Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Elaborazione dei GuardDuty risultati con Amazon EventBridge
GuardDuty pubblica (invia) automaticamente i risultati come eventi ad Amazon EventBridge (precedentemente CloudWatch Amazon Events), un servizio di bus eventi senza server. EventBridge fornisce un flusso di dati quasi in tempo reale da applicazioni e servizi a destinazioni come argomenti AWS Lambda , funzioni e flussi Amazon Kinesis di Amazon Simple Notification Service (Amazon SNS). Per ulteriori informazioni, consulta [Amazon EventBridge User Guide](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html).
EventBridge consente il monitoraggio e l'elaborazione automatizzati dei GuardDuty risultati mediante la ricezione di [eventi](https://docs.aws.amazon.com/eventbridge/latest/userguide/aws-events.html). EventBridge riceve eventi sia per i risultati di nuova generazione che per i risultati aggregati, in cui le occorrenze successive di un risultato esistente vengono combinate con quelle originali. A ogni GuardDuty risultato viene assegnato un ID di ricerca e GuardDuty crea un EventBridge evento per ogni risultato con un ID di risultato univoco. Per informazioni su come funziona l'aggregazione GuardDuty, consulta[GuardDuty ricerca dell'aggregazione](finding-aggregation.md).
Oltre al monitoraggio e all'elaborazione automatizzati, l'utilizzo di EventBridge consente la conservazione a lungo termine dei dati relativi ai risultati. GuardDuty archivia i risultati per 90 giorni. Con EventBridge, puoi inviare i dati dei risultati alla tua piattaforma di archiviazione preferita e archiviarli per tutto il tempo che desideri. Per conservare i risultati per un periodo più lungo, GuardDuty supporta[Esportazione dei risultati generati su Amazon S3](guardduty_exportfindings.md).
**Topics**
+ [EventBridge frequenza di notifica in GuardDuty](#eventbridge-freq-notifications-gdu)
+ [Configurare un argomento e un endpoint di Amazon SNS](#guardduty-eventbridge-set-up-sns-and-endpoint)
+ [Utilizzo EventBridge con GuardDuty](#eventbridge_events)
+ [Creazione di una regola EventBridge](#guardduty_eventbridge_severity_notification)
+ [EventBridge regola per ambienti con più account](#guardduty_findings_eventbridge_multiaccount)
## Comprensione EventBridge della frequenza delle notifiche in GuardDuty
Questa sezione spiega con quale frequenza si ricevono le notifiche di ricerca EventBridge e come aggiornare la frequenza delle successive occorrenze di ricerca.
**Notifiche per i risultati appena generati con un ID di risultato univoco**
GuardDuty invia queste notifiche quasi in tempo reale quando genera un risultato con un ID di risultato univoco. La notifica include tutte le occorrenze successive di queste occorrenze successive di questo ID di risultato durante il processo di generazione della notifica.
La frequenza di notifica per i risultati appena generati è quasi in tempo reale. Per impostazione predefinita, non è possibile modificare questa frequenza.
**Notifiche per occorrenze di esiti successive**
GuardDuty aggrega tutte le occorrenze successive di un particolare tipo di risultato che si verificano entro intervalli di 6 ore in un unico evento. Solo un account amministratore può aggiornare la frequenza di EventBridge notifica per le successive occorrenze di ricerca. Un account membro non può aggiornare questa frequenza per il proprio account. Ad esempio, se l'account GuardDuty amministratore delegato aggiorna la frequenza a un'ora, tutti gli account membro avranno anche una frequenza di notifica di un'ora sulle successive occorrenze di ricerca inviate. EventBridge Per ulteriori informazioni, consulta [Account multipli in Amazon GuardDuty](guardduty_accounts.md).
In qualità di account amministratore, puoi personalizzare la frequenza predefinita delle notifiche sulle successive occorrenze di ricerca. I valori possibili sono 15 minuti, 1 ora o 6 ore (impostazione predefinita). Per ulteriori informazioni sull'impostazione della frequenza di queste notifiche, consulta [Passaggio 5: impostazione della frequenza per esportare i risultati attivi aggiornati](guardduty_exportfindings.md#guardduty_exportfindings-frequency).
