概要
AWS GuardDuty 統合(INT-023)は、GuardDuty の検出結果(findings)を CaseBender に取り込み、 MITRE ATT&CK マッピングと攻撃分類で強化し、アラート(および任意でケース)に変換します。自動ポーリング(pull)
CaseBender は IAM 認証情報を使用してスケジュールに基づき、AWS アカウントから直接
新しい検出結果をプルします。EventBridge ルールは不要です。
EventBridge Webhook(push)
代替として、EventBridge ルールが検出結果を CaseBender の取り込みエンドポイントへ
転送します。
ポーリングは 公式 AWS SDK を使用して GuardDuty API(
ListDetectors、
ListFindings、GetFindings)を呼び出します。機能
前提条件
1
GuardDuty を有効化
監視したい AWS リージョンで GuardDuty を有効にする必要があります。
2
IAM ユーザー / アクセスキーを作成
guardduty:ListDetectors、guardduty:ListFindings、guardduty:GetFindings を許可するポリシーを
持つ IAM プリンシパルを作成します。access key ID + secret を生成します。3
ネットワーク送信
CaseBender のポーラーがリージョンの GuardDuty API エンドポイント
(
guardduty.<region>.amazonaws.com)に到達できる必要があります。CaseBender で統合を構成
1
統合カタログを開く
Settings → Integrations → Create に移動し、Cloud Security カテゴリの AWS GuardDuty
を選択します。
2
AWS 認証情報を入力
3
自動ポーリングを有効にする(推奨)
4
ケースの自動作成を構成
インバウンド(自動ポーリング)
1
スケジュール取得
各間隔で、CaseBender は前回のカーソル以降に更新された検出結果 ID を列挙し(任意で最小深刻度で
フィルタリング)、完全な検出結果を取得します。初回実行時は
pollingInitialLookbackHours 以内に
更新された検出結果が取り込まれます。2
カーソル + 重複排除
CaseBender はカーソルを最新の
updatedAt まで進めます。検出結果は 検出結果 ID で重複排除
されるため、ウィンドウが重なっても重複は作成されません。3
正規化
各検出結果は、観測対象、MITRE タクティク、攻撃カテゴリ、修復ガイダンスを含む CaseBender の
アラートに正規化されます。
ポーリングは CaseBender のバックグラウンドポーリングサービスで実行されます。マルチリージョンの
カバレッジには、リージョンごとに GuardDuty 統合を作成してください。
インバウンド(EventBridge Webhook / プッシュ)
代替として、EventBridge ルール(API 送信先付き)が検出結果を次へ POST できます。x-api-key ヘッダー内の統合 API キー で認証されます。生の検出結果と EventBridge
ラッパー { "detail": { ... } } の両方を受け付けます。
セキュリティ上の考慮事項
- 最小権限 — 上記の 3 つの読み取り専用 GuardDuty アクションのみを付与してください。
- シークレットの取り扱い — 組織のポリシーに従って IAM アクセスキーをローテーションし、専用の 統合ユーザーに割り当てたキーを使用してください。
- ネットワーク — 送信をリージョンの GuardDuty エンドポイントに制限してください。
トラブルシューティング
検出器(detector)が見つからない
検出器(detector)が見つからない
構成したリージョンで GuardDuty が有効であることを確認するか、Detector ID を明示的に設定して
ください。
ポーリングは有効だが検出結果が表示されない
ポーリングは有効だが検出結果が表示されない
IAM キーに
ListDetectors、ListFindings、GetFindings があることを確認してください。リージョン
と、カーソルより新しい検出結果の有無を確認します。初回実行時は pollingInitialLookbackHours
以内の検出結果のみが取り込まれます。CaseBender のすべてのサービスが稼働していることを確認してください — Docker では
docker compose ps で worker と misp-processor サービスが Up である必要があります。AccessDenied エラー
AccessDenied エラー
IAM ポリシーに必要なアクションのいずれかが欠けているか、キーが想定と異なるアカウント/リージョン
に属しています。