本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 開始使用 GuardDuty
本教學課程提供 GuardDuty 的實作簡介。步驟 1 AWS Organizations 涵蓋啟用 GuardDuty 做為獨立帳戶或使用 做為 GuardDuty 管理員的最低需求。步驟 2 到 5 介紹了使用 GuardDuty 建議的其他功能,以充分利用您的調查結果。
**Topics**
+ [開始之前](#setup-before)
+ [步驟 1:啟用 Amazon GuardDuty](#guardduty_enable-gd)
+ [步驟 2:產生範例調查結果並探索基本操作](#startup-samples)
+ [步驟 3:設定將 GuardDuty 調查結果匯出至 Amazon S3 儲存貯體](#setup-export)
+ [步驟 4:透過 SNS 設定 GuardDuty 調查結果提醒](#setup-sns)
+ [後續步驟](#setup_beyond)
## 開始之前
GuardDuty 是一種威脅偵測服務,可監控 AWS CloudTrail 管理事件、Amazon VPC 流程日誌和 Amazon Route 53 Resolver DNS 查詢日誌[基礎資料來源](guardduty_data-sources.md)。當分別啟用與其保護類型相關聯的功能時,GuardDuty 還會分析這些功能。[功能](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-features-activation-model.html)包括 Kubernetes 稽核日誌、RDS 登入活動、Amazon S3 AWS CloudTrail 的資料事件、Amazon EBS 磁碟區、執行期監控和 Lambda 網路活動日誌。GuardDuty 會使用這些資料來源和功能 (若已啟用),為您的帳戶產生安全調查結果。
啟用 GuardDuty 之後,它會開始根據基礎資料來源中的活動監控您的帳戶是否有潛在威脅。根據預設, [延伸威脅偵測](guardduty-extended-threat-detection.md) 會針對已啟用 GuardDuty AWS 帳戶 的所有 啟用 。此功能可偵測您帳戶中跨多個基礎資料來源、 AWS 資源和時間的多階段攻擊序列。若要偵測特定 AWS 資源的潛在威脅,您可以選擇啟用 GuardDuty 提供的使用案例型保護計畫。如需詳細資訊,請參閱[GuardDuty 的功能](what-is-guardduty.md#features-of-guardduty)。
您不需要明確啟用任何基礎資料來源。啟用 S3 保護時,您不需要明確啟用 Amazon S3 資料事件記錄。同樣地,當您啟用 EKS 保護時,您不需要明確啟用 Amazon EKS 稽核日誌。Amazon GuardDuty 直接從這些服務提取獨立的資料串流。
對於新的 GuardDuty 帳戶,預設 AWS 區域 會啟用 中支援的一些可用保護類型,並包含在 30 天的免費試用期內。您可以選擇不啟用任何或所有保護類型。如果您現有的 已啟用 AWS 帳戶 GuardDuty,您可以選擇啟用您區域中任何或所有可用的保護計畫。如需保護計畫和預設將啟用哪些保護計畫的概觀,請參閱 [GuardDuty 中的定價](guardduty-pricing.md)。
**啟用 GuardDuty 時,請考慮下列項目**:
+ GuardDuty 是一項區域性服務,表示您在此頁面上遵循的任何組態程序,都必須在要使用 GuardDuty 監控的每個區域中重複執行。
強烈建議您在所有支援的區域中啟用 GuardDuty AWS 。這可讓 GuardDuty 產生有關未經授權或不尋常活動的調查結果,甚至在未使用中的區域中也一樣。這也可讓 GuardDuty 監控 IAM 等全域 AWS 服務 AWS CloudTrail 的事件。如果 GuardDuty 沒有在所有支援的區域中啟用,則它的全域服務活動偵測能力會降低。如需可使用 GuardDuty 的區域完整清單,請參閱[區域與端點](guardduty_regions.md)。
