Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Procesando GuardDuty las conclusiones con Amazon EventBridge
GuardDuty publica (envía) automáticamente los resultados como eventos a Amazon EventBridge (anteriormente Amazon CloudWatch Events), un servicio de bus de eventos sin servidor. EventBridge ofrece un flujo de datos prácticamente en tiempo real desde aplicaciones y servicios a destinos como temas AWS Lambda , funciones y transmisiones de Amazon Kinesis del Amazon Simple Notification Service (Amazon SNS). Para obtener más información, consulta la [Guía EventBridge del usuario de Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html).
EventBridge permite la supervisión y el procesamiento automatizados de GuardDuty los hallazgos mediante la recepción de [eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/aws-events.html). EventBridge recibe eventos tanto para los hallazgos recién generados como para los hallazgos agregados, donde las apariciones posteriores de un hallazgo existente se combinan con el original. A cada GuardDuty hallazgo se le asigna un identificador de hallazgo y GuardDuty crea un EventBridge evento para cada hallazgo con un identificador de hallazgo único. Para obtener información sobre cómo funciona la agregación GuardDuty, consulte[GuardDuty encontrar agregación](finding-aggregation.md).
Además de la supervisión y el procesamiento automatizados, el uso de EventBridge permite conservar los datos de sus hallazgos a más largo plazo. GuardDuty almacena los resultados durante 90 días. Con EventBridge él, puede enviar los datos de los hallazgos a su plataforma de almacenamiento preferida y almacenar los datos durante el tiempo que desee. Para conservar los hallazgos durante más tiempo, GuardDuty apoya[Exportar los resultados generados a Amazon S3](guardduty_exportfindings.md).
**Topics**
+ [EventBridge frecuencia de notificación en GuardDuty](#eventbridge-freq-notifications-gdu)
+ [Configuración de un punto de conexión y un tema de Amazon SNS](#guardduty-eventbridge-set-up-sns-and-endpoint)
+ [Utilizándolo EventBridge con GuardDuty](#eventbridge_events)
+ [Creación de una regla de EventBridge](#guardduty_eventbridge_severity_notification)
+ [EventBridge regla para entornos con varias cuentas](#guardduty_findings_eventbridge_multiaccount)
## Comprender la frecuencia EventBridge de las notificaciones en GuardDuty
En esta sección se explica la frecuencia con la que se reciben notificaciones de búsqueda EventBridge y cómo se actualiza la frecuencia para que se produzcan búsquedas posteriores.
**Notificaciones de resultados recién generados con un identificador de resultado único**
GuardDuty envía estas notificaciones prácticamente en tiempo real cuando genera un hallazgo con un identificador de hallazgo único. La notificación incluye todas las apariciones posteriores de este identificador de resultados durante el proceso de generación de la notificación.
La frecuencia de notificación de los resultados recién generados es casi en tiempo real. De forma predeterminada, no se puede modificar esta frecuencia.
**Notificaciones de casos de resultados subsiguientes**
GuardDuty agrupa todas las incidencias posteriores de un tipo de hallazgo concreto que se produzcan en intervalos de 6 horas en un único evento. Solo una cuenta de administrador puede actualizar la frecuencia de EventBridge notificaciones para que se produzcan búsquedas posteriores. Una cuenta de miembro no puede actualizar esta frecuencia para su propia cuenta. Por ejemplo, si la cuenta de GuardDuty administrador delegado actualiza la frecuencia a una hora, todas las cuentas de los miembros también tendrán una frecuencia de notificación de una hora sobre las siguientes búsquedas que EventBridge se envíen. Para obtener más información, consulte [Varias cuentas en Amazon GuardDuty](guardduty_accounts.md).
Como cuenta de administrador, puede personalizar la frecuencia predeterminada de las notificaciones sobre las incidencias de resultados posteriores. Los valores posibles son 15 minutos, una hora o seis horas, que es el valor predeterminado. Para obtener información acerca de la configuración de la frecuencia de estas notificaciones, consulte [Paso 5: Establecer la frecuencia de exportación de los resultados activos actualizados](guardduty_exportfindings.md#guardduty_exportfindings-frequency).
Para obtener más información sobre cómo las cuentas de administrador reciben EventBridge notificaciones para las cuentas de los miembros, consulte[EventBridge regla para entornos con varias cuentas](#guardduty_findings_eventbridge_multiaccount).
