Descripción general
La integración de AWS GuardDuty (INT-023) ingiere los hallazgos de GuardDuty en CaseBender, los enriquece con mapeo MITRE ATT&CK y categorización de ataques, y los convierte en alertas (y opcionalmente casos).Sondeo automático (pull)
CaseBender extrae nuevos hallazgos directamente de su cuenta de AWS de forma
programada usando credenciales IAM — sin regla de EventBridge.
Webhook de EventBridge (push)
Como alternativa, una regla de EventBridge reenvía los hallazgos al endpoint
de ingesta de CaseBender.
El sondeo usa el SDK oficial de AWS contra la API de GuardDuty
(
ListDetectors, ListFindings, GetFindings).Capacidades
Requisitos previos
1
Habilitar GuardDuty
GuardDuty debe estar habilitado en las regiones de AWS que desea supervisar.
2
Crear un usuario IAM / clave de acceso
Cree un principal IAM con una política que permita
guardduty:ListDetectors,
guardduty:ListFindings y guardduty:GetFindings. Genere un access key ID + secret.3
Salida de red
El sondeador de CaseBender debe alcanzar el endpoint de la API de GuardDuty de su región
(
guardduty.<region>.amazonaws.com).Configurar la integración en CaseBender
1
Abrir el catálogo de integraciones
Vaya a Settings → Integrations → Create y elija AWS GuardDuty en la categoría
Cloud Security.
2
Introducir las credenciales de AWS
3
Activar el sondeo automático (recomendado)
4
Configurar la creación automática de casos
Entrada (sondeo automático, recomendado)
1
Extracción programada
En cada intervalo, CaseBender enumera los ID de hallazgos actualizados desde el último cursor
(opcionalmente filtrados por severidad mínima) y luego obtiene los hallazgos completos. En la
primera ejecución se importan los hallazgos actualizados dentro de
pollingInitialLookbackHours.2
Cursor + deduplicación
CaseBender avanza el cursor hasta el
updatedAt más reciente. Los hallazgos se deduplican
por ID de hallazgo, por lo que las ventanas superpuestas nunca crean duplicados.3
Normalización
Cada hallazgo se normaliza como una alerta de CaseBender con observables, tácticas MITRE,
categoría de ataque y orientación de remediación.
El sondeo se ejecuta en el servicio de sondeo en segundo plano de CaseBender. Para cobertura
multirregión, cree una integración de GuardDuty por región.
Entrada (webhook de EventBridge / push)
Como alternativa, una regla de EventBridge (con un destino de API) puede hacer POST de los hallazgos a:x-api-key. Se
aceptan tanto el hallazgo en bruto como el sobre de EventBridge { "detail": { ... } }.
Consideraciones de seguridad
- Privilegio mínimo — otorgue solo las tres acciones de solo lectura de GuardDuty indicadas arriba.
- Manejo de secretos — rote la clave de acceso IAM según la política de su organización; prefiera claves asignadas a un usuario de integración dedicado.
- Red — restrinja la salida al endpoint regional de GuardDuty.
Solución de problemas
No se encuentra ningún detector
No se encuentra ningún detector
Confirme que GuardDuty está habilitado en la región configurada o establezca el Detector ID
explícitamente.
El sondeo está activado pero no aparecen hallazgos
El sondeo está activado pero no aparecen hallazgos
Verifique que la clave IAM tiene
ListDetectors, ListFindings y GetFindings. Compruebe la
región y que existen hallazgos más nuevos que el cursor. En la primera ejecución solo se
importan hallazgos dentro de pollingInitialLookbackHours.Asegúrese de que todos los servicios de CaseBender estén en ejecución — con Docker,
docker compose ps debe mostrar los servicios worker y misp-processor como Up.Errores AccessDenied
Errores AccessDenied
A la política IAM le falta una de las acciones requeridas, o la clave pertenece a una cuenta o
región distinta de la esperada.