EventBridge ルールでマルチアカウントの GuardDuty の検出結果の通知を特定のアカウントのみに除外する方法

EventBridge ルールでマルチアカウントの GuardDuty の検出結果の通知を特定のアカウントのみに除外する方法

AWSテクニカルサポートノート

AWSテクニカルサポートノート

#AWS
#Amazon GuardDuty
#Amazon EventBridge
スライマンアブドラー パネ

スライマンアブドラー パネ

facebook logohatena logotwitter logo
Clock Icon2023.08.13

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

困っていた内容

EventBridge ルールでマルチアカウントの GuardDuty の検出結果の通知を設定しております。
複数あるアカウントの内、特定のアカウントのみ除外にしたいのですが、可能でしょうか。

どう対応すればいいの?

EventBridge ルールのイベントパターンにて、anything-but を利用して、除外したいアカウントを記載することで、特定のアカウントのみ除外することが可能となります。
例として、下記のように設定することができます。

{
  "source": ["aws.guardduty"],
  "detail-type": ["GuardDuty Finding"],
  "detail": {
    "severity": [{
      "numeric": [">=", 7]
    }],
    "accountId": [{
      "anything-but": ["<AWSアカウントA>", "<AWSアカウントB>", "<AWSアカウントC>",]
    }]
  }
}

上記の例では、重要度「高」の検出結果をAWSアカウントA、B、C 以外の AWSアカウントに通知する設定となります。

補足

多数のアカウントを管理しており、その内の少ない数のアカウントに対して、除外したい場合は、anything-but を活用することができます。
なお、アカウントを2〜3つ管理している状態で、その内の特定のアカウントのみに通知したい場合は、下記の方法で実現することも可能です。

{
  "source": ["aws.guardduty"],
  "detail-type": ["GuardDuty Finding"],
  "detail": {
    "severity": [{
      "numeric": [">=", 7]
    }],
    "accountId": [
        "<AWSアカウントA>"
    ]
  }
}

参考情報

Share this article

facebook logohatena logotwitter logo

関連記事

Cognito ユーザープールとIDプールを使用した認証ユーザーによるS3ファイルアップロードを試してみた

Cognito ユーザープールとIDプールを使用した認証ユーザーによるS3ファイルアップロードを試してみた

User avatar
平井裕二
2024.11.13
[アップデート] AWS CloudFormaiton でイベントのタイムラインビューを使ってデプロイの様子を視覚的に把握出来るようになりました

[アップデート] AWS CloudFormaiton でイベントのタイムラインビューを使ってデプロイの様子を視覚的に把握出来るようになりました

User avatar
いわさ
2024.11.13
AWS Backupを使用して EC2 スナップショットからEC2 インスタンスを復元する方法

AWS Backupを使用して EC2 スナップショットからEC2 インスタンスを復元する方法

Amazon OpenSearch と Elasticsearch の標準サポートおよび延長サポートの終了日程を発表

Amazon OpenSearch と Elasticsearch の標準サポートおよび延長サポートの終了日程を発表

User avatar
石川覚
2024.11.12
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.