メインコンテンツへスキップ

概要

AWS GuardDuty 統合(INT-023)は、GuardDuty の検出結果(findings)を CaseBender に取り込み、 MITRE ATT&CK マッピングと攻撃分類で強化し、アラート(および任意でケース)に変換します。

自動ポーリング(pull)

CaseBender は IAM 認証情報を使用してスケジュールに基づき、AWS アカウントから直接 新しい検出結果をプルします。EventBridge ルールは不要です。

EventBridge Webhook(push)

代替として、EventBridge ルールが検出結果を CaseBender の取り込みエンドポイントへ 転送します。
推奨: 自動ポーリングを有効にしてください。 読み取り専用の IAM キーのみで、 インバウンドエンドポイントは不要です。自動ポーリング を 参照してください。
ポーリングは 公式 AWS SDK を使用して GuardDuty API(ListDetectorsListFindingsGetFindings)を呼び出します。

機能

前提条件

1

GuardDuty を有効化

監視したい AWS リージョンで GuardDuty を有効にする必要があります。
2

IAM ユーザー / アクセスキーを作成

guardduty:ListDetectorsguardduty:ListFindingsguardduty:GetFindings を許可するポリシーを 持つ IAM プリンシパルを作成します。access key ID + secret を生成します。
3

ネットワーク送信

CaseBender のポーラーがリージョンの GuardDuty API エンドポイント (guardduty.<region>.amazonaws.com)に到達できる必要があります。

CaseBender で統合を構成

1

統合カタログを開く

Settings → Integrations → Create に移動し、Cloud Security カテゴリの AWS GuardDuty を選択します。
2

AWS 認証情報を入力

3

自動ポーリングを有効にする(推奨)

4

ケースの自動作成を構成

インバウンド(自動ポーリング)

1

スケジュール取得

各間隔で、CaseBender は前回のカーソル以降に更新された検出結果 ID を列挙し(任意で最小深刻度で フィルタリング)、完全な検出結果を取得します。初回実行時は pollingInitialLookbackHours 以内に 更新された検出結果が取り込まれます。
2

カーソル + 重複排除

CaseBender はカーソルを最新の updatedAt まで進めます。検出結果は 検出結果 ID で重複排除 されるため、ウィンドウが重なっても重複は作成されません。
3

正規化

各検出結果は、観測対象、MITRE タクティク、攻撃カテゴリ、修復ガイダンスを含む CaseBender の アラートに正規化されます。
ポーリングは CaseBender のバックグラウンドポーリングサービスで実行されます。マルチリージョンの カバレッジには、リージョンごとに GuardDuty 統合を作成してください。

インバウンド(EventBridge Webhook / プッシュ)

代替として、EventBridge ルール(API 送信先付き)が検出結果を次へ POST できます。
リクエストは x-api-key ヘッダー内の統合 API キー で認証されます。生の検出結果と EventBridge ラッパー { "detail": { ... } } の両方を受け付けます。

セキュリティ上の考慮事項

  • 最小権限 — 上記の 3 つの読み取り専用 GuardDuty アクションのみを付与してください。
  • シークレットの取り扱い — 組織のポリシーに従って IAM アクセスキーをローテーションし、専用の 統合ユーザーに割り当てたキーを使用してください。
  • ネットワーク — 送信をリージョンの GuardDuty エンドポイントに制限してください。

トラブルシューティング

構成したリージョンで GuardDuty が有効であることを確認するか、Detector ID を明示的に設定して ください。
IAM キーに ListDetectorsListFindingsGetFindings があることを確認してください。リージョン と、カーソルより新しい検出結果の有無を確認します。初回実行時は pollingInitialLookbackHours 以内の検出結果のみが取り込まれます。CaseBender のすべてのサービスが稼働していることを確認してください — Docker では docker compose psworkermisp-processor サービスが Up である必要があります。
IAM ポリシーに必要なアクションのいずれかが欠けているか、キーが想定と異なるアカウント/リージョン に属しています。

関連ドキュメント