Question

我正在研究Lambda函数来处理AWS GuardDuty发现。

我想生成示例事件，可以使用CreateSampleFindings API调用或create-sample-findings cli命令轻松完成。

我有一个自定义的云监视规则，它响应以下触发我的Lambda函数的事件模式：

{
  "detail-type": [
    "GuardDuty Finding"
  ],
  "source": [
    "aws.guardduty"
  ]
}

生成第一个样本查找很容易触发cloudwatch事件

$ aws guardduty create-sample-findings \
    --detector-id abcd12345efgh6789 \
    --finding-types Recon:EC2/PortProbeUnprotectedPort

然而，当我再次调用此命令时，保护任务中的发现的计数会增加，但不会再生成cloudwatch事件。

$ aws guardduty get-findings \
    --detector-id abcd12345efgh6789 \
    --finding-ids zyxwv987654acbde1234 \
    --query "Findings[].Service.Count" --output text
$ 2

我理解为什么会出现这种行为，因为调查结果按唯一签名分组，并且针对每个独特发现的实例触发cloudwatch事件会产生太多噪音

然而，出于开发/调试的目的，我是否可以生成多个将触发cloudwatch事件的示例事件？

Answer 1

对于出于测试目的而遇到此问题的任何人，请禁用GuardDuty，然后重新启用以允许您重新生成触发CloudWatch事件的样本结果。在为GuardDuty创建日志转发器时，此方法对我有用。

AWS guardduty生成示例事件并生成cloudwatch事件

1 个答案: