[小ネタ]GuardDutyのフィードバック機能を使うと、同じイベントがEventBridgeに送信されます

[小ネタ]GuardDutyのフィードバック機能を使うと、同じイベントがEventBridgeに送信されます

#Amazon GuardDuty
鈴木純

鈴木純

facebook logohatena logotwitter logo
Clock Icon2024.09.10

みなさん Amazon GuardDuty にはフィードバック機能があることをご存知でしょうか。

コンソールから見ると、検出結果の詳細を開いた時に上部で確認できるここのことです。

guardduty-feedback1

手軽に AWS へフィードバックできる機能なので、より良い機能の提供のためにどんどん活用したいところです。しかし、このフィードバックを送信すると対象の検出結果のイベントが再度送信されたので注意しておきましょう。

やってみる

事前準備として GuardDuty イベントを取得する EventBridge ルールと SNS トピックを作成し、メールで通知できるようにしておきます。

https://dev.classmethod.jp/articles/set_up_guardduty_detection_result_notification_in_cloudformation/

既存の検出結果からフィードバックを送信してみます。フィードバックしたい内容を選択して送信してください。

guardduty-feedback2

フィードバックが完了した検出結果は以下のように表示が変わります。フィードバック内容を変更したい場合は、再送信から可能です。
guardduty-feedback3

フィードバック送信後、少し待つとメールが確認できました。イベントは確かに発生しているようです。

guardduty-feedback4

イベントの確認

フィードバックで通知されたイベントを確認してみると、実際に通知された内容とほぼ同じでした。追加された値として、detail.service の中に"userFeedback": "USEFUL"が追加されています。
id や time は変更されていますが、detail.updatedAtの時間は更新されていませんでした。

{
    "version": "0",
-   "id": "ea244bb1-9fba-063c-c0e2-dbfa95bc5259",
+   "id": "a14fcec2-2d03-66a5-85b1-516ab23785c8",
    "detail-type": "GuardDuty Finding",
    "source": "aws.guardduty",
    "account": "111111111111",
-   "time": "2024-09-09T23:40:03Z",
+   "time": "2024-09-10T00:30:03Z",
    "region": "ap-northeast-1",
    "resources": [],
    "detail": {
        ~~省略~~
        "resource": {
            ~~省略~~
        },
        "service": {
            ~~省略~~
            "eventFirstSeen": "2024-09-09T23:30:43.000Z",
            "eventLastSeen": "2024-09-09T23:30:43.000Z",
            "archived": false,
            "count": 1,
+           "userFeedback": "USEFUL",
        },
        "severity": 5,
        "createdAt": "2024-09-09T23:35:51.347Z",
        "updatedAt": "2024-09-09T23:35:51.347Z",
        "title": "The API ListObjects was invoked from a remote host potentially running Kali Linux.",
        "description": "An API was used to access an S3 Bucket from a remote host that is potentially running the Kali Linux penetration testing tool."
    }
}

アーカイブ後に通知されたイベントである場合は、"userFeedback": "USEFUL"があるかで判定するようにしましょう。

まとめ

GuardDuty のフィードバックすると、再度同じイベントが発生することを確認しました。小ネタですが、フィードバック後に通知された場合は本事象の可能性があるので覚えておきましょう。

Share this article

facebook logohatena logotwitter logo

関連記事

EC2インスタンスメタデータv2からワンライナーでクレデンシャルを取得してみた

EC2インスタンスメタデータv2からワンライナーでクレデンシャルを取得してみた

User avatar
臼田佳祐
2024.10.29
[アップデート]Amazon GuardDuty S3マルウェア保護機能有効化時のIAMロール作成が非常に楽になりました!

[アップデート]Amazon GuardDuty S3マルウェア保護機能有効化時のIAMロール作成が非常に楽になりました!

User avatar
べこみん
2024.10.27
Amazon Q CLIで短い自然言語からリソースIDをシェルの変数に保存してみた - GuardDuty Detector ID編

Amazon Q CLIで短い自然言語からリソースIDをシェルの変数に保存してみた - GuardDuty Detector ID編

User avatar
臼田佳祐
2024.10.22
[コスト大事] Amazon Athena で S3 の大量オブジェクトをクエリする場合はスキャン量だけでなくリクエスト量も意識しよう

[コスト大事] Amazon Athena で S3 の大量オブジェクトをクエリする場合はスキャン量だけでなくリクエスト量も意識しよう

Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.