如何把GuardDuty找到的結果匯出到S3儲存

GuardDuty找到的結果會保留90天，如果想要長時間儲存可以將找出的結果匯出到S3

1. 側邊選單選setting
   

2. 選擇Findings export options ，這裡可以選多久要傳輸到S3，預設是6小時然後按 Configure now
   

3.這裡你可以選擇已經建好的S3 Bucket或是新建一個新的，為了加密找出的結果你可以先到KMS建立一把key，建立完成後就可以在這裡選擇，之後就會定期將結果傳到S3儲存了

如何設定GuardDuty結果告警透過SNS傳送到email

GuardDuty有跟Amazon Eventbridge整合，Eventbridge可以將GuardDuty找到的結果傳送到其他服務進行自動化的回應，例如:Lambda function、 Amazon EC2 Systems Manager automation以及SNS等。

1.到SNS服務側邊選Topic然後按Create topic

2.選Standard，然後輸入名稱，之後按create topic

3.在側邊選單選Subscription，之後按Create subscription

4.Topic ARN選擇剛剛建立的Topic，Protocol 選Email，Endpoint選擇你想要寄送的Email，之後就華到最下面按Create subscription。按完後系統會寄一封驗證信到你的信箱，請到您剛剛輸入的信箱按下確認

5.到Amazon EventBridge服務按 Create rule

6.在Define Pattern選Event pattern，然後選Pre-defined pattern by service，Service Provider選AWS；Service name選GuardDuty；Event type選GuardDuty Finding

7.在select target的地方選SNS topic，Topic選剛剛建立的topic GuardDuty，並將configure input展開

8.展開後選Input transformer，選這個選項可以幫您在傳送GuardDuty結果幫你轉換成好閱讀的文字

Input Path 輸入

{
    "severity": "$.detail.severity",
    "Finding_ID": "$.detail.id",
    "Finding_Type": "$.detail.type",
    "region": "$.region",
    "Finding_description": "$.detail.description"
}
                            

Input Template輸入

“You have a severity <severity> GuardDuty finding type <Finding_Type> in the <region> region.”
“Finding Description:”
“<Finding_description>. “
“For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=<region>#/findings?search=id%3D<Finding_ID>”

9.最後按下Create就完成了

小結
GuardDuty在AWS資安偵測上其實是個很全面的服務，服務如其名，就像在你家外面請了一個保全，幫你針對DNS、CloudTrail、VPC Flowlog持續監控，並依照嚴重的等級來歸類資安事件，讓雲端維運人員能快速地將問題解決。