Panoramica
L’integrazione di AWS GuardDuty (INT-023) acquisisce i finding di GuardDuty in CaseBender, li arricchisce con mappatura MITRE ATT&CK e categorizzazione degli attacchi, e li trasforma in avvisi (ed eventualmente casi).Polling automatico (pull)
CaseBender estrae nuovi finding direttamente dal tuo account AWS in modo
pianificato utilizzando credenziali IAM — senza regola EventBridge.
Webhook EventBridge (push)
In alternativa, una regola EventBridge inoltra i finding all’endpoint di
acquisizione di CaseBender.
Il polling utilizza l’SDK AWS ufficiale verso l’API di GuardDuty
(
ListDetectors, ListFindings, GetFindings).Funzionalità
Prerequisiti
1
Abilita GuardDuty
GuardDuty deve essere abilitato nelle regioni AWS che desideri monitorare.
2
Crea un utente IAM / chiave di accesso
Crea un principale IAM con una policy che consenta
guardduty:ListDetectors,
guardduty:ListFindings e guardduty:GetFindings. Genera un access key ID + secret.3
Uscita di rete
Il poller di CaseBender deve raggiungere l’endpoint dell’API di GuardDuty della tua regione
(
guardduty.<region>.amazonaws.com).Configurare l’integrazione in CaseBender
1
Apri il catalogo delle integrazioni
Vai su Settings → Integrations → Create e scegli AWS GuardDuty nella categoria
Cloud Security.
2
Inserisci le credenziali AWS
3
Abilita il polling automatico (consigliato)
4
Configura la creazione automatica dei casi
Entrata (polling automatico)
1
Estrazione pianificata
A ogni intervallo, CaseBender enumera gli ID dei finding aggiornati dall’ultimo cursore
(eventualmente filtrati per gravità minima), quindi recupera i finding completi. Alla prima
esecuzione vengono importati i finding aggiornati entro
pollingInitialLookbackHours.2
Cursore + deduplicazione
CaseBender avanza il cursore fino all’
updatedAt più recente. I finding vengono deduplicati
per ID finding, quindi finestre sovrapposte non creano mai duplicati.3
Normalizzazione
Ogni finding viene normalizzato in un avviso di CaseBender con osservabili, tattiche MITRE,
categoria di attacco e indicazioni di remediation.
Il polling viene eseguito nel servizio di polling in background di CaseBender. Per la copertura
multi-regione, crea un’integrazione GuardDuty per regione.
Entrata (webhook EventBridge / push)
In alternativa, una regola EventBridge (con una destinazione API) può eseguire un POST dei finding verso:x-api-key.
Sono accettati sia il finding grezzo sia il wrapper EventBridge { "detail": { ... } }.
Considerazioni sulla sicurezza
- Privilegio minimo — concedi solo le tre azioni GuardDuty in sola lettura elencate sopra.
- Gestione dei segreti — ruota la chiave di accesso IAM secondo la policy della tua organizzazione; preferisci chiavi assegnate a un utente di integrazione dedicato.
- Rete — limita l’uscita all’endpoint regionale di GuardDuty.
Risoluzione dei problemi
Nessun detector trovato
Nessun detector trovato
Conferma che GuardDuty sia abilitato nella regione configurata, oppure imposta esplicitamente
il Detector ID.
Il polling è abilitato ma non appaiono finding
Il polling è abilitato ma non appaiono finding
Verifica che la chiave IAM disponga di
ListDetectors, ListFindings e GetFindings.
Controlla la regione e la presenza di finding più recenti del cursore. Alla prima esecuzione
vengono importati solo i finding entro pollingInitialLookbackHours.Assicurati che tutti i servizi di CaseBender siano in esecuzione — con Docker,
docker compose ps deve mostrare i servizi worker e misp-processor come Up.Errori AccessDenied
Errori AccessDenied
Alla policy IAM manca una delle azioni richieste, oppure la chiave appartiene a un account/una
regione diversa da quella prevista.