Amazon verwenden EventBridge - Amazon GuardDuty
Richten Sie EventBridge Regeln ein

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon verwenden EventBridge

Amazon EventBridge ist ein serverloser Event-Bus-Service, der es einfach macht, Ihre Anwendungen mit Daten aus einer Vielzahl von Quellen zu verbinden. EventBridge liefert einen Stream von Echtzeitdaten aus Ihren eigenen Anwendungen, oftware-as-a S-Service (SaaS) -Anwendungen und AWS Diensten und leitet diese Daten an Ziele wie Lambda weiter. Auf diese Weise können Sie Ereignisse überwachen, die in Services auftreten, und ereignisgesteuerte Architekturen erstellen. Weitere Informationen finden Sie im EventBridge Amazon-Benutzerhandbuch.

Als Besitzerkonto eines S3-Buckets, der mit Malware Protection for S3 geschützt ist, GuardDuty veröffentlicht er in den folgenden Szenarien EventBridge Benachrichtigungen an den Standard-Event-Bus:

  • Der Ressourcenstatus des Malware-Schutzplans ändert sich für jeden Ihrer geschützten Buckets. Informationen zu den verschiedenen Status finden Sie unter. Ressourcenstatus des Malware-Schutzplans

  • Aus den folgenden Gründen ist ein Tag-Ereignis fehlgeschlagen:

    • Ihrem IAM fehlen PassRole die Berechtigungen zum Taggen des Objekts.

      Die Hinzufügen von IAM-Richtlinienberechtigungen Vorlage enthält die Berechtigung, ein Objekt GuardDuty zu taggen.

    • Die im IAM angegebene Bucket-Ressource oder das im IAM angegebene Bucket-Objekt ist nicht PassRole mehr vorhanden.

    • Das zugehörige S3-Objekt hat bereits das maximale Tag-Limit erreicht. Weitere Informationen zum Tag-Limit finden Sie unter Kategorisieren Ihres Speichers mithilfe von Tags im Amazon S3 S3-Benutzerhandbuch.

  • Das Ergebnis des S3-Objektscans wird in Ihrem EventBridge Standard-Event-Bus veröffentlicht.

Richten Sie EventBridge Regeln ein

Sie können in Ihrem Konto EventBridge Regeln einrichten, um entweder den Ressourcenstatus, Ereignisse nach dem Scan-Tag oder das Ergebnis des S3-Objektscans an ein anderes AWS-Service zu senden. Als delegiertes GuardDuty Administratorkonto erhalten Sie eine Benachrichtigung über den Ressourcenstatus des Malware-Schutzplans, wenn sich der Status ändert.

Es gelten die EventBridge Standardpreise. Weitere Informationen finden Sie unter Preise für Malware Protection for S3.

Alle Werte, die rot angezeigt werden, sind Platzhalter für das Beispiel. Diese Werte ändern sich je nach dem Scanergebnis für Ihr S3-Objekt.

Sie können ein EventBridge Ereignismuster erstellen, das auf den folgenden Szenarien basiert:

Mögliche detail-type Werte

  • "GuardDuty Malware Protection Resource Status Active"

  • "GuardDuty Malware Protection Resource Status Warning"

  • "GuardDuty Malware Protection Resource Status Error"

Muster des Ereignisses

{
      "detail-type": ["potential detail-type"],
      "source": ["aws.guardduty"]
}

Beispiel für ein Benachrichtigungsschema für GuardDuty Malware Protection Resource Status Active

{
    "version": "0",
    "id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718",
    "detail-type": "GuardDuty Malware Protection Resource Status Active",
    "source": "aws.guardduty",
    "account": "111122223333",
    "time": "2017-12-22T18:43:48Z",
    "region": "us-east-1",
    "resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
    "detail": {
        "schemaVersion": "1.0",
        "eventTime": "2024-02-28T01:01:01Z",
        "s3BucketDetails": {
            "bucketName": "DOC-EXAMPLE-BUCKET"
        },
        "resourceStatus": "ACTIVE"
    }
}

Beispiel für ein Benachrichtigungsschema für GuardDuty Malware Protection Resource Status Error oder GuardDuty Malware Protection Resource Status Warning

