Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Bearbeitung von GuardDuty Ergebnissen mit Amazon EventBridge
GuardDuty veröffentlicht (sendet) Ergebnisse automatisch als Ereignisse an Amazon EventBridge (ehemals Amazon CloudWatch Events), einen serverlosen Eventbus-Service. EventBridge liefert einen Stream von Daten aus Anwendungen und Services nahezu in Echtzeit an Ziele wie Amazon Simple Notification Service (Amazon SNS) -Themen, AWS Lambda -Funktionen und Amazon Kinesis Kinesis-Streams. Weitere Informationen finden Sie im [ EventBridge Amazon-Benutzerhandbuch](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html).
EventBridge ermöglicht die automatische Überwachung und Verarbeitung von GuardDuty Ergebnissen durch den Empfang von [Ereignissen](https://docs.aws.amazon.com/eventbridge/latest/userguide/aws-events.html). EventBridge empfängt Ereignisse sowohl für neu generierte Ergebnisse als auch für aggregierte Ergebnisse, wobei nachfolgende Ereignisse eines vorhandenen Ergebnisses mit dem ursprünglichen Ergebnis kombiniert werden. Jedem GuardDuty Befund wird eine Befund-ID zugewiesen, und für jeden Befund GuardDuty wird ein EventBridge Ereignis mit einer eindeutigen Befund-ID erstellt. Informationen zur Funktionsweise der Aggregation in finden Sie GuardDuty unter[GuardDuty Aggregation finden](finding-aggregation.md).
Zusätzlich zur automatisierten Überwachung und Verarbeitung EventBridge ermöglicht die Verwendung von eine längerfristige Aufbewahrung Ihrer Ergebnisdaten. GuardDuty speichert Ergebnisse für 90 Tage. Mit EventBridge können Sie Ergebnisdaten an Ihre bevorzugte Speicherplattform senden und die Daten so lange speichern, wie Sie möchten. Um Ergebnisse für einen längeren Zeitraum aufzubewahren, GuardDuty unterstützt[Generierte Ergebnisse nach Amazon S3 exportieren](guardduty_exportfindings.md).
**Topics**
+ [EventBridge Benachrichtigungshäufigkeit in GuardDuty](#eventbridge-freq-notifications-gdu)
+ [Ein Amazon SNS SNS-Thema und einen Endpunkt einrichten](#guardduty-eventbridge-set-up-sns-and-endpoint)
+ [Verwenden EventBridge mit GuardDuty](#eventbridge_events)
+ [Erstellen einer EventBridge Regel](#guardduty_eventbridge_severity_notification)
+ [EventBridge Regel für Umgebungen mit mehreren Konten](#guardduty_findings_eventbridge_multiaccount)
## Grundlegendes zur Häufigkeit von EventBridge Benachrichtigungen in GuardDuty
In diesem Abschnitt wird erklärt, wie oft Sie Benachrichtigungen über Fundfälle erhalten EventBridge und wie Sie die Häufigkeit für nachfolgende Fundfälle aktualisieren können.
**Benachrichtigungen für neu generierte Ergebnisse mit einer eindeutigen Befund-ID**
GuardDuty sendet diese Benachrichtigungen nahezu in Echtzeit, wenn ein Ergebnis mit einer eindeutigen Befund-ID generiert wird. Die Benachrichtigung umfasst alle nachfolgenden Vorkommen dieser Ergebnis-ID bei der Generierung der Benachrichtigung.
Die Benachrichtigungshäufigkeit für neu generierte Ergebnisse erfolgt nahezu in Echtzeit. Standardmäßig können Sie diese Häufigkeit nicht ändern.
**Benachrichtigungen für nachfolgende Erkenntnisse**
GuardDuty fasst alle nachfolgenden Ereignisse eines bestimmten Ergebnistyps, die innerhalb der 6-Stunden-Intervalle stattfinden, zu einem einzigen Ereignis zusammen. Nur ein Administratorkonto kann die EventBridge Benachrichtigungshäufigkeit für nachfolgende Befunde aktualisieren. Ein Mitgliedskonto kann diese Häufigkeit nicht für sein eigenes Konto aktualisieren. Wenn das delegierte GuardDuty Administratorkonto die Häufigkeit beispielsweise auf eine Stunde aktualisiert, erhalten alle Mitgliedskonten außerdem eine einstündige Benachrichtigungsfrequenz über die nachfolgenden Ereignisse, die an gesendet werden. EventBridge Weitere Informationen finden Sie unter [Mehrere Konten bei Amazon GuardDuty](guardduty_accounts.md).
