LoginSignup
1
1
@e-mokumoku

GuardDutyの検出結果の通知を重要度の高いものに絞りたい!

Last updated at Posted at 2024-09-21

:sunny: 実現したいこと:GuardDutyの検出結果に関して、通知がたくさん来てしまうので重要度が低いものは通知しないようにしたい

前提:GuardDutyの重要度とは?

GuardDutyは検出結果の重要度が3つのレベル(High,Medium,Low)に分かれています。
以下のページに記されています。

[High] (高)    7.0-8.9
[Medium] (中)  4.0-6.9
[Low] (低)    1.0-3.9

image.png

重要度の高いものだけ通知させる方法

EventBridgeのイベントパターンで「カスタムパターン(JSONエディタ)」を選択し、以下のように設定

{
  "source": ["aws.guardduty"],
  "detail-type": ["GuardDuty Finding"],
  "detail": {
    "severity": [{
      "numeric": [">=", <通知を出したい値>]
    }]
  }
}

重要度「中」以上の場合は通知させたい場合

# 例)重要度「中」以上の場合は通知させる
{
  "source": ["aws.guardduty"],
  "detail-type": ["GuardDuty Finding"],
  "detail": {
    "severity": [{
      "numeric": [">=", 4]
    }]
  }
}

重要度「高」の場合は通知させたい場合

# 例)重要度「高」の場合は通知させる
{
  "source": ["aws.guardduty"],
  "detail-type": ["GuardDuty Finding"],
  "detail": {
    "severity": [{
      "numeric": [">=", 7]
    }]
  }
}

EventBridgeの画面
image.png

1
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
1