## Configuración de un tema y un punto de conexión de Amazon SNS (correo electrónico, Slack y Amazon Chime)
Amazon Simple Notification Service (Amazon SNS) es un servicio totalmente administrado que proporciona la entrega de mensajes de los publicadores a los suscriptores. Los publicadores se comunican de forma asíncrona con los suscriptores mediante el envío mensajes a un *tema*. Un tema es un punto de acceso lógico y un canal de comunicación que le permite agrupar varios puntos de enlace AWS Lambda, como Amazon Simple Queue Service (Amazon SQS), HTTP/S y una dirección de correo electrónico.
**nota**
Puedes añadir un tema de Amazon SNS a la regla de EventBridge eventos que prefieras durante o después de la creación de la regla.
**Crear un tema de Amazon SNS**
Para empezar, antes se debe configurar un tema en Amazon SNS y agregar un punto de conexión. Para crear un tema, siga los pasos indicados en [Paso 1: Crear un tema](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) en la *Guía para desarrolladores de Amazon Simple Notification Service*. Después de crear el tema, copie el ARN del tema en el portapeles. Utilizará este ARN del tema para continuar con una de las configuraciones preferidas.
Elija el método que prefiera para establecer a dónde quiere enviar los datos de GuardDuty búsqueda.
------
#### [ Email setup ]
**Para configurar un punto de conexión de correo electrónico**
Después de [Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge), el siguiente paso es crear una suscripción a este tema. Siga los pasos indicados en [Paso2: Creación de una suscripción a un tema de Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-create-subscribe-endpoint-to-topic.html) en la *Guía para desarrolladores de Amazon Simple Notification Service*.
1. Para el **ARN del tema**, utilice el ARN del tema creado en el paso [Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge). El ARN de tema tiene un aspecto similar al siguiente:
```
arn:aws:sns:us-east-2:123456789012:your_topic
```
1. En **Protocol**, seleccione **Email**.
1. En **Punto de conexión**, escriba la dirección de correo electrónico donde desee que se reciban las notificaciones de Amazon SNS.
Después de creada la suscripción, tendrá que confirmarla a través del cliente de correo electrónico.
------
#### [ Slack setup ]
**Configuración de un Amazon Q Developer en el cliente de aplicaciones de chat - Slack**
Después de [Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge), el siguiente paso es configurar el cliente para Slack.
Siga los pasos en [Tutorial: Primeros pasos con Slack](https://docs.aws.amazon.com/chatbot/latest/adminguide/slack-setup.html) en la *Guía del administrador de aplicaciones de chat de Amazon Q Developer*.
------
#### [ Chime setup ]
**Configuración de un Amazon Q Developer en el cliente de aplicaciones de chat - Chime**
Después de [Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge), el siguiente paso es configurar Amazon Q Developer para Chime.
Siga los pasos en [Tutorial: Primeros pasos con Amazon Chime](https://docs.aws.amazon.com/chatbot/latest/adminguide/chime-setup.html.html) en la *Guía del administrador de aplicaciones de chat de Amazon Q Developer*.
------
## Uso de Amazon EventBridge para GuardDuty encontrar
Con EventBridge, puede crear reglas para especificar los eventos que desea supervisar. Estas reglas también especifican los servicios y aplicaciones de destino que pueden realizar acciones automatizadas si se producen estos eventos. Un [objetivo](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html) es un destino (un recurso o un punto final) EventBridge al que se envía un evento cuando el evento coincide con el patrón de eventos definido en la regla. Cada evento es un objeto JSON que se ajusta al EventBridge esquema de AWS eventos y contiene una representación en JSON de un hallazgo. Puede personalizar la regla para que envíe solo los eventos que cumplan determinados criterios. Para obtener más información, consulte [tema sobre el esquema de JSON]. Como los datos de los hallazgos están estructurados como un [EventBridgeevento](https://docs.aws.amazon.com/eventbridge/latest/userguide/eventbridge-and-event-patterns.html), puedes monitorizarlos, procesarlos y actuar en consecuencia mediante el uso de otras aplicaciones, servicios y herramientas.
Para recibir notificaciones sobre GuardDuty los hallazgos basados en eventos, debe crear una EventBridge regla y un objetivo para GuardDuty. Esta regla permite EventBridge enviar notificaciones de los hallazgos que se GuardDuty generen al objetivo especificado en la regla.
**nota**
EventBridge y CloudWatch Events son el mismo servicio y API subyacentes. Sin embargo, EventBridge incluye funciones adicionales que le ayudan a recibir eventos de aplicaciones de software como servicio (SaaS) y de sus propias aplicaciones. Como el servicio y la API subyacentes son los mismos, el esquema de eventos para GuardDuty los hallazgos también es el mismo.
