Visão geral
A integração do AWS GuardDuty (INT-023) ingere os findings do GuardDuty no CaseBender, os enriquece com mapeamento MITRE ATT&CK e categorização de ataques, e os converte em alertas (e opcionalmente casos).Sondagem automática (pull)
O CaseBender extrai novos findings diretamente da sua conta AWS de forma
agendada usando credenciais IAM — sem regra do EventBridge.
Webhook do EventBridge (push)
Como alternativa, uma regra do EventBridge encaminha os findings ao endpoint de
ingestão do CaseBender.
A sondagem usa o SDK oficial da AWS contra a API do GuardDuty
(
ListDetectors, ListFindings, GetFindings).Recursos
Pré-requisitos
1
Habilitar o GuardDuty
O GuardDuty deve estar habilitado nas regiões AWS que você deseja monitorar.
2
Criar um usuário IAM / chave de acesso
Crie um principal IAM com uma política que permita
guardduty:ListDetectors,
guardduty:ListFindings e guardduty:GetFindings. Gere um access key ID + secret.3
Saída de rede
O sondador do CaseBender deve alcançar o endpoint da API do GuardDuty da sua região
(
guardduty.<region>.amazonaws.com).Configurar a integração no CaseBender
1
Abrir o catálogo de integrações
Vá em Settings → Integrations → Create e escolha AWS GuardDuty na categoria
Cloud Security.
2
Inserir as credenciais da AWS
3
Ativar a sondagem automática (recomendado)
4
Configurar a criação automática de casos
Entrada (sondagem automática)
1
Extração agendada
A cada intervalo, o CaseBender enumera os IDs de findings atualizados desde o último cursor
(opcionalmente filtrados por severidade mínima) e então busca os findings completos. Na primeira
execução, os findings atualizados dentro de
pollingInitialLookbackHours são importados.2
Cursor + deduplicação
O CaseBender avança o cursor até o
updatedAt mais recente. Os findings são deduplicados por
ID de finding, de modo que janelas sobrepostas nunca criam duplicatas.3
Normalização
Cada finding é normalizado em um alerta do CaseBender com observáveis, táticas MITRE, categoria
de ataque e orientação de remediação.
A sondagem é executada no serviço de sondagem em segundo plano do CaseBender. Para cobertura
multirregião, crie uma integração do GuardDuty por região.
Entrada (webhook do EventBridge / push)
Como alternativa, uma regra do EventBridge (com um destino de API) pode fazer POST dos findings para:x-api-key. Tanto o
finding bruto quanto o envelope do EventBridge { "detail": { ... } } são aceitos.
Considerações de segurança
- Privilégio mínimo — conceda apenas as três ações somente leitura do GuardDuty listadas acima.
- Manejo de segredos — faça a rotação da chave de acesso IAM conforme a política da sua organização; prefira chaves atribuídas a um usuário de integração dedicado.
- Rede — restrinja a saída ao endpoint regional do GuardDuty.
Solução de problemas
Nenhum detector encontrado
Nenhum detector encontrado
Confirme que o GuardDuty está habilitado na região configurada, ou defina o Detector ID
explicitamente.
A sondagem está ativada, mas nenhum finding aparece
A sondagem está ativada, mas nenhum finding aparece
Verifique se a chave IAM possui
ListDetectors, ListFindings e GetFindings. Verifique a
região e a existência de findings mais recentes que o cursor. Na primeira execução, apenas os
findings dentro de pollingInitialLookbackHours são importados.Certifique-se de que todos os serviços do CaseBender estejam em execução — com o Docker,
docker compose ps deve mostrar os serviços worker e misp-processor como Up.Erros AccessDenied
Erros AccessDenied
A política IAM está sem uma das ações necessárias, ou a chave pertence a uma conta/região
diferente da esperada.