GuardDuty와 통합 EventBridge 처리를 위해 결과 데이터를 다른 응용 프로그램 및 서비스로 보내는 데 사용할 수 있다.
EventBridge가 GuardDuty 검색 결과는 다음과 같은 대상에 찾기 이벤트를 연결하여 결과에 대한 자동 응답을 트리거합니다.
우선 guardduty를 재 활성화 시킨다.
1. sns
1. sns 설정
2. 주제 생성
이름을 GuardDuty라고 한다음 암호화 활성화를 클릭하여 guardduty-key를 적용시킨다음
주제를 생성한다.
3. 구독 생성을 클릭한다.
4. 이메일 설정
프로토콜을 이메일로 설정한 다음 엔드포인트에 알림메세지를 받을 이메일 주소를 적는다.
그리고 구독 생성 버튼을 클릭한다.
5. confirm
그리고 이메일로 로그인을 하여 확인 메일을 눌러서 Confirm subscription을 눌러준다.
2. GuardDuty 결과 캡처와 EventBridge 규칙 생성
1. 규칙생상
EventBridge로 가서 규칙생성을 클릭하고 이름은 Guardduty-Event로 하고 규칙 유형을 이벤트 패턴이 있는 규칙으로 선택을 한다.
2. 이벤트 리소스는 aws 리소스로 선택
이벤트 패턴은 Guardduty finding으로 설정을 하여
Guardduty가 보안사고를 탐지했을때를 이벤트가 발생하도록 설정한다.
3. 대상 설정
앞에서 설정했던것처럼 Guardduty가 보안사고를 탐지했을때
sns주제를 사용해서 미리 만들어놓은 Guardduty에 등록된 이메일 주소로
알람 메세지를 보낸다.
EC2 TerminateInstances API 호출을 사용하여 유일하게 EKS에 접속할 수 있는 호스트 인스턴스를 삭제하여 내부 DB파드와 데이터베이스에 접속할 수 있는 유일한 길은 차단해버린다.
인스턴스의 ID는 호스트 인스턴스의 아이디를 입력한다.
그리고 다음 버튼을 누른다. (대상2는 일단 뺐다.)
태그는 그냥 넘긴다.
검토 후 규칙생성을 누른다.
이제 보안사고가 발생하면 EventBridge를 통해서 sns에 구독이된 이메일 주소로 알림 메세지가 전송이 된다.