Als Administratorkonto können Sie die Standardhäufigkeit von Benachrichtigungen über nachfolgende Befunde anpassen. Mögliche Werte sind 15 Minuten, 1 Stunde oder standardmäßig 6 Stunden. Weitere Informationen zum Einrichten der Häufigkeit für diese Benachrichtigungen finden Sie unter [Schritt 5 — Einstellung der Häufigkeit für den Export aktualisierter aktiver Ergebnisse](guardduty_exportfindings.md#guardduty_exportfindings-frequency).
Weitere Informationen darüber, wie das Administratorkonto EventBridge Benachrichtigungen für Mitgliedskonten erhält, finden Sie unter[EventBridge Regel für Umgebungen mit mehreren Konten](#guardduty_findings_eventbridge_multiaccount).
## Richten Sie ein Amazon SNS SNS-Thema und einen Endpunkt ein (E-Mail, Slack und Amazon Chime)
Amazon Simple Notification Service (Amazon SNS) ist ein vollständig verwalteter Service, der die Nachrichtenzustellung von Verlagen an Abonnenten ermöglicht. *Herausgeber kommunizieren asynchron mit Abonnenten, indem sie Nachrichten zu einem Thema senden.* Ein Thema ist ein logischer Zugriffspunkt und Kommunikationskanal, mit dem Sie mehrere Endpunkte wie AWS Lambda Amazon Simple Queue Service (Amazon SQS), HTTP/S und eine E-Mail-Adresse gruppieren können.
**Anmerkung**
Sie können Ihrer bevorzugten EventBridge Ereignisregel während oder nach der Erstellung der Regel ein Amazon SNS SNS-Thema hinzufügen.
**Ein Amazon SNS SNS-Thema erstellen**
Zu Beginn müssen Sie zunächst ein Thema in Amazon SNS einrichten und einen Endpunkt hinzufügen. Um ein Thema zu erstellen, führen Sie die Schritte in [Schritt 1: Thema erstellen](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) im *Amazon Simple Notification Service Developer Guide* aus. Nachdem das Thema erstellt wurde, kopieren Sie den Themen-ARN in die Zwischenablage. Sie werden dieses Thema ARN verwenden, um mit einem der bevorzugten Setups fortzufahren.
Wählen Sie eine bevorzugte Methode, um festzulegen, wohin Sie die Suchdaten senden GuardDuty möchten.
------
#### [ Email setup ]
**Um einen E-Mail-Endpunkt einzurichten**
Nach Ihnen [Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge) besteht der nächste Schritt darin, ein Abonnement für dieses Thema zu erstellen. Führen Sie die Schritte unter [Schritt 2: Abonnement für ein Amazon SNS SNS-Abonnement erstellen im Amazon](https://docs.aws.amazon.com/sns/latest/dg/sns-create-subscribe-endpoint-to-topic.html) *Simple Notification Service Developer Guide* aus.
1. Verwenden Sie für **Themen-ARN** den Themen-ARN, der im [Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge) Schritt erstellt wurde. Das Thema ARN sieht etwa wie folgt aus:
```
arn:aws:sns:us-east-2:123456789012:your_topic
```
1. Wählen Sie unter **Protocol** die Option **Email** aus.
1. Geben Sie für **Endpoint** eine E-Mail-Adresse ein, unter der Sie die Benachrichtigungen von Amazon SNS erhalten möchten.
Nachdem das Abonnement erstellt wurde, müssen Sie es über Ihren E-Mail-Client bestätigen.
------
#### [ Slack setup ]
**So konfigurierst du einen Amazon Q Developer in einem Client für Chat-Anwendungen - Slack**
Danach besteht der nächste Schritt darin[Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge), den Client für Slack zu konfigurieren.
