概要
Amazon GuardDutyを導入し、Backlogへ起票する際の簡単な手順となります。
本内容での手順はjson形式での起票となるため、
起票内容を整形する場合は、別途「EventBridge API Destinations」や「Lambda」を利用してください。
※「EventBridge API Destinations」での整形については下記記事が参考になると思います。
EventBridge API Destinationsを使って、GuardDutyとInspectorの検出結果をBacklog課題として自動起票してみた
流れ
GuardDutyの有効化
⇩
EventBridgeルールの作成とCloudWatch Logsへの転送
⇩
特定の脅威をSNSで通知
⇩
動作確認
※ログ保存はCloudWatch Logsを使用。
前提&事前準備
- 有効化するリージョンが正しいことを事前に確認してから作業を実施
- 事前にBacklog課題登録用メールアドレスを作成する
手順1 (GuardDutyの有効化)
- AWSコンソールへログインし、「GurdDuty」を検索し開く
2.「Amazon GuardDuty – すべての機能」が選択されていることを確認し、「今すぐ始める」をクリック

3.「GuardDuty を有効にする」をクリック

4.有効化されたことを確認する

5.有効化したいサービス以外は無効化する

手順2 (EventBridgeルールの作成とCloudWatch Logsへの転送)
1.「Amazon EventBridge」を検索し、画面左側の項目の「ルール」を開く

2.「ルールを作成」をクリック

3.ルールの詳細を入力し「次へ」をクリック
・名前:任意の名前
・説明:必要に応じて記載
・イベントパス:default を選択
・ルールタイプ:イベントパターンを持つルール

4.イベントパターンの構築の詳細を入力し「次へ」をクリック
・イベント - イベントソース:AWSイベントまたは EventBridge パートナーイベント
・イベントパターン - 作成のメソッド:パターンフォームを使用する
・イベントパターン - イベントソース:AWSのサービス
・イベントパターン - AWSのサービス:GuardDuty
・イベントパターン - イベントタイプ:GuardDuty Finding

5.ターゲットを選択の詳細を入力し「次へ」をクリック
・ターゲットタイプ:AWSのサービス
・ターゲットを選択:CloudWatch ロググループ
・ロググループ:新しいロググループを作成 ※ロググループ名は任意の名前を入力

6.必要に応じてタグ設定をし、設定内容を確認したら「ルールの作成」をクリック


7.ルールが作成されたことを確認する

手順3 (特定の脅威をSNSで通知)
1.「SNS」を検索し、画面左側の項目の「トピック」を開き「トピックの作成」をクリック


2.トピックの詳細を入力し、「トピックの作成」をクリック
・タイプ:スタンダード
・名前:任意の名前
・その他の項目:デフォルトでOK

3.トピックが作成されたことを確認したら「サブスクリプションの作成」をクリック

4.サブスクリプションの作成の詳細を入力する
・プロトコル:Eメール
・エンドポイント:事前に作成したBacklog課題登録用メールアドレスを記載

5.unsubscribeのリンクを無効化を実施する
5-1.対象のBacklogに下記タイトルでチケット起票されていることを確認
タイトル:AWS Notification - Subscription Confirmation
5-2.チケット本文に記載のリンクをコピーする。
⚠解除されてしまうのでリンクは絶対にクリックしないこと⚠

5-3.先程作成したサブスクリプションを選択し、「サブスクリプションの確認」をクリック

5-4.手順5-2でコピーしたリンクを貼り付け、「サブスクリプションの確認」をクリック

5-5.ステータスが「確認済み」になっていることを確認する

6.再度EventBridgeを開き、アラート発報させる重要度をフィルタリングしたEventBridgeルールを作成する
【ルールの詳細】 ・ルールの詳細は手順2と同様のため割愛
【イベントパターン】 ・イベント - イベントソース:その他
・イベントパターン - 作成のメソッド:カスタムパターン(JSONエディタ)
・イベントパターン - イベントパターン:下記内容を記載
{
"source": ["aws.guardduty"],
"detail-type": ["GuardDuty Finding"],
"detail": {
"severity": [{
"numeric": [">=", 4, "<", 10]
}]
}
}
※重要度(numericの箇所)は必要に応じて修正してください。
※重要度については下記リンク先を参照してください。
https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_findings-severity.html
【ターゲット】 ・ターゲットタイプ:AWSのサービス ・ターゲットを選択:SNSトピック ・トピック:手順3で作成したトピックを選択

6.必要に応じてタグ設定をし、設定内容を確認したら「ルールの作成」をクリック


7.ルールが作成されたことを確認する

手順4 (動作確認)
1.画面左側の項目の「設定」を選択し、「検出結果サンプルの生成」をクリック

2.検出結果サンプルが正常に生成されたことを確認

3.数分後、Backlogに起票されていることを確認

⚠連携解除されてしまうのでリンクはクリックしないように⚠

 
     
    