AWS guardduty 生成示例事件并生成 cloudwatch 事件
[英]AWS guardduty generate sample event and generate cloudwatch event
问题描述
我正在使用 Lambda 函数来处理AWS GuardDuty调查结果。
我想生成示例事件,这可以使用CreateSampleFindings API 调用或create-sample-findings cli 命令轻松完成。
我有一个自定义 cloudwatch 规则,它响应以下触发我的 Lambda 函数的事件模式:
{
"detail-type": [
"GuardDuty Finding"
],
"source": [
"aws.guardduty"
]
}
生成第一个样本发现很容易触发 cloudwatch 事件
$ aws guardduty create-sample-findings \
--detector-id abcd12345efgh6789 \
--finding-types Recon:EC2/PortProbeUnprotectedPort
然而,当我再次调用这个相同的命令时,警卫职责中的发现计数会增加,但不会生成更多的 cloudwatch 事件。
$ aws guardduty get-findings \
--detector-id abcd12345efgh6789 \
--finding-ids zyxwv987654acbde1234 \
--query "Findings[].Service.Count" --output text
$ 2
我理解为什么会出现这种行为,因为结果按独特的签名分组,并且为每个独特的发现实例触发 cloudwatch 事件会造成太多干扰
但是,出于开发/调试目的,有没有一种方法可以生成多个触发 cloudwatch 事件的示例事件?
2 个解决方案
解决方案1
4 已采纳 2018-07-07 14:23:24
对于出于测试目的而遇到此问题的任何人,禁用 GuardDuty 然后重新启用允许您重新生成触发 CloudWatch 事件的示例结果。 在为 GuardDuty 创建日志转发器时,此方法对我有用。
解决方案2
1 2021-05-21 13:26:58
正如@jl-dos 指出的那样,您可以禁用/启用 GD。 但这样做有效的是删除此 GD 实例的所有结果,因此当您创建示例结果时,它们是全新的,会触发 CloudWatch 事件。
我发现的另一个选项是存档当前的发现。 然后,当您创建新的样本结果时,它们将作为全新的结果出现,而不仅仅是增加计数器。 这也应该触发 CloudWatch 事件。
为此,请结合使用aws guardduty get-findings和aws guardduty archive-findings命令。
AWS Cloudwatch Guardduty链接
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.