Saltar al contenido principal

Descripción general

La integración de AWS GuardDuty (INT-023) ingiere los hallazgos de GuardDuty en CaseBender, los enriquece con mapeo MITRE ATT&CK y categorización de ataques, y los convierte en alertas (y opcionalmente casos).

Sondeo automático (pull)

CaseBender extrae nuevos hallazgos directamente de su cuenta de AWS de forma programada usando credenciales IAM — sin regla de EventBridge.

Webhook de EventBridge (push)

Como alternativa, una regla de EventBridge reenvía los hallazgos al endpoint de ingesta de CaseBender.
Recomendado: active el sondeo automático. Solo requiere una clave IAM de solo lectura y ningún endpoint entrante. Véase Sondeo automático.
El sondeo usa el SDK oficial de AWS contra la API de GuardDuty (ListDetectors, ListFindings, GetFindings).

Capacidades

Requisitos previos

1

Habilitar GuardDuty

GuardDuty debe estar habilitado en las regiones de AWS que desea supervisar.
2

Crear un usuario IAM / clave de acceso

Cree un principal IAM con una política que permita guardduty:ListDetectors, guardduty:ListFindings y guardduty:GetFindings. Genere un access key ID + secret.
3

Salida de red

El sondeador de CaseBender debe alcanzar el endpoint de la API de GuardDuty de su región (guardduty.<region>.amazonaws.com).

Configurar la integración en CaseBender

1

Abrir el catálogo de integraciones

Vaya a Settings → Integrations → Create y elija AWS GuardDuty en la categoría Cloud Security.
2

Introducir las credenciales de AWS

3

Activar el sondeo automático (recomendado)

4

Configurar la creación automática de casos

Entrada (sondeo automático, recomendado)

1

Extracción programada

En cada intervalo, CaseBender enumera los ID de hallazgos actualizados desde el último cursor (opcionalmente filtrados por severidad mínima) y luego obtiene los hallazgos completos. En la primera ejecución se importan los hallazgos actualizados dentro de pollingInitialLookbackHours.
2

Cursor + deduplicación

CaseBender avanza el cursor hasta el updatedAt más reciente. Los hallazgos se deduplican por ID de hallazgo, por lo que las ventanas superpuestas nunca crean duplicados.
3

Normalización

Cada hallazgo se normaliza como una alerta de CaseBender con observables, tácticas MITRE, categoría de ataque y orientación de remediación.
El sondeo se ejecuta en el servicio de sondeo en segundo plano de CaseBender. Para cobertura multirregión, cree una integración de GuardDuty por región.

Entrada (webhook de EventBridge / push)

Como alternativa, una regla de EventBridge (con un destino de API) puede hacer POST de los hallazgos a:
Las solicitudes se autentican con la API key de integración en el encabezado x-api-key. Se aceptan tanto el hallazgo en bruto como el sobre de EventBridge { "detail": { ... } }.

Consideraciones de seguridad

  • Privilegio mínimo — otorgue solo las tres acciones de solo lectura de GuardDuty indicadas arriba.
  • Manejo de secretos — rote la clave de acceso IAM según la política de su organización; prefiera claves asignadas a un usuario de integración dedicado.
  • Red — restrinja la salida al endpoint regional de GuardDuty.

Solución de problemas

Confirme que GuardDuty está habilitado en la región configurada o establezca el Detector ID explícitamente.
Verifique que la clave IAM tiene ListDetectors, ListFindings y GetFindings. Compruebe la región y que existen hallazgos más nuevos que el cursor. En la primera ejecución solo se importan hallazgos dentro de pollingInitialLookbackHours.Asegúrese de que todos los servicios de CaseBender estén en ejecución — con Docker, docker compose ps debe mostrar los servicios worker y misp-processor como Up.
A la política IAM le falta una de las acciones requeridas, o la clave pertenece a una cuenta o región distinta de la esperada.

Documentación relacionada