Per ulteriori dettagli sulla ricezione di EventBridge notifiche da parte dell'account amministratore per gli account dei membri, consulta[EventBridge regola per ambienti con più account](#guardduty_findings_eventbridge_multiaccount).
## Configura un argomento e un endpoint di Amazon SNS (Email, Slack e Amazon Chime)
Amazon Simple Notification Service (Amazon SNS) è un servizio completamente gestito che fornisce il recapito dei messaggi dagli editori agli abbonati. *Gli editori comunicano in modo asincrono con gli abbonati inviando messaggi su un argomento.* Un argomento è un punto di accesso logico e un canale di comunicazione che consente di raggruppare più endpoint come AWS Lambda Amazon Simple Queue Service (Amazon SQS), HTTP/S e un indirizzo e-mail.
**Nota**
Puoi aggiungere un argomento di Amazon SNS alla tua regola di EventBridge evento preferita durante o dopo la creazione della regola.
**Crea un argomento Amazon SNS**
Per iniziare, devi prima impostare un argomento in Amazon SNS e aggiungere un endpoint. Per creare un argomento, esegui i passaggi descritti nel [Passaggio 1: Creazione di un argomento](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) nella *Guida per gli sviluppatori di Amazon Simple Notification Service*. Dopo aver creato l'argomento, copia l'ARN dell'argomento negli appunti. Utilizzerai questo argomento ARN per continuare con una delle configurazioni preferite.
Scegliete un metodo preferito per stabilire dove inviare i dati di GuardDuty ricerca.
------
#### [ Email setup ]
**Per configurare un endpoint di posta elettronica**
Dopo di te[Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge), il passaggio successivo consiste nel creare un abbonamento a questo argomento. Esegui i passaggi indicati nella [Fase 2: Creazione di un abbonamento a un argomento di Amazon SNS nella Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-create-subscribe-endpoint-to-topic.html) *Notification Service Developer Guide*.
1. Per **Argomento ARN**, utilizza l'argomento ARN creato nel passaggio. [Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge) L'argomento ARN è simile al seguente:
```
arn:aws:sns:us-east-2:123456789012:your_topic
```
1. Per **Protocol (Protocollo)**, selezionare **Email (E-mail)**.
1. Per **Endpoint**, inserisci un indirizzo e-mail a cui desideri ricevere le notifiche da Amazon SNS.
Dopo aver creato l'abbonamento, dovrai confermarlo tramite il tuo client di posta elettronica.
------
#### [ Slack setup ]
**Per configurare un Amazon Q Developer nel client di applicazioni di chat: Slack**
Dopo di te[Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge), il passaggio successivo consiste nel configurare il client per Slack.
Esegui i passaggi indicati in [Tutorial: Inizia a usare Slack](https://docs.aws.amazon.com/chatbot/latest/adminguide/slack-setup.html) nella *Guida per amministratori delle applicazioni Amazon Q Developer in chat*.
------
#### [ Chime setup ]
**Per configurare un Amazon Q Developer nel client di applicazioni di chat - Chime**
Dopo di te[Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge), il passaggio successivo consiste nel configurare Amazon Q Developer for Chime.
Esegui i passaggi indicati in [Tutorial: Inizia a usare Amazon Chime](https://docs.aws.amazon.com/chatbot/latest/adminguide/chime-setup.html.html) nella Guida per *amministratori delle applicazioni Amazon Q Developer in chat*.