**Cómo funcionan los hallazgos archivados y no archivados con GuardDuty EventBridge**
En el caso de las conclusiones que se archivan manualmente, las apariciones iniciales y todas las posteriores (generadas una vez finalizado el archivado) se envían en EventBridge función de una frecuencia de notificación específica. Para obtener más información, consulte [Comprender la frecuencia EventBridge de las notificaciones en GuardDuty](#eventbridge-freq-notifications-gdu).
En el caso de las conclusiones que se archivan automáticamente[Reglas de supresión](findings_suppression-rule.md), no se envían a la carpeta *ni* a todas las incidencias posteriores (generadas una vez finalizado el archivado). EventBridge Puede ver estas conclusiones archivadas automáticamente en la consola. GuardDuty
### Esquema de evento
Un [patrón de eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html) define los datos que se EventBridge utilizan para determinar si se debe enviar el evento al objetivo. El EventBridge evento para GuardDuty tiene el siguiente formato:
```
{
"version": "0",
"id": "cd2d702e-ab31-411b-9344-793ce56b1bc7",
"detail-type": "GuardDuty Finding",
"source": "aws.guardduty",
"account": "111122223333",
"time": "1970-01-01T00:00:00Z",
"region": "us-east-1",
"resources": [],
"detail": {GUARDDUTY_FINDING_JSON_OBJECT}
}
```
El valor de `detail` devuelve los detalles en formato JSON de un solo resultado como objeto, en lugar de devolver toda la sintaxis de la respuesta *resultados*, que puede respaldar varios resultados dentro de una matriz.
Para obtener una lista completa de todos los parámetros incluidos en`GUARDDUTY_FINDING_JSON_OBJECT`, consulte [GetFindings](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetFindings.html#API_GetFindings_ResponseSyntax). El parámetro `id` que aparece en la `GUARDDUTY_FINDING_JSON_OBJECT` es el ID de resultado descrito anteriormente.
## Crear una EventBridge regla para los GuardDuty hallazgos
En los siguientes procedimientos se explica cómo utilizar la EventBridge consola de Amazon y el [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) para crear una EventBridge regla para GuardDuty los hallazgos. La regla detecta EventBridge los eventos que utilizan el esquema y el patrón de eventos para los GuardDuty hallazgos y los envía a una AWS Lambda función para su procesamiento.
AWS Lambda es un servicio informático que puede utilizar para ejecutar código sin aprovisionar ni administrar servidores. Empaqueta el código y lo carga AWS Lambda como una función *Lambda*. AWS Lambda luego ejecuta la función cuando se invoca la función. Una función se puede invocar manualmente, automáticamente en respuesta a eventos o en respuesta a solicitudes de aplicaciones o servicios. Para obtener más información acerca de cómo crear e invocar funciones de Lambda, consulte la [Guía para desarrolladores de AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html).
Elige el método que prefieras para crear una EventBridge regla que envíe tu GuardDuty hallazgo a un objetivo.
------
#### [ Console ]
Siga estos pasos para usar la EventBridge consola de Amazon y crear una regla que envíe automáticamente todos los eventos de GuardDuty búsqueda a una función de Lambda para su procesamiento. La regla usa la configuración predeterminada para las reglas que se ejecutan cuando se reciben eventos específicos. Para obtener más información sobre la configuración de las reglas o para aprender a crear una regla que utilice una configuración personalizada, consulta [Crear reglas que reaccionen a los eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) en la *Guía del EventBridge usuario de Amazon*.
Antes de crear la regla, cree la función de Lambda que quiere que la regla utilice como destino. Cuando cree la regla, tendrá que especificar esta función como destino. Su destino también puede ser el tema de SNS que creó anteriormente. Para obtener más información, consulte [Configuración de un tema y un punto de conexión de Amazon SNS (correo electrónico, Slack y Amazon Chime)](#guardduty-eventbridge-set-up-sns-and-endpoint).
**Crear una regla para un evento con la consola**
1. Inicia sesión en la EventBridge consola de Amazon Consola de administración de AWS y ábrela en [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. En el panel de navegación, en **Buses**, elija **Reglas**.
1. En la sección **Reglas**, elija **Crear regla**.
1. En la página **Definir detalle de la regla**, haga lo siguiente:
1. En **Nombre**, ingrese el nombre de la regla.
1. (Opcional) En **Descripción**, ingrese una breve descripción de la regla de autorización.
1. En el caso del **Bus de eventos**, asegúrese de que esté seleccionada la opción **predeterminada** y que esté activada la opción **Habilitar la regla en el bus de eventos seleccionado**.
1. En **Tipo de regla**, elija **Regla con un patrón de evento**.
1. Cuando haya terminado, elija **Siguiente**.
1. En la página **Crear patrón de evento**, realice una de las siguientes acciones:
1. **En Origen del evento**, selecciona **AWS eventos o eventos EventBridge asociados**.
