Day13: GuardDuty结果汇出至S3、发送告警Email设定

如何把GuardDuty找到的结果汇出到S3储存

GuardDuty找到的结果会保留90天，如果想要长时间储存可以将找出的结果汇出到S3

1. 侧边选单选setting
   

2. 选择Findings export options ，这里可以选多久要传输到S3，预设是6小时然後按 Configure now
   

3.这里你可以选择已经建好的S3 Bucket或是新建一个新的，为了加密找出的结果你可以先到KMS建立一把key，建立完成後就可以在这里选择，之後就会定期将结果传到S3储存了

如何设定GuardDuty结果告警透过SNS传送到email

GuardDuty有跟Amazon Eventbridge整合，Eventbridge可以将GuardDuty找到的结果传送到其他服务进行自动化的回应，例如:Lambda function、 Amazon EC2 Systems Manager automation以及SNS等。

1.到SNS服务侧边选Topic然後按Create topic

2.选Standard，然後输入名称，之後按create topic

3.在侧边选单选Subscription，之後按Create subscription

4.Topic ARN选择刚刚建立的Topic，Protocol 选Email，Endpoint选择你想要寄送的Email，之後就华到最下面按Create subscription。按完後系统会寄一封验证信到你的信箱，请到您刚刚输入的信箱按下确认

5.到Amazon EventBridge服务按 Create rule

6.在Define Pattern选Event pattern，然後选Pre-defined pattern by service，Service Provider选AWS；Service name选GuardDuty；Event type选GuardDuty Finding

7.在select target的地方选SNS topic，Topic选刚刚建立的topic GuardDuty，并将configure input展开

8.展开後选Input transformer，选这个选项可以帮您在传送GuardDuty结果帮你转换成好阅读的文字

Input Path 输入

{
    "severity": "$.detail.severity",
    "Finding_ID": "$.detail.id",
    "Finding_Type": "$.detail.type",
    "region": "$.region",
    "Finding_description": "$.detail.description"
}
                            

Input Template输入

“You have a severity <severity> GuardDuty finding type <Finding_Type> in the <region> region.”
“Finding Description:”
“<Finding_description>. “
“For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=<region>#/findings?search=id%3D<Finding_ID>”

9.最後按下Create就完成了

小结
GuardDuty在AWS资安侦测上其实是个很全面的服务，服务如其名，就像在你家外面请了一个保全，帮你针对DNS、CloudTrail、VPC Flowlog持续监控，并依照严重的等级来归类资安事件，让云端维运人员能快速地将问题解决。