Alret 설정 방법

• https://console.aws.amazon.com/cloudwatch/ 에서 CloudWatch 콘솔을 로그인
• 탐색 창에서 규칙 을 선택한 다음 규칙 만들기를 선택 합니다.
• 서비스 이름 메뉴에서 선택 GuardDuty
• 이벤트 유형 메뉴에서 선택 GuardDuty
• 이벤트 패턴 미리보기를 선택 편집
• 아래 JSON 코드를 이벤트 패턴 미리보기에 붙여넣고 저장을 선택합니다.

{
  "source": [
    "aws.guardduty"
  ],
  "detail-type": [
    "GuardDuty Finding"
  ],
  "detail": {
    "severity": [
      4,
      4.0,
      4.1,
      4.2,
      4.3,
      4.4,
      4.5,
      4.6,
      4.7,
      4.8,
      4.9,
      5,
      5.0,
      5.1,
      5.2,
      5.3,
      5.4,
      5.5,
      5.6,
      5.7,
      5.8,
      5.9,
      6,
      6.0,
      6.1,
      6.2,
      6.3,
      6.4,
      6.5,
      6.6,
      6.7,
      6.8,
      6.9,
      7,
      7.0,
      7.1,
      7.2,
      7.3,
      7.4,
      7.5,
      7.6,
      7.7,
      7.8,
      7.9,
      8,
      8.0,
      8.1,
      8.2,
      8.3,
      8.4,
      8.5,
      8.6,
      8.7,
      8.8,
      8.9
    ]
  }
}

• 대상의 섹션을 클릭 대상을 추가합니다.
• 선택 대상의 메뉴에서 선택 SNS 주제
• SNS 선택 주제는 1단계에서 생성한 "GuardDuty_to_Email" 선택
• 이벤트에 대한 입력을 구성하십시오.
  입력 구성을 확장 한 다음 입력 변환기를 선택
  아래 코드를 복사하여 입력경로 필드에 넣기

{
    "severity": "$.detail.severity",
    "Account_ID": "$.detail.accountId",
    "Finding_ID": "$.detail.id",
    "Finding_Type": "$.detail.type",
    "region": "$.region",
    "Finding_description": "$.detail.description"
}

• 아래 코드를 복사하여 입력 템플릿 필드에 붙여 넣어 이메일 형식을 지정

"AWS <Account_ID> has a severity <severity> GuardDuty finding type <Finding_Type> in the <region> region."
"Finding Description:"
"<Finding_description>. "
"For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=<region>#/findings?search=id=<Finding_ID>"

• 세부 정보 구성을 클릭
• 구성 규칙 세부사항 페이지에 이름과 설명 규칙에 대해 작성 후 규칙생성
• GuardDuty 탐지 시 중간-높음 경고발생 시 GuardDuty_to_Email 주제에 작성된 Email로 알림발송