AWS GuardDuty邮件推送设置

问题

需要启用AWS GuardDuty邮件通知。

前提

已经启用AWS GuardDuty。

解决

AWS SNS

打开AWS SNS首页，开始创建主题:GuardDuty-Findings-Notifications-Topic。如下图：

接下来，直接创建主题即可，如下图：

创建完成SNS主题后，点击创建订阅，使用自己的email地址订阅这个SNS主题。

AWS EventBridge

开始创建事件规则，如下图：

设置规则名称GuardDutyFindings-Rule，点击下一步，如下图：

选择GuardDuty模版设置，如下图：

设置针对中、高和关键GuardDuty发现创建警报，内容如下：

{"source": ["aws.guardduty"],"detail-type": ["GuardDuty Finding"],"detail": {"severity": [4,4.0,4.1,4.2,4.3,4.4,4.5,4.6,4.7,4.8,4.9,5,5.0,5.1,5.2,5.3,5.4,5.5,5.6,5.7,5.8,5.9,6,6.0,6.1,6.2,6.3,6.4,6.5,6.6,6.7,6.8,6.9,7,7.0,7.1,7.2,7.3,7.4,7.5,7.6,7.7,7.8,7.9,8,8.0,8.1,8.2,8.3,8.4,8.5,8.6,8.7,8.8,8.9,9,9.0,9.1,9.2,9.3,9.4,9.5,9.6,9.7,9.8,9.9,10,10.0]}
}

设置如下图，点击下一步：

配置通知推送到SNS主题中，然后，开始配置邮件模版，如下图：

在新弹出来的对话框中的目标输入转换器部分设置内容如下：

{"severity": "$.detail.severity","Account_ID": "$.detail.accountId","Finding_ID": "$.detail.id","Finding_Type": "$.detail.type","region": "$.region","Finding_description": "$.detail.description"
}

模板内容，如下：

"You have a severity <severity> GuardDuty finding type <Finding_Type> in the <region> Region."
"Finding Description:"
"<Finding_description>. "
"For more details open the GuardDuty console at https://console.amazonaws.cn/guardduty/home?region=<region>#/findings?search=id%3D<Finding_ID>"

注意这里需要使用aws中国云区的域名。
确认如下图：

下一步配置标签，如下图：

审核没问题之后，点击创建规则即可。

总结

GuardDuty邮件告警，主要就是AWS EventBridge和AWS SNS的集成。

参考

• How to Set Up Email Notifications for GuardDuty Findings
• 使用 Amazon 处理 GuardDuty 调查结果 EventBridge