1. (Opcional) En el caso de un **evento** de muestra, consulta un ejemplo de evento de búsqueda GuardDuty para saber qué puede contener un evento. Para ello, seleccione **AWS eventos**. A continuación, en **Ejemplos de eventos**, selecciona **GuardDutyBuscar**.
1.
**Opción 1: usar el formulario de patrón, una plantilla que EventBridge proporciona**
En la sección **Patrón de eventos**, realice una de las siguientes acciones:
1. En **Método de creación**, seleccione **Usar forma de patrón**.
1. En **Origen del evento**, elija **Servicios de AWS**.
1. En **Servicio de AWS**, elija **GuardDuty**.
1. **En Tipo de evento**, elija **GuardDuty Buscar**.
Cuando haya terminado, elija **Siguiente**.
1.
**Opción 2: Uso de un patrón de eventos personalizado en JSON**
En la sección **Patrón de eventos**, realice una de las siguientes acciones:
1. En **Método de creación**, elija **Patrón personalizado (editor JSON)**.
1. En el **patrón de eventos**, pegue el siguiente JSON personalizado para crear una alerta con los resultados medios, altos y críticos. Para obtener más información, consulte [Niveles de gravedad de los resultados](guardduty_findings-severity.md).
```
{
"source": [
"aws.guardduty"
],
"detail-type": [
"GuardDuty Finding"
],
"detail": {
"severity": [
4,
4.0,
4.1,
4.2,
4.3,
4.4,
4.5,
4.6,
4.7,
4.8,
4.9,
5,
5.0,
5.1,
5.2,
5.3,
5.4,
5.5,
5.6,
5.7,
5.8,
5.9,
6,
6.0,
6.1,
6.2,
6.3,
6.4,
6.5,
6.6,
6.7,
6.8,
6.9,
7,
7.0,
7.1,
7.2,
7.3,
7.4,
7.5,
7.6,
7.7,
7.8,
7.9,
8,
8.0,
8.1,
8.2,
8.3,
8.4,
8.5,
8.6,
8.7,
8.8,
8.9,
9,
9.0,
9.1,
9.2,
9.3,
9.4,
9.5,
9.6,
9.7,
9.8,
9.9,
10,
10.0
]
}
}
```
Cuando haya terminado, elija **Siguiente**.
1.
**Opción A: Seleccionar Servicio de AWS - AWS Lambda como objetivo**
En la página **Seleccionar destino(s)**, haga lo siguiente:
1. Para los **tipos de destino**, seleccione **Servicio de AWS**.
1. En **Seleccione destino**, elija **Función de Lambda**. Luego, en **Función**, elija la función de Lambda a la que quiera enviar los eventos de resultados.
1. En **Configurar version/alias**, ingrese la configuración de versión o alias de la función de Lambda de destino.
1. (Opcional) En **Configuración adicional**, introduzca una configuración personalizada para especificar qué datos de eventos desea enviar a la función de Lambda. También puede especificar cómo gestionar los eventos que no se envíen correctamente a la función.
1. Cuando haya terminado, elija **Siguiente**.
1.
**Opción B: Selección del tema de SNS como destino**
En la página **Seleccionar destino(s)**, haga lo siguiente:
1. Para los **tipos de destino**, seleccione **Servicio de AWS**.
1. Para **Seleccione un destino**, elija **Tema de SNS**. A continuación, en **Ubicación de destino**, seleccione la opción adecuada en función de la ubicación de destino. En la lista **Tema**, seleccione el nombre del tema de SNS que creó.
1. Amplíe **Configuración adicional**. En **Configurar entrada de destino**, seleccione **Transformador de entrada)**.
1. Elija **Configurar transformador de entrada**.
1. Copie el siguiente código en el campo **Ruta de entrada** de la sección **Transformador de entrada de destino**.
```
{
"severity": "$.detail.severity",
"Account_ID": "$.detail.accountId",
"Finding_ID": "$.detail.id",
"Finding_Type": "$.detail.type",
"region": "$.region",
"Finding_description": "$.detail.description"
}
```
1. Copie el código siguiente y péguelo en el campo **Plantilla** para dar formato al correo electrónico.
```
"You have a severity GuardDuty finding type in the Region."
"Finding Description:"
". "
"For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=#/findings?search=id%3D"
```
1. En la página **Configurar etiquetas**, si lo desea, introduzca una o más etiquetas para asignarlas a la regla. A continuación, elija **Siguiente**.
