AWS guardduty 生成示例事件並生成 cloudwatch 事件
[英]AWS guardduty generate sample event and generate cloudwatch event
問題描述
我正在使用 Lambda 函數來處理AWS GuardDuty調查結果。
我想生成示例事件,這可以使用CreateSampleFindings API 調用或create-sample-findings cli 命令輕松完成。
我有一個自定義 cloudwatch 規則,它響應以下觸發我的 Lambda 函數的事件模式:
{
"detail-type": [
"GuardDuty Finding"
],
"source": [
"aws.guardduty"
]
}
生成第一個樣本發現很容易觸發 cloudwatch 事件
$ aws guardduty create-sample-findings \
--detector-id abcd12345efgh6789 \
--finding-types Recon:EC2/PortProbeUnprotectedPort
然而,當我再次調用這個相同的命令時,警衛職責中的發現計數會增加,但不會生成更多的 cloudwatch 事件。
$ aws guardduty get-findings \
--detector-id abcd12345efgh6789 \
--finding-ids zyxwv987654acbde1234 \
--query "Findings[].Service.Count" --output text
$ 2
我理解為什么會出現這種行為,因為結果按獨特的簽名分組,並且為每個獨特的發現實例觸發 cloudwatch 事件會造成太多干擾
但是,出於開發/調試目的,有沒有一種方法可以生成多個觸發 cloudwatch 事件的示例事件?
2 個解決方案
解決方案1
4 已采納 2018-07-07 14:23:24
對於出於測試目的而遇到此問題的任何人,禁用 GuardDuty 然后重新啟用允許您重新生成觸發 CloudWatch 事件的示例結果。 在為 GuardDuty 創建日志轉發器時,此方法對我有用。
解決方案2
1 2021-05-21 13:26:58
正如@jl-dos 指出的那樣,您可以禁用/啟用 GD。 但這樣做有效的是刪除此 GD 實例的所有結果,因此當您創建示例結果時,它們是全新的,會觸發 CloudWatch 事件。
我發現的另一個選項是存檔當前的發現。 然后,當您創建新的樣本結果時,它們將作為全新的結果出現,而不僅僅是增加計數器。 這也應該觸發 CloudWatch 事件。
為此,請結合使用aws guardduty get-findings和aws guardduty archive-findings命令。
AWS Cloudwatch Guardduty鏈接
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.