+ AWS 帳戶中具有管理員權限的任何使用者都可以啟用 GuardDuty,不過,遵循最低權限的安全性最佳實務,建議您建立 IAM 角色、使用者或群組來特別管理 GuardDuty。如需有關啟用 GuardDuty 的所需許可的資訊,請參閱[啟用 GuardDuty 所需的許可](security_iam_id-based-policy-examples.md#guardduty_enable-permissions)。
+ 當您第一次在任何 中啟用 GuardDuty 時 AWS 區域,預設也會啟用該區域支援的所有可用保護類型,包括 EC2 的惡意軟體防護。GuardDuty 會為您的帳戶建立一個名為 `AWSServiceRoleForAmazonGuardDuty` 的服務連結角色。此角色包括的許可和信任政策允許 GuardDuty 直接從 [GuardDuty 基礎資料來源](guardduty_data-sources.md) 中取用和分析事件,以產生安全調查結果。EC2 的惡意軟體防護會為您的帳戶建立另一個服務連結角色,稱為 `AWSServiceRoleForAmazonGuardDutyMalwareProtection`。此角色包含許可和信任政策,允許 EC2 的惡意軟體防護執行無代理程式掃描,以偵測 GuardDuty 帳戶中的惡意軟體。這可讓 GuardDuty 在您的帳戶中建立 EBS 磁碟區快照,並與 GuardDuty 服務帳戶共用該快照。如需詳細資訊,請參閱[GuardDuty 的服務連結角色許可](slr-permissions.md)。如需有關服務連結角色的詳細資訊,請參閱[使用服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。
+ 當您在任何區域中第一次啟用 GuardDuty 時, AWS 您的帳戶會自動註冊該區域的 30 天 GuardDuty 免費試用版。
下列影片說明管理員帳戶如何開始使用 GuardDuty,並在多個成員帳戶中啟用它。
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/0vIzHOQvjYU)
## 步驟 1:啟用 Amazon GuardDuty
使用 GuardDuty 的第一步是在帳戶中啟用它。啟用後,GuardDuty 將立即開始監控目前區域中是否有安全威脅。
如果您想要以 GuardDuty 管理員身分管理組織內其他帳戶的 GuardDuty 調查結果,您必須新增成員帳戶並也為其啟用 GuardDuty。
**注意**
如果您想要在未啟用 GuardDuty 的情況下啟用 S3 的 GuardDuty 惡意軟體防護,請參閱 以取得步驟[S3 的 GuardDuty 惡意軟體防護](gdu-malware-protection-s3.md)。
------
#### [ Standalone account environment ]
1. 開啟 GuardDuty 主控台,網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)
1. 選取 **Amazon GuardDuty - 所有功能**選項。
1. 選擇**開始使用**。
1. 在**歡迎使用 GuardDuty** 頁面上,檢視服務條款。選擇**啟用 GuardDuty**。
------
#### [ Multi-account environment ]
**重要**
作為此程序的先決條件,您必須與您要管理的所有帳戶位於相同的組織中,並有權存取 AWS Organizations 管理帳戶,以便在組織中委派 GuardDuty 的管理員。委派管理員時可能需要其他許可,如需詳細資訊,請參閱[指定委派的 GuardDuty 管理員帳戶所需的許可](organizations_permissions.md)。
**指定委派的 GuardDuty 管理員帳戶**
1. 使用 管理帳戶在 https://[https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/) 開啟 AWS Organizations 主控台。
1. 前往 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 開啟 GuardDuty 主控台。
您的帳戶中是否已啟用 GuardDuty?
+ 如果尚未啟用 GuardDuty,您可以選取**開始使用**,然後在**歡迎使用 GuardDuty** 頁面上指定 GuardDuty 委派管理員。
+ 如果已啟用 GuardDuty,您可以在**設定**頁面上指定 GuardDuty 委派管理員。
1. 輸入您要指定為組織 GuardDuty 委派管理員之帳戶的 12 位數 AWS 帳戶 ID,然後選擇**委派**。
**注意**
如果 GuardDuty 尚未啟用,指定委派管理員將會在目前區域中為該帳戶啟用 GuardDuty。
**新增成員帳戶**
此程序涵蓋透過 將成員帳戶新增至 GuardDuty 委派管理員帳戶 AWS Organizations。此外,也有透過邀請新增成員的選項。若要進一步了解在 GuardDuty 中關聯成員的這兩種方法,請參閱[Amazon GuardDuty 中的多個帳戶](guardduty_accounts.md)。
1. 登入委派管理員帳戶
1. 開啟 GuardDuty 主控台,網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在導覽窗格中,選擇**設定**,然後選擇**帳戶**。
帳戶資料表會顯示組織中的所有帳戶。
1. 選取帳戶 ID 旁邊的方塊,以選擇您要新增為成員的帳戶。然後從**動作**選單中選取**新增成員**。
**提示**
您可以開啟**自動啟用**功能,自動將新帳戶新增為成員;不過,這僅適用於在啟用該功能之後加入組織的帳戶。
------
## 步驟 2:產生範例調查結果並探索基本操作
當 GuardDuty 發現安全問題時,它會產生調查結果。GuardDuty 調查結果是一個資料集,包含與該唯一安全問題相關的詳細資訊。調查結果的詳細資訊可用來協助您調查問題。
GuardDuty 支援使用預留位置值產生範例調查結果,這些預留位置值可用來測試 GuardDuty 功能,並在需要回應 GuardDuty 發現的實際安全問題之前讓您熟悉調查結果。請遵循下列指南,針對 GuardDuty 中可用的每個調查結果類型產生範例調查結果。有關其他產生範例調查結果的方式,包括在您的帳戶中產生模擬安全事件,請參閱[範例問題清單](sample_findings.md)。
**建立和探索範例調查結果**
1. 在導覽窗格中,選擇**設定**。
1. 在**設定**頁面的**調查結果範例**下,選擇**產生調查結果範例**。
1. 在導覽窗格中,選擇**摘要**以檢視您 AWS 環境中產生之問題清單的洞見。如需有關「摘要」儀表板中元件的詳細資訊,請參閱[Amazon GuardDuty 中的摘要儀表板](guardduty-summary.md)。
1. 在導覽窗格中,選擇**調查結果**。此調查結果範例會顯示在**目前調查結果**頁面上,並有字首 **[SAMPLE]**。
1. 從清單中選取一個調查結果,以顯示該調查結果的詳細資訊。
1. 您可以檢閱調查結果詳細資訊窗格中的不同資訊欄位。不同類型的調查結果可以有不同的欄位。如需有關所有調查結果類型中可用欄位的詳細資訊,請參閱[調查結果詳細資訊](guardduty_findings-summary.md)。您可以從詳細資訊窗格執行下列動作:
+ 選取窗格頂端的**調查結果 ID**,以開啟調查結果的完整 JSON 詳細資訊。您也可以從此面板下載完整的 JSON 檔案。JSON 包含一些未納入主控台檢視中的其他資訊,也是其他工具和服務可擷取的格式。
+ 檢視**受影響的資源**區段。在實際調查結果中,此處的資訊將協助您識別帳戶中應調查的資源,並將包含 AWS 管理主控台 適用於可行資源的連結。
+ 選取 \$1 或 - 鏡子圖示,為該詳細資訊建立包含或排除篩選條件。如需有關調查結果篩選條件的詳細資訊,請參閱[在 GuardDuty 中篩選問題清單](guardduty_filter-findings.md)。
1. 封存您的所有範例調查結果
1. 選取清單頂端的核取方塊,以選取所有調查結果。
1. 取消選取要保留的任何調查結果。
1. 選取**動作**選單,然後選取**封存**以隱藏範例調查結果。
**注意**
若要檢視已封存的調查結果,請依次選取**目前**與**已封存**,以切換調查結果檢視。
## 步驟 3:設定將 GuardDuty 調查結果匯出至 Amazon S3 儲存貯體
GuardDuty 建議您進行設定以匯出調查結果,因為這讓您可將調查結果匯出至 S3 儲存貯體,以便在 GuardDuty 90 天保留期限之後進行無限期儲存。這可讓您在一段時間內保留問題清單的記錄或追蹤 AWS 環境中的問題。GuardDuty 會使用 AWS Key Management Service () 加密 S3 儲存貯體中的調查結果資料AWS KMS key。若要設定設定,您必須將 KMS 金鑰授予 GuardDuty 許可。如需更詳細的步驟,請參閱 [將產生的調查結果匯出至 Amazon S3](guardduty_exportfindings.md)。
**將 GuardDuty 調查結果匯出至 Amazon S3 儲存貯體**
1.
**將政策連接至 KMS 金鑰**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 的 AWS Key Management Service (AWS KMS) 主控台。
1. 若要變更 AWS 區域,請使用頁面右上角的區域選擇器。
1. 在導覽窗格中,選擇 **Customer managed keys** (客戶受管金鑰)。
1. 選取現有的 KMS 金鑰,或執行《 *AWS Key Management Service 開發人員指南*》中的建立[對稱加密 KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/create-symmetric-cmk.html)的步驟。
KMS 金鑰和 Amazon S3 儲存貯體的區域必須相同。
將金鑰 ARN 複製到記事本,以供後續步驟使用。
1. 在 KMS 金鑰的**金鑰政策**區段中,選擇**編輯**。如果顯示**切換到政策檢視**,請選擇它以顯示**金鑰政策**,然後選擇**編輯**。
1. 將下列政策區塊複製到您的 KMS 金鑰政策:
```
{
"Sid": "AllowGuardDutyKey",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "kms:GenerateDataKey",
"Resource": "KMS key ARN",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012",
"aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"
}
}
}
```
透過取代政策範例中以**紅色**格式化的下列值來編輯政策:
1. 將 *KMS 金鑰 ARN* 取代為 KMS 金鑰的 Amazon Resource Name (ARN)。若要尋找金鑰 ARN,請參閱《 *AWS Key Management Service 開發人員指南*》中的[尋找金鑰 ID 和 ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html)。
1. 將 *123456789012* 取代為擁有匯出問題清單之 GuardDuty 帳戶的 AWS 帳戶 ID。
1. 將 *Region2* 取代為產生 GuardDuty 調查結果 AWS 區域 的 。
1. 將 *SourceDetectorID* 取代為產生問題清單`detectorID`之特定區域中 GuardDuty 帳戶的 。
若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 https://[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
1.
**將政策連接至 Amazon S3 儲存貯體**
如果您還沒有要匯出這些調查結果的 Amazon S3 儲存貯體,請參閱《*Amazon S3 使用者指南*》中的[建立儲存貯體](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html)。
1. 執行 *Amazon S3 使用者指南*中的[建立或編輯儲存貯體政策](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)下的步驟,直到顯示**編輯儲存貯體政策**頁面。
1. **範例政策**顯示如何授予 GuardDuty 將問題清單匯出至 Amazon S3 儲存貯體的許可。如果您在設定匯出問題清單後變更路徑,則必須修改政策以將許可授予新位置。
複製下列**範例政策**,並將其貼到**儲存貯體政策編輯器**中。
如果您在最終陳述式之前新增政策陳述式,請在新增此陳述式之前新增逗號。請確定 KMS 金鑰政策的 JSON 語法有效。
**S3 儲存貯體範例政策**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow GetBucketLocation",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:GetBucketLocation",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012",
"aws:SourceArn": "arn:aws:guardduty:us-east-2:123456789012:detector/SourceDetectorID"
}
}
},
{
"Sid": "Allow PutObject",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012",
"aws:SourceArn": "arn:aws:guardduty:us-east-2:123456789012:detector/SourceDetectorID"
}
}
},
{
"Sid": "Deny unencrypted object uploads",
"Effect": "Deny",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption": "aws:kms"
}
}
},
{
"Sid": "Deny incorrect encryption header",
"Effect": "Deny",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:us-east-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
}
},
{
"Sid": "Deny non-HTTPS access",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
]
}
```
------
1. 透過取代政策範例中以**紅色**格式化的下列值來編輯政策:
1. 將 *Amazon S3 儲存貯體 ARN* 取代為 Amazon S3 儲存貯體的 Amazon Resource Name (ARN)。您可以在 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 主控台的**編輯****儲存貯體政策頁面上找到儲存貯體 ARN**。
1. 將 *123456789012* 取代為擁有匯出問題清單之 GuardDuty 帳戶的 AWS 帳戶 ID。
1. 將 *Region2* 取代為 AWS 區域 產生 GuardDuty 調查結果的 。
1. 將 *SourceDetectorID* 取代為產生問題清單`detectorID`之特定區域中 GuardDuty 帳戶的 。
若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
1. 將 S3 儲存貯體 ARN/*【選用字首】* 預留位置值的 【選用字首】 部分取代為您要匯出問題清單的選用資料夾位置。 *S3 * 如需使用字首的詳細資訊,請參閱《*Amazon S3 使用者指南*》中的[使用字首組織物件](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-prefixes.html)。
當您提供尚不存在的選用資料夾位置時,只有當與 S3 儲存貯體相關聯的帳戶與匯出問題清單的帳戶相同時,GuardDuty 才會建立該位置。當您將問題清單匯出至屬於另一個帳戶的 S3 儲存貯體時,資料夾位置必須已存在。
1. 將 *KMS 金鑰 ARN* 取代為與匯出至 S3 儲存貯體之調查結果加密相關聯的 KMS 金鑰的 Amazon Resource Name (ARN)。若要尋找金鑰 ARN,請參閱《 *AWS Key Management Service 開發人員指南*》中的[尋找金鑰 ID 和 ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html)。
1.
**GuardDuty 主控台中的步驟**
1. 開啟 GuardDuty 主控台,網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在導覽窗格中,選擇**設定**。
1. 在**設定**頁面的**調查結果匯出選項下,**針對 **S3 儲存貯**體選擇**立即設定** (或視需要**編輯**)。
1. 針對 **S3 儲存貯體 ARN**,輸入您要傳送問題清單**bucket ARN**的 。若要檢視儲存貯體 ARN,請參閱《Amazon [ S3 使用者指南》中的檢視 S3 儲存貯體的屬性](https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html)。 *Amazon S3 *
1. 對於 **KMS 金鑰 ARN**,輸入 **key ARN**。若要尋找金鑰 ARN,請參閱《 *AWS Key Management Service 開發人員指南*》中的[尋找金鑰 ID 和金鑰 ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html)。
1. 選擇**儲存**。
## 步驟 4:透過 SNS 設定 GuardDuty 調查結果提醒
GuardDuty 與 Amazon EventBridge 整合,可用來將調查結果資料傳送至其他應用程式和服務以進行處理。使用 EventBridge,您可以使用 GuardDuty 調查結果,透過將調查結果事件連接到 AWS Lambda 函數、Amazon EC2 Systems Manager 自動化、Amazon Simple Notification Service (SNS) 等目標,來啟動對調查結果的自動回應。
在此範例中,您需建立 SNS 主題作為 EventBridge 規則的目標,然後使用 EventBridge 建立一個規則,以從 GuardDuty 擷取調查結果資料。產生的規則會將調查結果詳細資訊轉寄至某個電子郵件地址。若要了解如何將調查結果傳送至 Slack 或 Amazon Chime,以及如何修改傳送的調查結果提醒類型,請參閱[設定 Amazon SNS 主題和端點](guardduty_findings_eventbridge.md#guardduty-eventbridge-set-up-sns-and-endpoint)。
**建立調查結果提醒的 SNS 主題**
1. 在 [https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home) 開啟 Amazon SNS 主控台。
1. 在導覽窗格中,選擇**主題**。
1. 選擇**建立主題**。
1. 針對**類型**,選取**標準**。
1. 對於**名稱**,輸入 **GuardDuty**。
1. 選擇**建立主題**。新主題的主題詳細資訊隨即開啟。
1. 在**訂閱**區段中,選擇**建立訂閱**。
1. 對於**通訊協定**,選擇**電子郵件**。
1. 對於**端點**,輸入將通知傳送到的收件電子郵件地址。
1. 選擇**建立訂閱**。
建立訂閱後,您必須透過電子郵件確認訂閱。
1. 若要檢查訂閱訊息,請前往您的電子郵件收件匣,然後在訂閱訊息中選擇**確認訂閱**。
**注意**
若要檢查電子郵件確認狀態,請前往 SNS 主控台並選擇**訂閱**。
**建立 EventBridge 規則以擷取 GuardDuty 調查結果並對其進行格式化**
1. 在 [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/) 開啟 EventBridge 主控台。
1. 在導覽窗格中,選擇**規則**。
1. 選擇**建立規則**。
1. 輸入規則的名稱和描述。
在同一個區域和同一個事件匯流排上,規則不能與另一個規則同名。
1. 針對**事件匯流排**選擇**預設值**。
1. 針對**規則類型**選擇**具有事件模式的規則**。
1. 選擇**下一步**。
1. 在**事件來源**,選擇 **AWS 事件**。
1. 針對**事件模式**,選擇**事件模式表單**。
1. 在**事件來源**欄位中,選擇 **AWS 服務**。
1. 針對 **AWS 服務**,選擇 **GuardDuty**。
1. 針對**事件類型**,選擇 **GuardDuty 調查結果**。
1. 選擇**下一步**。
1. 在**目標類型**欄位中,選擇 **AWS 服務**。
1. 針對**選取目標**,選擇 **SNS 主題**,然後針對**主題**,選擇您先前建立之 SNS 主題的名稱。
1. 在**其他設定**區段中,針對**設定目標輸入**,選擇**輸入轉換器**。
新增輸入轉換器會將從 GuardDuty 傳送的 JSON 調查結果資料格式化為人類可讀的訊息。
1. 選擇**設定輸入轉換器**。
1. 在**目標輸入轉換器**區段中,針對**輸入路徑**,貼上下列程式碼:
```
{
"severity": "$.detail.severity",
"Finding_ID": "$.detail.id",
"Finding_Type": "$.detail.type",
"region": "$.region",
"Finding_description": "$.detail.description"
}
```
1. 若要格式化電子郵件,請在**範本**中貼上下列程式碼,並確定將紅色文字取代為您的區域適用的值:
```
"You have a severity severity GuardDuty finding type Finding_Type in the Region_Name Region."
"Finding Description:"
"Finding_Description."
"For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=region#/findings?search=id%3DFinding_ID"
```
1. 選擇**確認**。
1. 選擇**下一步**。
1. (選用) 為規則輸入一或多個標籤。如需詳細資訊,請參閱《Amazon EventBridge 使用者指南》**中的 [Amazon EventBridge 標籤](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html)。
1. 選擇**下一步**。
1. 檢閱規則的詳細資訊,然後選擇**建立規則**。
1. (選用) 使用步驟 2 中的程序產生範例調查結果,以測試新規則。您將收到每個產生的範例調查結果的電子郵件。
## 後續步驟
繼續使用 GuardDuty 時,您將了解與您的環境相關的調查結果類型。每當收到新調查結果時,您都可以從調查結果詳細資訊窗格中的調查結果說明中,選取**進一步了解**,或在 [GuardDuty 調查結果類型](guardduty_finding-types-active.md) 中搜尋調查結果名稱,以尋找資訊,包括有關該調查結果的修復建議。
下列功能可協助您調校 GuardDuty,以便為您的 AWS 環境提供最相關的問題清單:
+ 若要根據特定條件 (例如執行個體 ID、帳戶 ID、S3 儲存貯體名稱等) 輕鬆排序調查結果,您可以在 GuardDuty 中建立並儲存篩選條件。如需詳細資訊,請參閱[在 GuardDuty 中篩選問題清單](guardduty_filter-findings.md)。
+ 如果您收到環境中預期行為的調查結果,您可以根據使用[隱藏規則](findings_suppression-rule.md)定義的條件,自動將調查結果封存。
+ 若要防止從信任 IP 子集產生調查結果,或讓 GuardDuty 在正常監控範圍之外監控 IP,您可以設定[信任 IP 清單和威脅清單](guardduty_upload-lists.md)。