【手順】GuardDuty初期構築とBacklog連携

概要

Amazon GuardDutyを導入し、Backlogへ起票する際の簡単な手順となります。

本内容での手順はjson形式での起票となるため、
起票内容を整形する場合は、別途「EventBridge API Destinations」や「Lambda」を利用してください。

※「EventBridge API Destinations」での整形については下記記事が参考になると思います。

EventBridge API Destinationsを使って、GuardDutyとInspectorの検出結果をBacklog課題として自動起票してみた

流れ

GuardDutyの有効化
⇩
EventBridgeルールの作成とCloudWatch Logsへの転送
⇩
特定の脅威をSNSで通知
⇩
動作確認
※ログ保存はCloudWatch Logsを使用。

前提&事前準備

有効化するリージョンが正しいことを事前に確認してから作業を実施
事前にBacklog課題登録用メールアドレスを作成する

手順1 (GuardDutyの有効化)

AWSコンソールへログインし、「GurdDuty」を検索し開く

2.「Amazon GuardDuty – すべての機能」が選択されていることを確認し、「今すぐ始める」をクリック

3.「GuardDuty を有効にする」をクリック

4.有効化されたことを確認する

5.有効化したいサービス以外は無効化する

手順2 (EventBridgeルールの作成とCloudWatch Logsへの転送)

1.「Amazon EventBridge」を検索し、画面左側の項目の「ルール」を開く

2.「ルールを作成」をクリック

3.ルールの詳細を入力し「次へ」をクリック

・名前：任意の名前
・説明：必要に応じて記載
・イベントパス：default を選択
・ルールタイプ：イベントパターンを持つルール

4.イベントパターンの構築の詳細を入力し「次へ」をクリック

・イベント - イベントソース：AWSイベントまたは EventBridge パートナーイベント
・イベントパターン - 作成のメソッド：パターンフォームを使用する
・イベントパターン - イベントソース：AWSのサービス
・イベントパターン - AWSのサービス：GuardDuty
・イベントパターン - イベントタイプ：GuardDuty Finding

5.ターゲットを選択の詳細を入力し「次へ」をクリック

・ターゲットタイプ：AWSのサービス
・ターゲットを選択：CloudWatch ロググループ
・ロググループ：新しいロググループを作成 ※ロググループ名は任意の名前を入力

6.必要に応じてタグ設定をし、設定内容を確認したら「ルールの作成」をクリック

7.ルールが作成されたことを確認する

手順3 (特定の脅威をSNSで通知)

1.「SNS」を検索し、画面左側の項目の「トピック」を開き「トピックの作成」をクリック

2.トピックの詳細を入力し、「トピックの作成」をクリック

・タイプ：スタンダード
・名前：任意の名前
・その他の項目：デフォルトでOK

3.トピックが作成されたことを確認したら「サブスクリプションの作成」をクリック

4.サブスクリプションの作成の詳細を入力する

・プロトコル：Eメール
・エンドポイント：事前に作成したBacklog課題登録用メールアドレスを記載

5.unsubscribeのリンクを無効化を実施する
5-1.対象のBacklogに下記タイトルでチケット起票されていることを確認

タイトル：AWS Notification - Subscription Confirmation

5-2.チケット本文に記載のリンクをコピーする。
⚠解除されてしまうのでリンクは絶対にクリックしないこと⚠

5-3.先程作成したサブスクリプションを選択し、「サブスクリプションの確認」をクリック

5-4.手順5-2でコピーしたリンクを貼り付け、「サブスクリプションの確認」をクリック

5-5.ステータスが「確認済み」になっていることを確認する

6.再度EventBridgeを開き、アラート発報させる重要度をフィルタリングしたEventBridgeルールを作成する

【ルールの詳細】
・ルールの詳細は手順2と同様のため割愛

【イベントパターン】
・イベント - イベントソース：その他
・イベントパターン - 作成のメソッド：カスタムパターン(JSONエディタ)
・イベントパターン - イベントパターン：下記内容を記載

{
"source": ["aws.guardduty"],
"detail-type": ["GuardDuty Finding"],
"detail": {
"severity": [{
"numeric": [">=", 4, "<", 10]
}]
}
}

※重要度(numericの箇所)は必要に応じて修正してください。
※重要度については下記リンク先を参照してください。
https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_findings-severity.html

【ターゲット】
・ターゲットタイプ：AWSのサービス
・ターゲットを選択：SNSトピック
・トピック：手順3で作成したトピックを選択

6.必要に応じてタグ設定をし、設定内容を確認したら「ルールの作成」をクリック

7.ルールが作成されたことを確認する

手順4 (動作確認)

1.画面左側の項目の「設定」を選択し、「検出結果サンプルの生成」をクリック

2.検出結果サンプルが正常に生成されたことを確認

3.数分後、Backlogに起票されていることを確認

⚠連携解除されてしまうのでリンクはクリックしないように⚠

【手順】GuardDuty初期構築とBacklog連携

概要

流れ

前提&事前準備

手順1 (GuardDutyの有効化)

手順2 (EventBridgeルールの作成とCloudWatch Logsへの転送)

手順3 (特定の脅威をSNSで通知)

手順4 (動作確認)

NotebookLM Enterprise で API 経由での操作が可能になりました！

2025年度版！AWS資格取得の順番について！

AWSの生成AI活用事例集GenUを使い倒す

Figma AI ほぼ全機能使ってみた

RHEL 7 から 9 へのインプレースアップグレード手順

【手順】GuardDuty初期構築とBacklog連携

概要

流れ

前提&事前準備

手順1 (GuardDutyの有効化)

手順2 (EventBridgeルールの作成とCloudWatch Logsへの転送)

手順3 (特定の脅威をSNSで通知)

手順4 (動作確認)

関連記事Related Articles

EventBridge API Destinationsを使って、GuardDutyとInspectorの検出結果をBacklog課題として自動起票してみた

GuardDuty を全リージョン有効化する手順(CFn StackSets)

GuardDuty各Protection機能について整理してみた

AWS、Azureなどで利用できるフロントエンド、SpaceBlockの設定方法

EMRってなんじゃ？（ImpalaでCloudfrontの爆速ログ集計）