------
## Utilizzo di Amazon EventBridge per GuardDuty i risultati
Con EventBridge, crei regole per specificare gli eventi che desideri monitorare. Queste regole specificano anche i servizi e le applicazioni di destinazione che possono eseguire azioni automatiche se si verificano questi eventi. Una [destinazione](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html) è una destinazione (una risorsa o un endpoint) che EventBridge invia un evento quando l'evento corrisponde al modello di evento definito nella regola. Ogni evento è un oggetto JSON conforme allo EventBridge schema degli AWS eventi e contiene una rappresentazione JSON di un risultato. È possibile personalizzare la regola per inviare solo gli eventi che soddisfano determinati criteri. Per ulteriori informazioni, vedere [Argomento sullo schema JSON]. Poiché i dati dei risultati sono strutturati come un [EventBridgeevento](https://docs.aws.amazon.com/eventbridge/latest/userguide/eventbridge-and-event-patterns.html), è possibile monitorare, elaborare e agire in base ai risultati utilizzando altre applicazioni, servizi e strumenti.
Per ricevere notifiche sui GuardDuty risultati in base agli eventi, devi creare una EventBridge regola e un obiettivo per GuardDuty. Questa regola consente EventBridge di inviare notifiche relative ai risultati GuardDuty generati all'obiettivo specificato nella regola.
**Nota**
EventBridge e CloudWatch gli eventi sono lo stesso servizio e la stessa API sottostanti. Tuttavia, EventBridge include funzionalità aggiuntive che consentono di ricevere eventi dalle applicazioni SaaS (Software as a Service) e dalle proprie applicazioni. Poiché il servizio e l'API sottostanti sono gli stessi, anche lo schema degli eventi per GuardDuty i risultati è lo stesso.
**In che modo funzionano i risultati archiviati e non archiviati con GuardDuty EventBridge**
Per i risultati archiviati manualmente, le occorrenze iniziali e tutte le successive di tali risultati (generate dopo il completamento dell'archiviazione) vengono inviate in EventBridge base a una frequenza di notifica specifica. Per ulteriori informazioni, consulta [Comprensione EventBridge della frequenza delle notifiche in GuardDuty](#eventbridge-freq-notifications-gdu).
*Per i risultati che vengono archiviati automaticamente[Regole di eliminazione](findings_suppression-rule.md), le occorrenze iniziali e tutte le successive di questi risultati (generate dopo il completamento dell'archiviazione) non vengono inviate a.* EventBridge È possibile visualizzare questi risultati archiviati automaticamente nella console. GuardDuty
### Schema degli eventi
Un [modello di evento](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html) definisce i dati EventBridge utilizzati per determinare se inviare l'evento alla destinazione. L' EventBridgeevento per GuardDuty ha il seguente formato:
```
{
"version": "0",
"id": "cd2d702e-ab31-411b-9344-793ce56b1bc7",
"detail-type": "GuardDuty Finding",
"source": "aws.guardduty",
"account": "111122223333",
"time": "1970-01-01T00:00:00Z",
"region": "us-east-1",
"resources": [],
"detail": {GUARDDUTY_FINDING_JSON_OBJECT}
}
```
Il `detail` valore restituisce i dettagli JSON di un singolo risultato come oggetto, anziché restituire l'intera sintassi di risposta ai *risultati* che supporta più risultati all'interno di un array.
Per un elenco completo di tutti i parametri inclusi in`GUARDDUTY_FINDING_JSON_OBJECT`, vedere. [GetFindings](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetFindings.html#API_GetFindings_ResponseSyntax) Il parametro `id` visualizzato in `GUARDDUTY_FINDING_JSON_OBJECT` è l'ID risultato descritto precedentemente.
## Creazione di una EventBridge regola per GuardDuty i risultati
Le seguenti procedure spiegano come utilizzare la EventBridge console Amazon e [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) per creare una EventBridge regola per GuardDuty i risultati. La regola rileva EventBridge gli eventi che utilizzano lo schema e il pattern degli eventi per GuardDuty i risultati e invia tali eventi a una AWS Lambda funzione per l'elaborazione.
