GuardDuty와EventBridge, Amazon SNS를 이용하여 알람통지를 메일로 받아보기

GuardDuty와EventBridge, Amazon SNS를 이용하여 알람을 통지 받는 방법에대해 알아보도록 하겠습니다.
2022.06.29

소개

안녕하세요! 클래스메소드 금상원 입니다. 이번 블로그에서는 GuardDuty의 통지를 EventBridge와 AWS SNS를 통해 메일로 받아보는 방법에 대해 알아 보겠습니다.

GuardDuty 실행

GuardDuty 화면에서「시작하기」버튼을 클릭 합니다.

「GuardDuty 활성화」버튼을 클릭하여 GuardDuty를 실행시켜 줍니다.

AWS SNS 생성

AWS SNS는 아래의 블로그 참고하여 생성해 주세요.

EventBridge 설정「」

EventBridge화면에서「규칙 생성」버튼을 클릭합니다.

「이름」,「설명」을 입력하고, 「이벤트 버스」를 default로 선택합니다.

「규칙 유형」을 이벤트 패턴이 있는 규칙 을 선택 합니다.

「이벤트 소스」는 AWS이벤트 또는 EventBridge 파트너 이벤트 를 선택합니다.

샘플 이벤트에서 GuardDuty Finding 를 선택합니다.

이벤트 패턴에서 「이벤트 소스」를 AWS 서비스 를 선택하고「AWS 서비스」는 GuardDuty를 선택합니다. 마지막으로 「이벤트 유형」은 GuardDuty Finding 을 선택하고 아래의 「다음」버튼을 클릭합니다.

「대상 유형」을 AWS 서비스 를 선택합니다. 그리고 「대상 선택」을 SNS 주제를 선택하고 「주제」는 위에서 만든 AWS SNS 주제를 선택하고 「다음」버튼을 클릭하고 생성합니다.

테스트

상단 메뉴에서 「Cloud Shell」을 열어줍니다.

아래의 CLI명령어를 하나씩 입력하여 테스트를 진행합니다.

중요도 : 높음
aws guardduty create-sample-findings \
--detector-id $(aws guardduty list-detectors --query 'DetectorIds' --output text) \
--finding-types Backdoor:EC2/DenialOfService.UnusualProtocol
중요도 : 중간
aws guardduty create-sample-findings \
--detector-id $(aws guardduty list-detectors --query 'DetectorIds' --output text) \
--finding-types Behavior:EC2/NetworkPortUnusual
중요도 : 낮음
aws guardduty create-sample-findings \
--detector-id $(aws guardduty list-detectors --query 'DetectorIds' --output text) \
--finding-types Policy:S3/AccountBlockPublicAccessDisabled

잠시만 기다리시면 AWS SNS에 엔드포인트에 등록한 메일에 아래의 사진과 같이 메일이 도착합니다.

마무리

참고 자료

본 블로그 게시글을 보시고 문의 사항이 있으신 분들은 클래스메소드코리아 (info@classmethod.kr)로 연락 주시면 빠른 시일 내 담당자가 회신 드릴 수 있도록 하겠습니다 !