As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Processando GuardDuty descobertas com a Amazon EventBridge
GuardDuty publica (envia) automaticamente descobertas como eventos para a Amazon EventBridge (antiga Amazon CloudWatch Events), um serviço de ônibus de eventos sem servidor. EventBridge fornece um fluxo de dados quase em tempo real de aplicativos e serviços para destinos como tópicos AWS Lambda , funções e streams do Amazon Kinesis Notification Service (Amazon SNS). Para obter mais informações, consulte o [Guia EventBridge do usuário da Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html).
EventBridge permite o monitoramento e o processamento GuardDuty automatizados das descobertas por meio do recebimento de [eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/aws-events.html). EventBridge recebe eventos tanto para descobertas recém-geradas quanto para descobertas agregadas, em que ocorrências subsequentes de uma descoberta existente são combinadas com a original. Cada GuardDuty descoberta recebe uma ID de descoberta e GuardDuty cria um EventBridge evento para cada descoberta com uma ID de descoberta exclusiva. Para obter informações sobre como a agregação funciona em GuardDuty, consulte[GuardDuty encontrando agregação](finding-aggregation.md).
Além do monitoramento e processamento automatizados, o uso de EventBridge permite a retenção de longo prazo dos dados de suas descobertas. GuardDuty armazena as descobertas por 90 dias. Com EventBridge, você pode enviar dados de descobertas para sua plataforma de armazenamento preferida e armazenar os dados pelo tempo que quiser. Para reter as descobertas por um longo período, GuardDuty suporta[Exportar as descobertas geradas para bucket do Amazon S3](guardduty_exportfindings.md).
**Topics**
+ [EventBridge frequência de notificação em GuardDuty](#eventbridge-freq-notifications-gdu)
+ [Configurar um tópico e um endpoint do Amazon SNS](#guardduty-eventbridge-set-up-sns-and-endpoint)
+ [Usando EventBridge com GuardDuty](#eventbridge_events)
+ [Criar uma regra de EventBridge](#guardduty_eventbridge_severity_notification)
+ [EventBridge regra para ambientes com várias contas](#guardduty_findings_eventbridge_multiaccount)
## Entendendo a frequência de EventBridge notificação em GuardDuty
Esta seção explica com que frequência você recebe notificações de busca EventBridge e como atualizar a frequência para ocorrências de busca subsequentes.
**Notificações de descobertas recém-geradas com um ID de descoberta exclusivo**
GuardDuty envia essas notificações quase em tempo real quando gera uma descoberta com um ID de descoberta exclusivo. A notificação inclui todas as ocorrências subsequentes dessa ID de descoberta durante o processo de geração da notificação.
A frequência das notificações das descobertas recém-geradas é quase em tempo real. Por padrão, você não pode modificar essa frequência.
**Notificações para ocorrências de descoberta subsequentes**
GuardDuty agrega todas as ocorrências subsequentes de um determinado tipo de descoberta que ocorrem dentro dos intervalos de 6 horas em um único evento. Somente uma conta de administrador pode atualizar a frequência de EventBridge notificação para ocorrências de busca subsequentes. Uma conta de membro não pode atualizar essa frequência em sua própria conta. Por exemplo, se a conta do GuardDuty administrador delegado atualizar a frequência para uma hora, todas as contas dos membros também terão uma frequência de notificação de uma hora sobre as ocorrências de descoberta subsequentes enviadas para. EventBridge Para obter mais informações, consulte [Várias contas na Amazon GuardDuty](guardduty_accounts.md).
Como uma conta de administrador, você pode personalizar a frequência padrão das notificações sobre as ocorrências de descobertas subsequentes. Valores possíveis são 15 minutos, 1 hora ou 6 horas (padrão). Para obter informações sobre como definir a frequência dessas notificações, consulte [Etapa 5: Definir a frequência para exportar descobertas ativas atualizadas](guardduty_exportfindings.md#guardduty_exportfindings-frequency).
Para obter mais detalhes sobre a conta de administrador recebendo EventBridge notificações para contas de membros, consulte[EventBridge regra para ambientes com várias contas](#guardduty_findings_eventbridge_multiaccount).
## Configurar um tópico e um endpoint do Amazon SNS (e-mail, Slack e Amazon Chime)
O Amazon Simple Notification Service (Amazon SNS) é um serviço totalmente gerenciado que fornece entrega de mensagens de publicadores para assinantes. Os publicadores se comunicam de maneira assíncrona com os assinantes enviando mensagens para um *tópico*. Um tópico é um ponto de acesso lógico e um canal de comunicação que permite agrupar vários endpoints AWS Lambda, como Amazon Simple Queue Service (Amazon HTTP/S SQS) e um endereço de e-mail.
**nota**
Você pode adicionar um tópico do Amazon SNS à sua regra de EventBridge evento preferida durante ou após a criação da regra.
**Criar um tópico do Amazon SNS**
Para começar, você deve primeiro configurar um tópico no Amazon SNS e adicionar um endpoint. Para criar um tópico, consulte as etapas em [Etapa 1: criar um tópico](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) no *Guia do desenvolvedor do Amazon Simple Notification Service*. Depois que o tópico for criado, copie o ARN do tópico para a área de transferência. Você usará esse ARN de tópico para continuar com uma das configurações preferidas.
Escolha um método preferido para estabelecer para onde você deseja enviar os dados de GuardDuty busca.
------
#### [ Email setup ]
**Para configurar um endpoint de e-mail**
Depois que você [Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge), a próxima etapa é criar uma assinatura para esse tópico. Siga as etapas em [Etapa 2: criar uma assinatura para um tópico do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-create-subscribe-endpoint-to-topic.html) no *Guia do desenvolvedor do Amazon Simple Notification Service*.
1. Para **ARN de tópico**, use o ARN do tópico criado na etapa [Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge). O ARN do tópico é semelhante ao seguinte:
```
arn:aws:sns:{{us-east-2}}:{{123456789012}}:{{your_topic}}
```
1. Em **Protocol (Protocolo)**, selecione **Email**.
1. Para **Endpoint**, insira um endereço de e-mail no qual deseja receber as notificações do Amazon SNS.
Após criar a assinatura, você precisa confirmá-la por meio de seu cliente de e-mail.
------
#### [ Slack setup ]
**Para configurar o Amazon Q Developer em clientes de aplicações de bate-papo – Slack**
Depois que você [Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge), a próxima etapa é configurar o cliente para o Slack.
Execute as etapas em [Tutorial: comece a usar o Slack](https://docs.aws.amazon.com/chatbot/latest/adminguide/slack-setup.html) no *Guia do administrador de aplicativos de chat do Amazon Q Developer*.
------
#### [ Chime setup ]
**Para configurar o Amazon Q Developer em clientes de aplicações de bate-papo – Chime**
Depois que você [Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge), a próxima etapa é configurar o Amazon Q Developer para o Chime.
Execute as etapas em [Tutorial: comece a usar o Amazon Chime](https://docs.aws.amazon.com/chatbot/latest/adminguide/chime-setup.html.html) no *Guia do administrador de aplicativos de chat do Amazon Q Developer*.
------
## Usando a Amazon EventBridge para GuardDuty descobertas
Com EventBridge, você cria regras para especificar os eventos que deseja monitorar. Essas regras também especificam os serviços e aplicações de destino que podem realizar ações automatizadas se esses eventos ocorrerem. Um [alvo](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html) é um destino (um recurso ou um endpoint) que EventBridge envia um evento para quando o evento corresponde ao padrão de evento definido na regra. Cada evento é um objeto JSON que está em conformidade com o EventBridge esquema dos AWS eventos e contém uma representação JSON de uma descoberta. Você pode personalizar a regra para enviar somente os eventos que atendam a determinados critérios. Para obter mais informações, consulte [tópico do esquema JSON]. Como os dados das descobertas são estruturados como um [EventBridgeevento](https://docs.aws.amazon.com/eventbridge/latest/userguide/eventbridge-and-event-patterns.html), você pode monitorar, processar e agir de acordo com as descobertas usando outros aplicativos, serviços e ferramentas.
Para receber notificações sobre GuardDuty descobertas com base em eventos, você deve criar uma EventBridge regra e uma meta para GuardDuty. Essa regra EventBridge permite enviar notificações de descobertas GuardDuty geradas para o alvo especificado na regra.
**nota**
EventBridge e CloudWatch os eventos são o mesmo serviço e API subjacentes. No entanto, EventBridge inclui recursos adicionais que ajudam você a receber eventos de aplicativos de software como serviço (SaaS) e de seus próprios aplicativos. Como o serviço subjacente e a API são os mesmos, o esquema de eventos para GuardDuty descobertas também é o mesmo.
**Como as descobertas arquivadas e não arquivadas funcionam com GuardDuty EventBridge**
Para descobertas que você arquiva manualmente, as ocorrências iniciais e todas as ocorrências subsequentes dessas descobertas (geradas após a conclusão do arquivamento) são enviadas EventBridge com base em uma frequência de notificação específica. Para obter mais informações, consulte [Entendendo a frequência de EventBridge notificação em GuardDuty](#eventbridge-freq-notifications-gdu).