Führe die Schritte unter [Tutorial: Erste Schritte mit Slack](https://docs.aws.amazon.com/chatbot/latest/adminguide/slack-setup.html) im *Administratorhandbuch für Amazon Q Developer in Chat-Anwendungen* durch.
------
#### [ Chime setup ]
**So konfigurieren Sie einen Client für Amazon Q Developer in Chat-Anwendungen — Chime**
Danach besteht der nächste Schritt darin[Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge), Amazon Q Developer für Chime zu konfigurieren.
Führen Sie die Schritte unter [Tutorial: Erste Schritte mit Amazon Chime](https://docs.aws.amazon.com/chatbot/latest/adminguide/chime-setup.html.html) im *Administratorhandbuch für Amazon Q Developer in Chat-Anwendungen* durch.
------
## Amazon EventBridge für GuardDuty Ergebnisse verwenden
Mit erstellen Sie Regeln EventBridge, um die Ereignisse anzugeben, die Sie überwachen möchten. Diese Regeln spezifizieren auch die Zieldienste und -anwendungen, die automatisierte Aktionen ausführen können, wenn diese Ereignisse eintreten. Ein [Ziel](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html) ist ein Ziel (eine Ressource oder ein Endpunkt), EventBridge an das ein Ereignis gesendet wird, wenn das Ereignis dem in der Regel definierten Ereignismuster entspricht. Jedes Ereignis ist ein JSON-Objekt, das dem EventBridge Schema für AWS Ereignisse entspricht und eine JSON-Darstellung eines Ergebnisses enthält. Sie können die Regel so anpassen, dass nur die Ereignisse gesendet werden, die bestimmte Kriterien erfüllen. Weitere Informationen finden Sie unter [Thema JSON-Schema]. Da die Ergebnisdaten als [EventBridgeEreignis](https://docs.aws.amazon.com/eventbridge/latest/userguide/eventbridge-and-event-patterns.html) strukturiert sind, können Sie die Ergebnisse mithilfe anderer Anwendungen, Dienste und Tools überwachen, verarbeiten und darauf reagieren.
Um Benachrichtigungen über GuardDuty Ergebnisse zu erhalten, die auf Ereignissen basieren, müssen Sie eine EventBridge Regel und ein Ziel für erstellen GuardDuty. Diese Regel EventBridge ermöglicht das Senden von Benachrichtigungen für GuardDuty generierte Ergebnisse an das in der Regel angegebene Ziel.
**Anmerkung**
EventBridge und CloudWatch Events sind derselbe zugrunde liegende Dienst und dieselbe API. EventBridge Enthält jedoch zusätzliche Funktionen, mit denen Sie Ereignisse von SaaS-Anwendungen (Software as a Service) und Ihren eigenen Anwendungen empfangen können. Da der zugrunde liegende Dienst und die API identisch sind, ist auch das Ereignisschema für GuardDuty Ergebnisse identisch.
**Wie GuardDuty funktionieren archivierte und nicht archivierte Ergebnisse EventBridge**
Bei Ergebnissen, die Sie manuell archivieren, werden die ersten und alle nachfolgenden Ergebnisse (die nach Abschluss der Archivierung generiert wurden) EventBridge anhand einer bestimmten Benachrichtigungshäufigkeit an folgende Empfänger gesendet. Weitere Informationen finden Sie unter [Grundlegendes zur Häufigkeit von EventBridge Benachrichtigungen in GuardDuty](#eventbridge-freq-notifications-gdu).
Bei Ergebnissen, die automatisch archiviert werden[Unterdrückungsregeln](findings_suppression-rule.md), werden die ersten und alle nachfolgenden Vorkommen dieser Ergebnisse (die nach Abschluss der Archivierung generiert wurden) *nicht* an gesendet. EventBridge Sie können diese automatisch archivierten Ergebnisse in der GuardDuty Konsole einsehen.
