

1. Abra o console do EventBridge e escolha Regras.
2. Em Nome, escolha sua regra.
3. No Padrão de evento, verifique se o tipo de descoberta de objeto JSON corresponde ao serviço específico da AWS semelhante ao seguinte:

{  "source": [
    "aws.guardduty"
  ],
  "detail-type": [
    "GuardDuty Finding"
  ]
}

Para obter mais informações, consulte Creating custom responses to GuardDuty findings with Amazon CloudWatch Events.

Confirme a frequência de exportação do EventBridge

1. Abra o console do GuardDuty e escolha Configurações.
2. Nas Opções de exportação de descobertas, escolha Editar.
3. Em Editar frequência para publicar descobertas atualizadas, verifique a frequência definida. Por padrão, as descobertas são enviadas automaticamente para o EventBridge a cada 6 horas. Para alterar a frequência da configuração padrão de 6 horas, escolha 1 hora ou 15 minutos e escolha Salvar alterações.

Observação: o GuardDuty envia notificações para novos tipos de descoberta em 5 minutos. Para obter mais informações, consulte CloudWatch Events notification frequency for GuardDuty.

Informações relacionadas

Finding types

Exportação de descobertas

Por que meu tópico do Amazon SNS não está recebendo notificações do EventBridge?