{
    "version": "0",
    "id": "fc7a35b7-83bd-3c1f-ecfa-1b8de9e7f7d2",
    "detail-type": "GuardDuty Malware Protection Resource Status Error or Warning",
    "source": "aws.guardduty",
    "account": "111122223333",
    "time": "2017-12-22T18:43:48Z",
    "region": "us-east-1",
    "resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
    "detail": {
        "schemaVersion": "1.0",
        "eventTime": "2024-02-28T01:01:01Z",
        "s3BucketDetails": {
            "bucketName": "DOC-EXAMPLE-BUCKET"
        },
        "resourceStatus": "ERROR",
        "statusReasons": [{
            "code": "EVENTBRIDGE_MANAGED_EVENTS_DELIVERY_DISABLED"
        }, {
            "code": "PROTECTED_RESOURCE_DELETED"
        }]
    }
}

Der resourceStatus Wert kann entweder Warning oder seinError.

Wenn sich die Statusspalte eines geschützten Buckets in Warnung oder Fehler ändert, wird der statusReasons Wert auf der Grundlage des zugrunde liegenden Grundes aufgefüllt. Informationen zu den Schritten zur Fehlerbehebung finden Sie unterStatusdetails zum Malware-Schutzplan zur Fehlerbehebung.

Muster des Ereignisses:

{
      "detail-type": "GuardDuty Malware Protection Post Scan Action Failed",
      "source": "aws.guardduty"
 }

Beispiel für ein Benachrichtigungsschema:

{
    "version": "0",
    "id": "746acd83-d75c-5b84-91d2-dad5f13ba0d7",
    "detail-type": "GuardDuty Malware Protection Post Scan Action Failed",
    "source": "aws.guardduty",
    "account": "111122223333",
    "time": "2024-06-10T16:16:08Z",
    "region": "us-east-1",
    "resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
    "detail": {
        "schemaVersion": "1.0",
        "eventTime": "2024-06-10T16:16:08Z",
        "s3ObjectDetails": {
            "bucketName": "DOC-EXAMPLE-BUCKET",
            "objectKey": "2024-03-10-16-16-00-7D723DE8DBE9Y2E0",
            "eTag": "0e9eeec810ad8b61d69112c15c2a5hb6"
        },
        "postScanActions": [{
            "actionType": "TAGGING",
            "status": "FAILED",
            "failureReason": "ACCESS_DENIED"
        }]
    }
}

Zu den möglichen failureReason Werten gehören ACCESS_DENIED undMAX_TAG_LIMIT_EXCEEDED.

{
  "detail-type": ["GuardDuty Malware Protection Object Scan Result"],
  "source": ["aws.guardduty"]
}

Beispiel für ein Benachrichtigungsschema für NO_THREATS_FOUND

{
    "version": "0",
    "id": "72c7d362-737a-6dce-fc78-9e27a0171419",
    "detail-type": "GuardDuty Malware Protection Object Scan Result",
    "source": "aws.guardduty",
    "account": "111122223333",
    "time": "2024-02-28T01:01:01Z",
    "region": "us-east-1",
    "resources": [arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE],
    "detail": {
        "versionId": "1.0",
        "scanStatus": "COMPLETED",
        "resourceType": "S3_OBJECT",
        "s3ObjectDetails": {
            "bucketName": "DOC-EXAMPLE-BUCKET",
            "objectKey": "APKAEIBAERJR2EXAMPLE",
            "eTag": "ASIAI44QH8DHBEXAMPLE"
        },
        "scanResultDetails": {
            "scanResultStatus": "NO_THREATS_FOUND",
            "threats": null
        }
    }
}

Beispiel für ein Benachrichtigungsschema für THREATS_FOUND

{
    "version": "0",
    "id": "72c7d362-737a-6dce-fc78-9e27a0171419",
    "detail-type": "GuardDuty Malware Protection Object Scan Result",
    "source": "aws.guardduty",
    "account": "111122223333",
    "time": "2024-02-28T01:01:01Z",
    "region": "us-east-1",
    "resources": [arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE],
    "detail": {
        "versionId": "1.0",
        "scanStatus": "COMPLETED",
        "resourceType": "S3_OBJECT",
        "s3ObjectDetails": {
            "bucketName": "DOC-EXAMPLE-BUCKET",
            "objectKey": "APKAEIBAERJR2EXAMPLE",
            "eTag": "ASIAI44QH8DHBEXAMPLE"
        },
        "scanResultDetails": {
            "scanResultStatus": "THREATS_FOUND",
            "threats": [
                {
                    "name": "EICAR-Test-File (not a virus)"
                }
            ]
        }
    }
}