### Schema des Ereignisses
Ein [Ereignismuster](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html) definiert, anhand welcher Daten bestimmt EventBridge wird, ob das Ereignis an das Ziel gesendet werden soll. Das EventBridge Ereignis für GuardDuty hat das folgende Format:
```
{
"version": "0",
"id": "cd2d702e-ab31-411b-9344-793ce56b1bc7",
"detail-type": "GuardDuty Finding",
"source": "aws.guardduty",
"account": "111122223333",
"time": "1970-01-01T00:00:00Z",
"region": "us-east-1",
"resources": [],
"detail": {GUARDDUTY_FINDING_JSON_OBJECT}
}
```
*Der `detail` Wert gibt die JSON-Details eines einzelnen Ergebnisses als Objekt zurück, im Gegensatz zur Rückgabe der gesamten Ergebnisantwortsyntax, die mehrere Ergebnisse innerhalb eines Arrays unterstützt.*
Eine vollständige Liste aller in enthaltenen Parameter finden Sie `GUARDDUTY_FINDING_JSON_OBJECT` unter [GetFindings](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetFindings.html#API_GetFindings_ResponseSyntax). Der `id`-Parameter, der in der `GUARDDUTY_FINDING_JSON_OBJECT` angezeigt wird, ist die zuvor beschriebene Ergebnis-ID.
## Eine EventBridge Regel für GuardDuty Ergebnisse erstellen
In den folgenden Verfahren wird erklärt, wie Sie mit der EventBridge Amazon-Konsole und dem [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) eine EventBridge Regel für GuardDuty Ergebnisse erstellen. Die Regel erkennt EventBridge Ereignisse, die das Ereignisschema und das Muster für GuardDuty Ergebnisse verwenden, und sendet diese Ereignisse zur Verarbeitung an eine AWS Lambda Funktion.
AWS Lambda ist ein Rechendienst, mit dem Sie Code ausführen können, ohne Server bereitzustellen oder zu verwalten. Sie verpacken Ihren Code und laden ihn AWS Lambda als *Lambda-Funktion* hoch. AWS Lambda führt dann die Funktion aus, wenn die Funktion aufgerufen wird. Eine Funktion kann manuell von Ihnen, automatisch als Reaktion auf Ereignisse oder als Reaktion auf Anforderungen von Anwendungen oder Diensten aufgerufen werden. Informationen zum Erstellen und Abrufen und Lambda-Funktionen finden Sie im [AWS Lambda -Entwicklerhandbuch](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html).
Wählen Sie Ihre bevorzugte Methode, um eine EventBridge Regel zu erstellen, die Ihr GuardDuty Ergebnis an ein Ziel sendet.
------
#### [ Console ]
Gehen Sie wie folgt vor, um mit der EventBridge Amazon-Konsole eine Regel zu erstellen, die automatisch alle GuardDuty Findereignisse zur Verarbeitung an eine Lambda-Funktion sendet. Die Regel verwendet Standardeinstellungen für Regeln, die ausgeführt werden, wenn bestimmte Ereignisse empfangen werden. Einzelheiten zu Regeleinstellungen oder wie Sie eine Regel erstellen, die benutzerdefinierte Einstellungen verwendet, finden Sie im * EventBridge Amazon-Benutzerhandbuch* unter [Regeln erstellen, die auf Ereignisse reagieren](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html).
Bevor Sie diese Regel erstellen, erstellen Sie die Lambda-Funktion, die die Regel als Ziel verwenden soll. Wenn Sie die Regel erstellen, müssen Sie diese Funktion als Ziel für die Regel angeben. Ihr Ziel kann auch das SNS-Thema sein, das Sie zuvor erstellt haben. Weitere Informationen finden Sie unter [Richten Sie ein Amazon SNS SNS-Thema und einen Endpunkt ein (E-Mail, Slack und Amazon Chime)](#guardduty-eventbridge-set-up-sns-and-endpoint).
**So erstellen Sie eine Ereignisregel mithilfe der Konsole**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die EventBridge Amazon-Konsole unter [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Wählen Sie im Navigationsbereich unter **Busse** die Option **Regeln** aus.
