Amazon GuardDuty集成¶
Amazon GuardDuty 是一项威胁检测服务,可以持续监控恶意活动和未经授权的行为,以保护您的 AWS 账户、工作负载和存储在 Amazon S3 中的数据。AWS 合作伙伴提供与 GuardDuty 集成的解决方案,以简化跨不同用例的部署和操作。
Amazon GuardDuty集成CA步骤¶
-
在睿象云Cloud Alert 界面创建Amazon GuardDuty应用,并获取 appkey
-
进入GuardDuty配置webhook
-
进入 Simple Notification Service,创建主题
-
选择主题类型,输入主题名称,保存主题
-
创建订阅
-
选择上一步创建的主题,选择HTTP协议,输入上述第一个步骤中生成URL地址,webhook地址:http://api.aiops.com/alert/api/event/EventBridge/{appKey} 点击保存即可
-
进入 Amazon EventBridge 创建 rule
-
创建 rule ,输入名称,选择事件源,选择示例事件
-
配置事件模式
-
选择SNS topic目标类型,选择上一步创建的主题
测试Amazon GuardDuty告警¶
在Amazon GuardDuty的警报中通过警报策略触发告警后,告警会通过webhook地址把告警推送到CloudAlert平台,如果CloudAlert平台没有接收到告警,请联系睿小象进行排查。
Amazon GuardDuty与CA告警级别¶
| 睿象云 | Amazon GuardDuty |
|---|---|
| 致命 | 8.9-7.0 |
| 严重 | 6.9-4.0 |
| 警告 | (3.9-1.0)、默认 |
| 提醒 | -- |
| 通知 | -- |
| 睿象云 | Amazon GuardDuty |
|---|---|
| 事件ID (eventId) | Message.id |