Mục lục bài viết

Amazon GuardDuty là một dịch vụ giám sát của AWS (Amazon Web Services) được sử dụng để theo dõi các hoạt động trên tài khoản AWS. Nó giúp tăng cường bảo mật cho tài nguyên và khối lượng công việc trên đám mây1.

GuardGuardDutyDuty kết hợp công nghệ Machine Learning (ML) và thông tin về mối đe dọa từ AWS và các bên thứ ba hàng đầu để bảo vệ tài khoản, khối lượng công việc và dữ liệu AWS khỏi các mối đe dọa. Dịch vụ này liên tục theo dõi khối lượng công việc và tài khoản của bạn để phát hiện hoạt động có hại và cung cấp các nội dung phát hiện bảo mật chi tiết để nhận biết và khắc phục.

Nó hỗ trợ các tính năng như phát hiện điểm bất thường, máy học, và quản lý quy mô linh hoạt trên tất cả các tài khoản trong môi trường AWS mà không cần thao tác thủ công hoặc công cụ của bên thứ ba.

Chuẩn bị SNS (Amazon Simple Notification Service)

  1. Mở bảng điều khiển và chọn [Amazon Simple Notification Service].
  2. Nhấp vào [Create a topic] → Nhập tên cho [Topic name]

・Tên này sẽ được sử dụng làm tên người gửi

  1. Từ console, chọn [Subscription]

・Amazon Simple Notification Service

  1. Nhấp vào “Create a subscription” → Chọn [Topic ARN = topic đã tạo ở bước trước]

・Chọn topic name đã quyết định ở ②

  1. Đặt [Protocol] là [Email] và nhập địa chỉ email vào [Endpoint]

・Sau khi nhập địa chỉ email, nhấp vào [Create subscription]

  1. Một email sẽ được gửi đến địa chỉ email chỉ định, vui lòng xác nhận bằng cách nhấp vào [Confirm Subscription].

Tạo event rules trong Cloud Watch

  1. Console → [Rules] → [Create rule]
  •  Cloud Watch
  1. Chọn [Service Name]→ Chọn [Guard Duty]
  1. Chọn [Event Type]→ Chọn [Guard Duty Finding]
  1. Nhấp vào [Event pattern preview] → Nhấp vào [Edit]
  1. Dán mẫu và lưu
  • Chọn tất cả mục cần tìm kiếm
   { "source": [ "aws.guardduty" ], "detail-type": [ "GuardDuty Finding" ] }
  • Có thể chọn mục cần tìm kiếm tùy theo mẫu
  1. [Target] → [Thêm target]→ [SNS topic]
  • Chọn cái đã tạo trước đó
  1. [Cài đặt input] → [Input transformer]
  • Dán đoạn code sau vào [Input Path]
   { "severity": "$.detail.severity", "Finding_ID": "$.detail.id", "eventFirstSeen": "$.detail.service.eventFirstSeen", "eventLastSeen": "$.detail.service.eventLastSeen", "count": "$.detail.service.count", "Finding_Type": "$.detail.type", "region": "$.region", "Finding_description": "$.detail.description" }
  1. Dán đoạn code sau vào [Input Template]
  • Đây là template khi nhận được email.

   ”Đã phát sinh độ nghiêm trọng của GuardDuty. Loại tìm kiếm:  Khu vực:  Mô tả loại:  Thời gian phát sinh đầu tiên:  Chi tiết số lượng phát sinh, thời gian phát sinh : Vui lòng kiểm tra tại bảng điều khiển GuardDuty (https://console.aws.amazon.com/guardduty/home?region=#/findings?search=id%3D )”

  1. [Thiết lập chi tiết] → [Thiết lập chi tiết rule]
  • Nhập “name” và “rule” sau đó nhấp vào [Tạo rule]

Kiểm tra thông báo Guard Duty

  1. Mở bảng điều khiển
  •  Guard Duty
  1. Chọn [Settings] → [Result sample] → [Generate result sample]
  1. Nếu cài đặt đã được thực hiện chính xác, bạn sẽ nhận được email mẫu, và quá trình đã hoàn tất!
  •  Dưới đây là ví dụ thực tế đã nhận được