AWS Lambda è un servizio di elaborazione che è possibile utilizzare per eseguire codice senza fornire o gestire server. Impacchettate il codice e lo caricate AWS Lambda come funzione *Lambda*. AWS Lambda quindi esegue la funzione quando la funzione viene richiamata. Puoi richiamare una funzione manualmente, come risposta automatica agli eventi o in risposta a richieste provenienti da applicazioni o servizi. Per ulteriori informazioni su come creare e richiamare le funzioni Lambda, consulta [Guida per gli sviluppatori di AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html).
Scegliete il metodo preferito per creare una EventBridge regola che invii i GuardDuty risultati a un bersaglio.
------
#### [ Console ]
Segui questi passaggi per utilizzare la EventBridge console Amazon per creare una regola che invii automaticamente tutti gli eventi di GuardDuty ricerca a una funzione Lambda per l'elaborazione. La regola utilizza le impostazioni predefinite per le regole che vengono eseguite quando vengono ricevuti eventi specifici. Per dettagli sulle impostazioni delle regole o per scoprire come creare una regola che utilizza impostazioni personalizzate, consulta la sezione [Creazione di regole che reagiscono agli eventi](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) nella *Amazon EventBridge User Guide*.
Prima di creare questa regola, create la funzione Lambda che desiderate che la regola utilizzi come destinazione. Quando crei la regola, dovrai specificare questa funzione come sua destinazione. Il tuo obiettivo può anche essere l'argomento SNS che hai creato in precedenza. Per ulteriori informazioni, consulta [Configura un argomento e un endpoint di Amazon SNS (Email, Slack e Amazon Chime)](#guardduty-eventbridge-set-up-sns-and-endpoint).
**Per creare una regola di evento utilizzando la console**
1. Accedi a Console di gestione AWS e apri la EventBridge console Amazon all'indirizzo [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Nel pannello di navigazione, in **Autobus**, scegli **Regole**.
1. Nella sezione **Rules (Regole)**, scegli **Create rule (Crea regola)**.
1. Nella pagina di **dettaglio Definisci regola**, procedi come segue:
1. In **Name (Nome)**, inserisci un nome per la regola.
1. (Facoltativo) In **Descrizione**, inserisci una breve descrizione della regola.
1. Per **Event bus**, assicuratevi che sia selezionato il **valore predefinito** e che **l'opzione Abilita la regola sul bus eventi selezionato** sia attivata.
1. Per **Tipo di regola**, scegli **Regola con un modello di eventi**.
1. Al termine, selezionare **Next (Avanti)**.
1. Nella pagina **Crea modello di eventi**, procedi come segue:
1. Per **Origine dell'evento**, scegli **AWS eventi o eventi EventBridge partner**.
1. (Facoltativo) Per un **evento di esempio**, esamina un esempio di evento di ricerca GuardDuty per scoprire cosa potrebbe contenere un evento. Per fare ciò, scegli **AWS gli eventi**. Quindi, per **Eventi di esempio**, scegli **GuardDutyRicerca**.
1.
**Opzione 1: utilizzo di pattern form, un modello che EventBridge fornisce**
Nella sezione **Event pattern**, puoi fare quanto segue:
1. Per **Metodo di creazione**, seleziona **Usa modulo modello**.
1. In **Event source (Origine eventi)**, selezionare **Servizi AWS**.
1. Per **Servizio AWS**, scegliere **GuardDuty**.
1. Per **Tipo di evento**, scegliete **GuardDuty Ricerca**.
Al termine, selezionare **Next (Avanti)**.
1.
**Opzione 2: utilizzo di un modello di eventi personalizzato in JSON**
Nella sezione **Event pattern**, puoi fare quanto segue:
1. Per **Metodo di creazione**, seleziona **Modello personalizzato (editor JSON).**
1. Per **Event pattern**, incolla il seguente codice JSON personalizzato che creerà un avviso per risultati medi, alti e critici. Per ulteriori informazioni, consulta [Livelli di gravità dei risultati](guardduty_findings-severity.md).
```
{
"source": [
"aws.guardduty"
],
"detail-type": [
"GuardDuty Finding"
],
"detail": {
"severity": [
4,
4.0,
4.1,
4.2,
4.3,
4.4,
4.5,
4.6,
4.7,
4.8,
4.9,
5,
5.0,
5.1,
5.2,
5.3,
5.4,
5.5,
5.6,
5.7,
5.8,
5.9,
6,
6.0,
6.1,
6.2,
6.3,
6.4,
6.5,
6.6,
6.7,
6.8,
6.9,
7,
7.0,
7.1,
7.2,
7.3,
7.4,
7.5,
7.6,
7.7,
7.8,
7.9,
8,
8.0,
8.1,
8.2,
8.3,
8.4,
8.5,
8.6,
8.7,
8.8,
8.9,
9,
9.0,
9.1,
9.2,
9.3,
9.4,
9.5,
9.6,
9.7,
9.8,
9.9,
10,
10.0
]
}
}
```
Al termine, selezionare **Next (Avanti)**.
1.
**Opzione A - Selezione Servizio AWS - AWS Lambda come obiettivo**
Nella pagina **Seleziona obiettivi**, procedi come segue:
1. Per i **tipi di destinazione**, selezionare **Servizio AWS**.
1. Per **Select a target** (Seleziona destinazione), scegli **Lambda function** (Funzione Lambda). Quindi, per **Funzione**, scegliete la funzione Lambda a cui inviare gli eventi di ricerca.
1. Per **Configura versione/alias**, inserisci le impostazioni della versione o dell'alias per la funzione Lambda di destinazione.
1. (Facoltativo) Per **Impostazioni aggiuntive**, immettete impostazioni personalizzate per specificare quali dati degli eventi desiderate inviare alla funzione Lambda. Puoi anche specificare come gestire gli eventi che non vengono consegnati correttamente alla funzione.
1. Al termine, selezionare **Next (Avanti)**.
1.
**Opzione B - Selezione dell'argomento SNS come destinazione**
Nella pagina **Seleziona obiettivi**, procedi come segue:
1. Per i **tipi di destinazione**, selezionare **Servizio AWS**.
1. Per **Seleziona una destinazione**, scegli **Argomento SNS**. Quindi, per **Posizione di destinazione**, seleziona l'opzione adatta in base alla posizione di destinazione. Per **Argomento**, scegli il nome dell'argomento SNS che hai creato.
1. Espandere **Additional settings** (Impostazioni aggiuntive). Per **Configura l'input target**, scegli **Input transformer**.
1. Seleziona **Configura il trasformatore di input**.
1. Copia il codice seguente e incollalo nel campo **Input Path** nella sezione **Target input transformer**.
```
{
"severity": "$.detail.severity",
"Account_ID": "$.detail.accountId",
"Finding_ID": "$.detail.id",
"Finding_Type": "$.detail.type",
"region": "$.region",
"Finding_description": "$.detail.description"
}
```
1. Copia il codice seguente e incollalo nel campo **Modello** per formattare l'email.
```
"You have a severity GuardDuty finding type in the Region."
"Finding Description:"
". "
"For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=#/findings?search=id%3D"
```
1. Nella pagina **Configura tag**, inserisci facoltativamente uno o più tag da assegnare alla regola. Quindi scegli **Successivo**.
1. Nella pagina **Rivedi e crea**, rivedi le impostazioni della regola e verifica che siano corrette.
Per modificare un'impostazione, scegli **Modifica** nella sezione che contiene l'impostazione, quindi inserisci l'impostazione corretta. Puoi anche utilizzare le schede di navigazione per andare alla pagina che contiene un'impostazione.
1. Al termine della verifica delle impostazioni, scegli **Crea** regola.
------
#### [ API ]
La procedura seguente mostra come utilizzare AWS CLI i comandi per creare una EventBridge regola e un obiettivo per GuardDuty. In particolare, la procedura mostra come creare una regola che EventBridge consenta di inviare eventi per tutti i risultati GuardDuty generati a una AWS Lambda funzione come destinazione della regola.
**Nota**
In questo esempio, stiamo usando una funzione Lambda come obiettivo per la regola che si attiva. EventBridge Puoi anche configurare altre AWS risorse come obiettivi da attivare. EventBridge GuardDuty e EventBridge supportano i seguenti tipi di destinazione: istanze Amazon EC2, flussi Amazon Kinesis, attività Amazon ECS, macchine a stati AWS Step Functions , comandi e destinazioni integrate. `run` Per ulteriori informazioni, [PutTargets](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutTargets.html)consulta *Amazon EventBridge API Reference*.
**Per creare una regola e un target**
1. Per creare una regola che EventBridge consenta di inviare eventi per tutti i risultati GuardDuty generati, esegui il seguente comando EventBridge CLI.
```
aws events put-rule --name your-rule-name --event-pattern "{\"source\":[\"aws.guardduty\"]}"
```
Puoi personalizzare ulteriormente la regola in modo che indichi di EventBridge inviare eventi solo per un sottoinsieme dei risultati generati GuardDuty. Questo sottoinsieme è basato sull'attributo o sugli attributi di risultato specificati nella regola. Ad esempio, utilizzate il seguente comando CLI per creare una regola che EventBridge consenta di inviare solo eventi per i GuardDuty risultati con la gravità di 5 o 8:
```
aws events put-rule --name your-rule-name --event-pattern "{\"source\":[\"aws.guardduty\"],\"detail-type\":[\"GuardDuty Finding\"],\"detail\":{\"severity\":[5,8]}}"
```
A tale scopo, è possibile utilizzare uno qualsiasi dei valori di proprietà disponibili in JSON per GuardDuty i risultati.
1. Per collegare una funzione Lambda come destinazione per la regola creata nel passaggio 1, esegui il seguente comando CLI CloudWatch .
```
aws events put-targets --rule your-target-name --targets Id=1,Arn=arn:aws:lambda:us-east-1:111122223333:function:your_function
```
Assicurati di sostituire `your-target-name` nel comando precedente con la tua effettiva funzione Lambda per gli GuardDuty eventi.
1. Per aggiungere le autorizzazioni necessarie per richiamare la destinazione, esegui il comando CLI di Lambda seguente.
```
aws lambda add-permission --function-name your-target-name --statement-id 1 --action 'lambda:InvokeFunction' --principal events.amazonaws.com
```
Assicurati di sostituire `your_function` nel comando precedente con la tua effettiva funzione Lambda per gli GuardDuty eventi.
------
## EventBridge regola per ambienti con GuardDuty più account
Quando si utilizza un account GuardDuty amministratore delegato, è possibile visualizzare gli eventi generati negli account dei membri e agire utilizzando altre applicazioni e servizi. EventBridge le regole nell'account amministratore verranno attivate in base ai risultati applicabili degli account membro. Se configuri le notifiche di ricerca tramite EventBridge il tuo account amministratore, riceverai notifiche sui risultati sia dal tuo account che dagli account dei membri. Ad esempio, è possibile utilizzare per EventBridge inviare tipi specifici di risultati a una funzione Lambda che elabora e invia i dati al sistema di gestione degli incidenti e degli eventi di sicurezza (SIEM).
È possibile identificare l'account membro da cui ha avuto origine il GuardDuty risultato utilizzando il `accountId` campo dei dettagli JSON del risultato. Per creare una regola di evento personalizzata per account membri specifici, crea una nuova regola e utilizza il seguente modello in **Event** pattern. Sostituiscilo *123456789012* con quello `accountId` dell'account membro per il quale desideri attivare l'evento.
```
{
"source": [
"aws.guardduty"
],
"detail-type": [
"GuardDuty Finding"
],
"detail": {
"accountId": [
"123456789012"
]
}
}
```
**Nota**
Questo esempio crea una regola che corrisponde a tutti i risultati dell'ID account specificato. È possibile includere più account IDs separandoli con virgole, seguendo la sintassi JSON.