Para as descobertas que são arquivadas automaticamente com[Regras de supressão](findings_suppression-rule.md), as ocorrências iniciais e todas as ocorrências subsequentes dessas descobertas (geradas após a conclusão do arquivamento) *não* são enviadas para. EventBridge Você pode visualizar essas descobertas arquivadas automaticamente no GuardDuty console.
### Esquema de eventos
Um [padrão de evento](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html) define os dados EventBridge usados para determinar se o evento deve ser enviado ao destino. O EventBridge evento para GuardDuty tem o seguinte formato:
```
{
"version": "0",
"id": "{{cd2d702e-ab31-411b-9344-793ce56b1bc7}}",
"detail-type": "GuardDuty Finding",
"source": "aws.guardduty",
"account": "{{111122223333}}",
"time": "1970-01-01T00:00:00Z",
"region": "{{us-east-1}}",
"resources": [],
"detail": {{{GUARDDUTY_FINDING_JSON_OBJECT}}}
}
```
O valor `detail` retorna os detalhes do JSON de uma única descoberta como um objeto, em vez de retornar a sintaxe de resposta *descobertas* inteira que oferece suporte a várias descobertas de uma matriz.
Para obter uma lista completa de todos os parâmetros incluídos`GUARDDUTY_FINDING_JSON_OBJECT`, consulte [GetFindings](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetFindings.html#API_GetFindings_ResponseSyntax). O parâmetro do `id` que aparece no `GUARDDUTY_FINDING_JSON_OBJECT` é o ID da descoberta descrito anteriormente.
## Criação de uma EventBridge regra para GuardDuty descobertas
Os procedimentos a seguir explicam como usar o EventBridge console da Amazon e o [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) para criar uma EventBridge regra para GuardDuty descobertas. A regra detecta EventBridge eventos que usam o esquema e o padrão de eventos para GuardDuty descobertas e envia esses eventos para uma AWS Lambda função para processamento.
AWS Lambda é um serviço de computação que você pode usar para executar código sem provisionar ou gerenciar servidores. Você empacota seu código e o carrega AWS Lambda como uma função *Lambda*. AWS Lambda em seguida, executa a função quando a função é invocada. Uma função pode ser invocada manualmente por você, automaticamente em resposta a eventos ou em resposta a solicitações de aplicações ou serviços. Para obter mais informações sobre criar e invocar as funções do Lambda, consulte o [Guia do desenvolvedor do AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html).
Escolha seu método preferido para criar uma EventBridge regra que envie sua GuardDuty descoberta para um alvo.
------
#### [ Console ]
Siga estas etapas para usar o EventBridge console da Amazon para criar uma regra que envia automaticamente todos os eventos de GuardDuty busca para uma função Lambda para processamento. A regra usa configurações padrão para regras que são executadas quando eventos específicos são recebidos. Para obter detalhes sobre as configurações de regras ou para aprender como criar uma regra que usa configurações personalizadas, consulte [Criação de regras que reagem a eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) no *Guia EventBridge do usuário da Amazon*.
Antes de criar essa regra, crie a função do Lambda que deseja que a regra use como destino. Ao criar a regra, você precisará especificar essa função como o destino da regra. Seu destino também pode ser o tópico do SNS criado anteriormente. Para obter mais informações, consulte [Configurar um tópico e um endpoint do Amazon SNS (e-mail, Slack e Amazon Chime)](#guardduty-eventbridge-set-up-sns-and-endpoint).
**Para criar uma regra de evento usando o console**
1. Faça login no Console de gerenciamento da AWS e abra o EventBridge console da Amazon em [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. No painel de navegação, em **Barramentos**, selecione **Regras**.
1. Na seção **Regras**, selecione **Criar regra**.
1. Em **Definir detalhe da regra**, faça o seguinte:
1. Em **Nome**, insira um nome para a regra.
1. (Opcional) Em **Descrição**, insira uma breve descrição da regra.
1. Para **Barramento de eventos**, verifique se o **padrão** está selecionado e **Habilitar a regra nos barramentos de eventos selecionados** está ligado.
1. Para **Tipo de regra**, escolha **Regra com padrão de evento**.
1. Ao terminar, escolha **Avançar**.
1. Na página **Criar padrão de evento**, faça o seguinte:
1. Em **Origem do evento**, escolha **AWS eventos ou eventos de EventBridge parceiros**.
1. (Opcional) Em **Exemplo de evento**, analise um evento de busca de amostra GuardDuty para saber o que um evento pode conter. Para fazer isso, selecione **eventos da AWS **. Em seguida, em **Eventos de amostra**, escolha **GuardDutyEncontrar**.
1.
**Opção 1 - Usando o formulário padrão, um modelo que EventBridge fornece**
Na seção **Padrão de evento**, faça o seguinte:
1. Para **Método de criação**, selecione **Usar formulário padrão**.
1. Para **Origem do evento**, escolha **Serviços da AWS**.
1. Para **AWS service (Serviço da AWS)**, escolha **GuardDuty**.
1. Em **Tipo de evento**, escolha **GuardDuty Encontrar**.
Ao terminar, escolha **Avançar**.
1.
**Opção 2 – usar padrão de evento personalizado em JSON**
Na seção **Padrão de evento**, faça o seguinte:
1. Para **Método de criação**, selecione **Padrão personalizado (editor JSON)**.
1. Para **Padrão de evento**, cole o seguinte JSON personalizado que criará um alerta para descobertas médias, altas e críticas. Para obter mais informações, consulte [Níveis de gravidade das descobertas](guardduty_findings-severity.md).
```
{
"source": [
"aws.guardduty"
],
"detail-type": [
"GuardDuty Finding"
],
"detail": {
"severity": [
4,
4.0,
4.1,
4.2,
4.3,
4.4,
4.5,
4.6,
4.7,
4.8,
4.9,
5,
5.0,
5.1,
5.2,
5.3,
5.4,
5.5,
5.6,
5.7,
5.8,
5.9,
6,
6.0,
6.1,
6.2,
6.3,
6.4,
6.5,
6.6,
6.7,
6.8,
6.9,
7,
7.0,
7.1,
7.2,
7.3,
7.4,
7.5,
7.6,
7.7,
7.8,
7.9,
8,
8.0,
8.1,
8.2,
8.3,
8.4,
8.5,
8.6,
8.7,
8.8,
8.9,
9,
9.0,
9.1,
9.2,
9.3,
9.4,
9.5,
9.6,
9.7,
9.8,
9.9,
10,
10.0
]
}
}
```
Ao terminar, escolha **Avançar**.
1.
**Opção A - Seleção AWS service (Serviço da AWS) - AWS Lambda como alvo**
Na página **Selecionar destino(s)**, faça o seguinte:
1. Para **Tipos de destino**, selecione **AWS service (Serviço da AWS)**.
1. Para **Selecionar um destino**, escolha **Função do Lambda**. Em seguida, para **Função**, selecione a função do Lambda para a qual deseja enviar eventos de descoberta.
1. version/aliasEm **Configurar**, insira as configurações de versão ou alias para a função Lambda de destino.
1. (Opcional) Para **Configurações adicionais**, insira configurações personalizadas para especificar quais dados de eventos você deseja enviar para a função do Lambda. Você também pode especificar como lidar com eventos que não são entregues à função com sucesso.
1. Ao terminar, escolha **Avançar**.
1.
**Opção B – selecionar tópico do SNS como destino**
Na página **Selecionar destino(s)**, faça o seguinte:
1. Para **Tipos de destino**, selecione **AWS service (Serviço da AWS)**.
1. Em **Select a target** (Selecionar um destino), escolha **SNS topic** (Tópico do SNS). Em seguida, para **Localização de destino**, selecione a opção adequada com base na sua localização de destino. Em **Tópico**, escolha o nome do tópico do SNS criado.
1. Expanda **Additional settings** (Configurações adicionais). Em **Configurar entrada do destino**, escolha **Transformador de entrada**.
1. Escolha **Configurar o transformador de entrada**.
1. Copie o código a seguir e cole-o no campo **Caminho de entrada** na seção **Transformador de entrada de destino**.
```
{
"severity": "$.detail.severity",
"Account_ID": "$.detail.accountId",
"Finding_ID": "$.detail.id",
"Finding_Type": "$.detail.type",
"region": "$.region",
"Finding_Description": "$.detail.description"
}
```
1. Copie o código a seguir e cole-o no campo **Modelo** para formatar o e-mail.
```
"You have a severity GuardDuty finding type in the Region."
"Finding Description:"
". "
"For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=#/findings?search=id%3D"
```
1. Na página **Configurar tags**, insira opcionalmente uma ou mais tags a serem atribuídas à regra. Escolha **Próximo**.
1. Na página **Revisar e criar**, analise as configurações da regra e verifique se estão corretas.
Para alterar uma configuração, selecione **Editar** para a configuração e insira a configuração correta. Você também pode usar as guias de navegação para acessar a página que contém uma configuração.
1. Quando terminar de verificar as configurações, selecione **Criar regra**.
------
#### [ API ]
O procedimento a seguir mostra como usar AWS CLI comandos para criar uma EventBridge regra e um destino para GuardDuty. Especificamente, o procedimento mostra como criar uma regra que permite EventBridge enviar eventos para todas as descobertas GuardDuty geradas para uma AWS Lambda função como alvo da regra.
**nota**
Neste exemplo, estamos usando uma função Lambda como destino para a regra que é acionada. EventBridge Você também pode configurar outros AWS recursos como alvos a serem acionados EventBridge. GuardDuty e EventBridge oferecem suporte aos seguintes tipos de destino: instâncias do Amazon EC2, streams do Amazon Kinesis, tarefas do Amazon ECS, máquinas de estado AWS Step Functions , `run` o comando e destinos integrados. Para obter mais informações, consulte [PutTargets](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutTargets.html)a *Amazon EventBridge API Reference*.
**Para criar uma regra e um destino**
1. Para criar uma regra que permita EventBridge enviar eventos para todas as descobertas GuardDuty geradas, execute o seguinte comando da EventBridge CLI.
```
aws events put-rule --name {{your-rule-name}} --event-pattern "{\"source\":[\"aws.guardduty\"]}"
```
Você pode personalizar ainda mais sua regra para que ela EventBridge instrua o envio de eventos somente para um subconjunto das GuardDuty-generated descobertas. Esse subconjunto é baseado no atributo ou nos atributos da descoberta especificado(s) na regra. Por exemplo, use o seguinte comando da CLI para criar uma regra que permite EventBridge enviar somente eventos para as GuardDuty descobertas com a severidade de 5 ou 8:
```
aws events put-rule --name {{your-rule-name}} --event-pattern "{\"source\":[\"aws.guardduty\"],\"detail-type\":[\"GuardDuty Finding\"],\"detail\":{\"severity\":[5,8]}}"
```
Para isso, você pode usar qualquer um dos valores de propriedade que estão disponíveis no JSON para GuardDuty descobertas.
1. Para anexar uma função Lambda como destino para a regra que você criou na etapa 1, execute o seguinte comando da CLI CloudWatch .
```
aws events put-targets --rule {{your-target-name}} --targets Id=1,Arn=arn:aws:lambda:{{us-east-1}}:{{111122223333}}:function:{{your_function}}
```
Certifique-se de substituir `your-target-name` o comando acima pela sua função Lambda real para os GuardDuty eventos.
1. Para adicionar as permissões necessárias para invocar o destino, execute o seguinte comando da CLI do Lambda.
```
aws lambda add-permission --function-name {{your-target-name}} --statement-id 1 --action 'lambda:InvokeFunction' --principal events.amazonaws.com
```
Certifique-se de substituir `your_function` o comando acima pela sua função Lambda real para os GuardDuty eventos.
------
## EventBridge regra para ambientes GuardDuty com várias contas
Ao usar uma conta de GuardDuty administrador delegado, você pode visualizar os eventos gerados nas contas dos membros e agir usando outros aplicativos e serviços. EventBridge as regras em sua conta de administrador serão acionadas com base nas descobertas aplicáveis de suas contas de membros. Se você configurar notificações de busca por meio EventBridge de sua conta de administrador, receberá notificações de descobertas tanto da sua conta quanto das contas dos membros. Por exemplo, você pode usar EventBridge para enviar tipos específicos de descobertas para uma função Lambda que processa e envia os dados para seu sistema de gerenciamento de incidentes e eventos de segurança (SIEM).
Você pode identificar a conta do membro de onde a GuardDuty descoberta se originou usando o `accountId` campo dos detalhes JSON da descoberta. Para criar uma regra de evento personalizada para contas de membros específicas, crie uma nova regra e use o modelo a seguir em **Padrão de eventos**. {{123456789012}}Substitua pela conta `accountId` do membro para a qual você deseja acionar o evento.
```
{
"source": [
"aws.guardduty"
],
"detail-type": [
"GuardDuty Finding"
],
"detail": {
"accountId": [
"{{123456789012}}"
]
}
}
```
**nota**
Esse exemplo cria uma regra que corresponde a todas as descobertas do ID da conta especificada. Você pode incluir vários IDs de conta separando-os com vírgulas, seguindo a sintaxe JSON.