Vai al contenuto principale

Panoramica

L’integrazione di AWS GuardDuty (INT-023) acquisisce i finding di GuardDuty in CaseBender, li arricchisce con mappatura MITRE ATT&CK e categorizzazione degli attacchi, e li trasforma in avvisi (ed eventualmente casi).

Polling automatico (pull)

CaseBender estrae nuovi finding direttamente dal tuo account AWS in modo pianificato utilizzando credenziali IAM — senza regola EventBridge.

Webhook EventBridge (push)

In alternativa, una regola EventBridge inoltra i finding all’endpoint di acquisizione di CaseBender.
Consigliato: abilita il polling automatico. Richiede solo una chiave IAM in sola lettura e nessun endpoint in entrata. Vedi Polling automatico.
Il polling utilizza l’SDK AWS ufficiale verso l’API di GuardDuty (ListDetectors, ListFindings, GetFindings).

Funzionalità

Prerequisiti

1

Abilita GuardDuty

GuardDuty deve essere abilitato nelle regioni AWS che desideri monitorare.
2

Crea un utente IAM / chiave di accesso

Crea un principale IAM con una policy che consenta guardduty:ListDetectors, guardduty:ListFindings e guardduty:GetFindings. Genera un access key ID + secret.
3

Uscita di rete

Il poller di CaseBender deve raggiungere l’endpoint dell’API di GuardDuty della tua regione (guardduty.<region>.amazonaws.com).

Configurare l’integrazione in CaseBender

1

Apri il catalogo delle integrazioni

Vai su Settings → Integrations → Create e scegli AWS GuardDuty nella categoria Cloud Security.
2

Inserisci le credenziali AWS

3

Abilita il polling automatico (consigliato)

4

Configura la creazione automatica dei casi

Entrata (polling automatico)

1

Estrazione pianificata

A ogni intervallo, CaseBender enumera gli ID dei finding aggiornati dall’ultimo cursore (eventualmente filtrati per gravità minima), quindi recupera i finding completi. Alla prima esecuzione vengono importati i finding aggiornati entro pollingInitialLookbackHours.
2

Cursore + deduplicazione

CaseBender avanza il cursore fino all’updatedAt più recente. I finding vengono deduplicati per ID finding, quindi finestre sovrapposte non creano mai duplicati.
3

Normalizzazione

Ogni finding viene normalizzato in un avviso di CaseBender con osservabili, tattiche MITRE, categoria di attacco e indicazioni di remediation.
Il polling viene eseguito nel servizio di polling in background di CaseBender. Per la copertura multi-regione, crea un’integrazione GuardDuty per regione.

Entrata (webhook EventBridge / push)

In alternativa, una regola EventBridge (con una destinazione API) può eseguire un POST dei finding verso:
Le richieste sono autenticate con l’API key di integrazione nell’intestazione x-api-key. Sono accettati sia il finding grezzo sia il wrapper EventBridge { "detail": { ... } }.

Considerazioni sulla sicurezza

  • Privilegio minimo — concedi solo le tre azioni GuardDuty in sola lettura elencate sopra.
  • Gestione dei segreti — ruota la chiave di accesso IAM secondo la policy della tua organizzazione; preferisci chiavi assegnate a un utente di integrazione dedicato.
  • Rete — limita l’uscita all’endpoint regionale di GuardDuty.

Risoluzione dei problemi

Conferma che GuardDuty sia abilitato nella regione configurata, oppure imposta esplicitamente il Detector ID.
Verifica che la chiave IAM disponga di ListDetectors, ListFindings e GetFindings. Controlla la regione e la presenza di finding più recenti del cursore. Alla prima esecuzione vengono importati solo i finding entro pollingInitialLookbackHours.Assicurati che tutti i servizi di CaseBender siano in esecuzione — con Docker, docker compose ps deve mostrare i servizi worker e misp-processor come Up.
Alla policy IAM manca una delle azioni richieste, oppure la chiave appartiene a un account/una regione diversa da quella prevista.

Documentazione correlata