AWS guardduty 生成示例事件并生成 cloudwatch 事件

【问题标题】:AWS guardduty generate sample event and generate cloudwatch eventAWS guardduty 生成示例事件并生成 cloudwatch 事件
【发布时间】:2018-09-07 16:06:46
【问题描述】:

我正在开发一个 Lambda 函数来处理 AWS GuardDuty 的发现。

我想生成示例事件,可以使用CreateSampleFindings API 调用或create-sample-findings cli 命令轻松完成。

我有一个自定义 cloudwatch 规则,它响应以下触发我的 Lambda 函数的事件模式:

{
  "detail-type": [
    "GuardDuty Finding"
  ],
  "source": [
    "aws.guardduty"
  ]
}

生成第一个样本发现很容易触发 cloudwatch 事件

$ aws guardduty create-sample-findings \
    --detector-id abcd12345efgh6789 \
    --finding-types Recon:EC2/PortProbeUnprotectedPort

但是,当我再次调用相同的命令时,警卫职责中发现的计数会增加,但不会再生成 cloudwatch 事件。

$ aws guardduty get-findings \
    --detector-id abcd12345efgh6789 \
    --finding-ids zyxwv987654acbde1234 \
    --query "Findings[].Service.Count" --output text
$ 2

我理解为什么会出现这种行为,因为发现是按唯一签名分组的,并且针对唯一发现的每个实例触发 cloudwatch 事件会产生太多噪音

但是出于开发/调试目的,有没有一种方法可以生成多个将触发 cloudwatch 事件的示例事件?

【问题讨论】:

    标签: amazon-web-services aws-lambda aws-cli amazon-cloudwatch


    【解决方案1】:

    对于出于测试目的而遇到此问题的任何人,禁用 GuardDuty 然后重新启用允许您重新生成触发 CloudWatch 事件的示例结果。在为 GuardDuty 创建日志转发器时,此方法对我有用。

    【讨论】:

      【解决方案2】:

      正如@jl-dos 指出的那样,您可以禁用/启用 GD。但这实际上会删除此 GD 实例的所有结果,因此当您创建示例结果时,它们是全新的,会触发 CloudWatch 事件。

      我发现的另一个选项是存档当前的发现。然后,当您创建新的样本结果时,它们会以全新的形式出现,而不仅仅是增加计数器。这也应该触发 CloudWatch 事件。

      为此,请结合使用aws guardduty get-findingsaws guardduty archive-findings 命令。

      【讨论】:

        猜你喜欢
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 2018-06-08
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 2023-04-08
        • 1970-01-01
        相关资源
        最近更新 更多
        热门标签
        Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode