问题描述
想要编辑他们的 CloudWatch 规则,以便仅在 “GuardDuty 发现” 的严重性落在 “高严重性” 范围内时触发 SNS 主题。高严重性由 AWS 定义为 “GetFindings 响应中的严重性参数的值在 7.0 到 8.9 范围内”。
文档中的示例事件模式仅显示如何为严重性 5 和 8 创建触发器,示例如下:
{
"source": ["aws.guardduty"],
"detail-type": ["GuardDuty Finding"],
"detail": {
"severity": [5, 8]
}
}
用户想知道如何将这个 { "severity": [5, 8] } 更改为 7.0 到 8.9 的范围。
解决方案
请注意以下操作可能存在版本差异,确保备份数据并按需修改。
使用 AWS CLI 调整 CloudWatch 规则
您可以使用 AWS CLI 调整 CloudWatch 规则,以便触发特定范围内的 GuardDuty 严重性。
以下是通过 AWS CLI 运行命令来实现的步骤:
- 打开终端并确保您已经配置了正确的 AWS 凭证。
- 运行以下 AWS CLI 命令,将
severity值的范围添加到 CloudWatch 规则中:
aws events put-rule --name GuardDutyAlertRule --event-pattern "{\"source\":[\"aws.guardduty\"],\"detail-type\":[\"GuardDuty Finding\"],\"detail\":{\"severity\":[7.0,7.1,7.2,7.3,7.4,7.5,7.6,7.7,7.8,7.9,8.0,8.1,8.2,8.3,8.4,8.5,8.6,8.7,8.8,8.9]}}"
在上面的命令中,我们使用了 put-rule 命令来创建或更新 CloudWatch 规则。我们指定了规则的名称为 GuardDutyAlertRule,并使用 event-pattern 属性来定义事件模式。事件模式中的 source、detail-type 和 detail 用于匹配 GuardDuty 发现事件,并将满足指定严重性范围的事件发送到触发目标。
注意事项
- 如果您希望添加其他严重性值,只需在命令中添加或修改相应的值即可。
- 使用 AWS CLI 创建或更新规则可能需要适当的权限。请确保您的 AWS 凭证具有足够的权限来执行此操作。
总结
通过使用 AWS CLI 命令,您可以调整 CloudWatch 规则,以便在 GuardDuty 发现事件的特定严重性范围内触发 SNS 主题。通过在事件模式的 detail 部分添加相应的严重性值,您可以精确地定义需要触发警报的范围。请确保在执行任何更改之前备份您的数据,并根据需要进行适当的测试和验证。
正文完