1. Wählen Sie im Abschnitt **Rules (Regeln)** die Option **Create rule (Regel erstellen)** aus.
1. Gehen Sie auf der **Detailseite Regel definieren** wie folgt vor:
1. Geben Sie für **Rule name (Regelname)** einen Namen für die Regel ein.
1. (Optional) Geben Sie unter **Beschreibung** eine kurze Beschreibung der Regel ein.
1. Stellen Sie sicher, dass für **Event Bus** die Option **Standard** ausgewählt ist und **die Option Regel auf dem ausgewählten Event-Bus aktivieren** aktiviert ist.
1. Bei **Regeltyp** wählen Sie **Regel mit einem Ereignismuster** aus.
1. Wenn Sie fertig sind, wählen Sie **Next (Weiter)** aus.
1. Gehen Sie auf der Seite **Event-Pattern erstellen** wie folgt vor:
1. Wählen Sie als **Ereignisquelle AWS ** **Ereignisse oder EventBridge Partnerereignisse** aus.
1. (Optional) Sehen Sie sich für **Beispielereignis** ein Beispiel für ein Suchereignis an GuardDuty , um zu erfahren, was ein Ereignis beinhalten könnte. Wählen Sie dazu **AWS Ereignisse** aus. Wählen Sie dann für **Beispielereignisse** die Option **GuardDutyFinding** aus.
1.
**Option 1 — Verwenden von Pattern Form, einer Vorlage, die Folgendes EventBridge bietet**
Im Abschnitt **Ereignismuster** können Sie Folgendes tun:
1. Wählen Sie als **Erstellungsmethode** die Option **Musterformular verwenden aus**.
1. Wählen Sie für **Ereignisquelle** die Option **AWS-Services** aus.
1. Wählen Sie für **AWS-Service** **GuardDuty** aus.
1. Wählen Sie als **Ereignistyp** die Option **GuardDuty Finding** aus.
Wenn Sie fertig sind, wählen Sie **Next (Weiter)** aus.
1.
**Option 2 — Verwenden eines benutzerdefinierten Ereignismusters in JSON**
Im Abschnitt **Ereignismuster** können Sie Folgendes tun:
1. Wählen Sie als **Erstellungsmethode** die Option **Benutzerdefiniertes Muster (JSON-Editor)** aus.
1. Fügen Sie **unter Ereignismuster** den folgenden benutzerdefinierten JSON-Code ein, der eine Warnung für mittlere, hohe und kritische Ergebnisse erstellt. Weitere Informationen finden Sie unter [Schweregrade der Ergebnisse](guardduty_findings-severity.md).
```
{
"source": [
"aws.guardduty"
],
"detail-type": [
"GuardDuty Finding"
],
"detail": {
"severity": [
4,
4.0,
4.1,
4.2,
4.3,
4.4,
4.5,
4.6,
4.7,
4.8,
4.9,
5,
5.0,
5.1,
5.2,
5.3,
5.4,
5.5,
5.6,
5.7,
5.8,
5.9,
6,
6.0,
6.1,
6.2,
6.3,
6.4,
6.5,
6.6,
6.7,
6.8,
6.9,
7,
7.0,
7.1,
7.2,
7.3,
7.4,
7.5,
7.6,
7.7,
7.8,
7.9,
8,
8.0,
8.1,
8.2,
8.3,
8.4,
8.5,
8.6,
8.7,
8.8,
8.9,
9,
9.0,
9.1,
9.2,
9.3,
9.4,
9.5,
9.6,
9.7,
9.8,
9.9,
10,
10.0
]
}
}
```
Wenn Sie fertig sind, wählen Sie **Next (Weiter)** aus.
1.
**Option A — Auswahl AWS-Service — AWS Lambda als Ziel**
Gehen Sie auf der Seite **Ziel (e) auswählen** wie folgt vor:
1. Wählen Sie für **Zieltypen** aus **AWS-Service**.
1. Für **Select a target** (Ein Ziel auswählen), wählen die Option **Lambda function** (Lambda-Funktion) aus. Wählen Sie dann für **Function** die Lambda-Funktion aus, an die Sie Suchereignisse senden möchten.
1. Geben **Sie unter Version/Alias konfigurieren** die Versions- oder Aliaseinstellungen für die Lambda-Zielfunktion ein.
1. (Optional) Geben Sie für **Zusätzliche Einstellungen** benutzerdefinierte Einstellungen ein, um anzugeben, welche Ereignisdaten Sie an die Lambda-Funktion senden möchten. Sie können auch angeben, wie Ereignisse behandelt werden sollen, die nicht erfolgreich an die Funktion übermittelt wurden.
1. Wenn Sie fertig sind, wählen Sie **Next (Weiter)** aus.
1.
**Option B — Auswahl eines SNS-Themas als Ziel**
Gehen Sie auf der Seite **Ziel (e) auswählen** wie folgt vor:
1. Wählen Sie für **Zieltypen** aus **AWS-Service**.
1. Für **Select a target** (Wählen Sie ein Ziel aus), wählen Sie **SNS-Thema** aus. Wählen Sie dann für **Zielstandort** die passende Option aus, die auf Ihrem Zielort basiert. Wählen Sie **unter Thema** den Namen des SNS-Themas aus, das Sie erstellt haben.
1. Erweitern Sie **Additional settings** (Zusätzliche Einstellungen). Wählen **Sie für Zieleingabe konfigurieren die Option **Eingangstransformator**** aus.
1. Wählen Sie **Configure input transformer** (Eingabetransformator konfigurieren).
1. Kopieren Sie den folgenden Code und fügen Sie ihn in das Feld **Eingabepfad** im Abschnitt **Zieleingangstransformator** ein.
```
{
"severity": "$.detail.severity",
"Account_ID": "$.detail.accountId",
"Finding_ID": "$.detail.id",
"Finding_Type": "$.detail.type",
"region": "$.region",
"Finding_description": "$.detail.description"
}
```
1. Kopieren Sie den folgenden Code und fügen Sie ihn in das Feld **Vorlage** ein, um die E-Mail zu formatieren.
```
"You have a severity GuardDuty finding type in the Region."
"Finding Description:"
". "
"For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=#/findings?search=id%3D"
```
1. Geben Sie auf der Seite **Tags konfigurieren** optional ein oder mehrere Tags ein, die der Regel zugewiesen werden sollen. Klicken Sie anschließend auf **Weiter**.
1. **Überprüfen Sie auf der Seite Überprüfen und erstellen** die Einstellungen der Regel und stellen Sie sicher, dass sie korrekt sind.
Um eine Einstellung zu ändern, wählen Sie in dem Abschnitt, der die Einstellung enthält, **Bearbeiten** aus und geben Sie dann die richtige Einstellung ein. Sie können auch die Navigationsregisterkarten verwenden, um zu der Seite zu gelangen, die eine Einstellung enthält.
1. Wenn Sie mit der Überprüfung der Einstellungen fertig sind, wählen Sie **Regel erstellen** aus.
------
#### [ API ]
Das folgende Verfahren zeigt, wie Sie mithilfe von AWS CLI Befehlen eine EventBridge Regel und ein Ziel für GuardDuty erstellen. Das Verfahren zeigt Ihnen insbesondere, wie Sie eine Regel erstellen, die es EventBridge ermöglicht, Ereignisse für alle GuardDuty generierten Ergebnisse an eine AWS Lambda Funktion als Ziel für die Regel zu senden.
**Anmerkung**
In diesem Beispiel verwenden wir eine Lambda-Funktion als Ziel für die EventBridge auslösende Regel. Sie können auch andere AWS Ressourcen als auszulösende Ziele konfigurieren. EventBridge GuardDuty und EventBridge unterstützt die folgenden Zieltypen: Amazon EC2 EC2-Instances, Amazon Kinesis Kinesis-Streams, Amazon ECS-Aufgaben, AWS Step Functions Zustandsmaschinen, den `run` Befehl und integrierte Ziele. Weitere Informationen finden Sie [PutTargets](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutTargets.html)in der *Amazon EventBridge API-Referenz*.
**Erstellen von Regeln und Zielen**
1. Führen Sie den folgenden EventBridge CLI-Befehl aus, EventBridge um eine Regel zu erstellen, die das Senden von Ereignissen für alle GuardDuty generierten Ergebnisse ermöglicht.
```
aws events put-rule --name your-rule-name --event-pattern "{\"source\":[\"aws.guardduty\"]}"
```
Sie können Ihre Regel weiter anpassen, sodass sie anweist, Ereignisse nur für eine Teilmenge der GuardDuty generierten Ergebnisse EventBridge zu senden. Diese Untergruppe basiert auf dem/den in der Regel angegebenen Ergebnisattribut(en). Verwenden Sie beispielsweise den folgenden CLI-Befehl, um eine Regel zu erstellen, die es ermöglicht EventBridge , nur Ereignisse für die GuardDuty Ergebnisse mit dem Schweregrad 5 oder 8 zu senden:
```
aws events put-rule --name your-rule-name --event-pattern "{\"source\":[\"aws.guardduty\"],\"detail-type\":[\"GuardDuty Finding\"],\"detail\":{\"severity\":[5,8]}}"
```
Zu diesem Zweck können Sie alle Eigenschaftswerte verwenden, die im JSON für GuardDuty Ergebnisse verfügbar sind.
1. Führen Sie den folgenden CloudWatch CLI-Befehl aus, um eine Lambda-Funktion als Ziel für die Regel anzuhängen, die Sie in Schritt 1 erstellt haben.
```
aws events put-targets --rule your-target-name --targets Id=1,Arn=arn:aws:lambda:us-east-1:111122223333:function:your_function
```
Stellen Sie sicher, dass Sie `your-target-name` den obigen Befehl durch Ihre tatsächliche Lambda-Funktion für die GuardDuty Ereignisse ersetzen.
1. Führen Sie den folgenden Lambda-CLI-Befehl aus, um die erforderlichen Berechtigungen zum Aufrufen des Ziels hinzuzufügen.
```
aws lambda add-permission --function-name your-target-name --statement-id 1 --action 'lambda:InvokeFunction' --principal events.amazonaws.com
```
Stellen Sie sicher, dass Sie `your_function` den obigen Befehl durch Ihre tatsächliche Lambda-Funktion für die GuardDuty Ereignisse ersetzen.
------
## EventBridge Regel für Umgebungen mit GuardDuty mehreren Konten
Wenn Sie ein delegiertes GuardDuty Administratorkonto verwenden, können Sie die in den Mitgliedskonten generierten Ereignisse einsehen und mithilfe anderer Anwendungen und Dienste Maßnahmen ergreifen. EventBridge Regeln in Ihrem Administratorkonto werden basierend auf den entsprechenden Ergebnissen aus Ihren Mitgliedskonten ausgelöst. Wenn Sie EventBridge in Ihrem Administratorkonto Benachrichtigungen für die Suche einrichten, erhalten Sie Benachrichtigungen über Ergebnisse sowohl von Ihrem Konto als auch von Ihren Mitgliedskonten. Sie können EventBridge beispielsweise bestimmte Arten von Ergebnissen an eine Lambda-Funktion senden, die die Daten verarbeitet und an Ihr SIEM-System (Security Incident and Event Management) sendet.
Sie können das Mitgliedskonto, aus dem das GuardDuty Ergebnis stammt, anhand des `accountId` Felds mit den JSON-Details des Ergebnisses identifizieren. Um eine benutzerdefinierte Ereignisregel für bestimmte Mitgliedskonten zu erstellen, erstellen Sie eine neue Regel und verwenden Sie die folgende Vorlage **unter Ereignismuster**. *123456789012*Ersetzen Sie es durch das Konto `accountId` des Mitgliedskontos, für das Sie das Ereignis auslösen möchten.
```
{
"source": [
"aws.guardduty"
],
"detail-type": [
"GuardDuty Finding"
],
"detail": {
"accountId": [
"123456789012"
]
}
}
```
**Anmerkung**
In diesem Beispiel wird eine Regel erstellt, die allen Ergebnissen der angegebenen Konto-ID entspricht. Sie können mehrere Konten angeben, IDs indem Sie sie gemäß der JSON-Syntax durch Kommas trennen.