1. En la página **Revisar y crear**, revise cada configuración y compruebe que es correcta.
Para cambiar una configuración, elija **Editar** en la sección que contiene la configuración y, a continuación, escriba la configuración adecuada. También puede usar las pestañas de navegación para ir a la página que contiene una configuración.
1. Cuando termine de verificar la configuración, elija **Crear regla**.
------
#### [ API ]
El siguiente procedimiento muestra cómo utilizar AWS CLI los comandos para crear una EventBridge regla y un destino para GuardDuty. En concreto, el procedimiento muestra cómo crear una regla que permita EventBridge enviar eventos para todos los hallazgos que se GuardDuty generen a una AWS Lambda función como destino de la regla.
**nota**
En este ejemplo, utilizamos una función Lambda como objetivo de la regla que se activa. EventBridge También puedes configurar otros AWS recursos como objetivos para EventBridge activarlos. GuardDuty y EventBridge admiten los siguientes tipos de objetivos: instancias de Amazon EC2, transmisiones de Amazon Kinesis, tareas de Amazon ECS AWS Step Functions , máquinas de estado, comandos y `run` destinos integrados. Para obtener más información, consulta [PutTargets](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutTargets.html)la *referencia de la EventBridge API de Amazon*.
**Creación de una regla y un destino**
1. Para crear una regla que permita EventBridge enviar eventos para todos los hallazgos que se GuardDuty generen, ejecute el siguiente comando EventBridge CLI.
```
aws events put-rule --name your-rule-name --event-pattern "{\"source\":[\"aws.guardduty\"]}"
```
Puede personalizar aún más la regla para que indique que solo se EventBridge envíen eventos para un subconjunto de los hallazgos GuardDuty generados. Este subconjunto se basa en los atributos de resultado o atributos especificados en la regla. Por ejemplo, utilice el siguiente comando CLI para crear una regla que EventBridge permita enviar solo eventos para los GuardDuty hallazgos con una gravedad de 5 u 8:
```
aws events put-rule --name your-rule-name --event-pattern "{\"source\":[\"aws.guardduty\"],\"detail-type\":[\"GuardDuty Finding\"],\"detail\":{\"severity\":[5,8]}}"
```
Para ello, puede utilizar cualquiera de los valores de propiedad que estén disponibles en el JSON para GuardDuty los hallazgos.
1. Para adjuntar una función Lambda como destino para la regla que creó en el paso 1, ejecute el siguiente comando CloudWatch CLI.
```
aws events put-targets --rule your-target-name --targets Id=1,Arn=arn:aws:lambda:us-east-1:111122223333:function:your_function
```
Asegúrese de reemplazar `your-target-name` el comando anterior por su función Lambda real para los GuardDuty eventos.
1. Para agregar los permisos necesarios para invocar el destino, ejecute el siguiente comando de la CLI de Lambda.
```
aws lambda add-permission --function-name your-target-name --statement-id 1 --action 'lambda:InvokeFunction' --principal events.amazonaws.com
```
Asegúrese de reemplazar `your_function` el comando anterior por su función Lambda real para los GuardDuty eventos.
------
## EventBridge regla para entornos con GuardDuty varias cuentas
Al utilizar una cuenta de GuardDuty administrador delegado, puede ver los eventos generados en las cuentas de los miembros y tomar medidas mediante otras aplicaciones y servicios. EventBridge las reglas de su cuenta de administrador se activarán en función de las conclusiones aplicables de sus cuentas de miembros. Si configuras la búsqueda de notificaciones a través EventBridge de tu cuenta de administrador, recibirás notificaciones de los hallazgos tanto de tu cuenta como de las cuentas de los miembros. Por ejemplo, puede utilizar EventBridge para enviar tipos específicos de resultados a una función Lambda que procesa y envía los datos a su sistema de gestión de incidentes y eventos de seguridad (SIEM).
Puede identificar la cuenta del miembro en la que se originó el GuardDuty hallazgo mediante el `accountId` campo de los detalles JSON del hallazgo. Para crear una regla de eventos personalizada para cuentas de miembros específicas, cree una nueva regla y use la siguiente plantilla en **Patrón de eventos**. *123456789012*Sustitúyala por la `accountId` de la cuenta de miembro para la que quieres activar el evento.
```
{
"source": [
"aws.guardduty"
],
"detail-type": [
"GuardDuty Finding"
],
"detail": {
"accountId": [
"123456789012"
]
}
}
```
**nota**
En este ejemplo, se crea una regla que coincide con todos los resultados del identificador de cuenta especificado. Puedes incluir varias cuentas IDs separándolas con comas, siguiendo la sintaxis JSON.