Pular para o conteúdo principal

Visão geral

A integração do AWS GuardDuty (INT-023) ingere os findings do GuardDuty no CaseBender, os enriquece com mapeamento MITRE ATT&CK e categorização de ataques, e os converte em alertas (e opcionalmente casos).

Sondagem automática (pull)

O CaseBender extrai novos findings diretamente da sua conta AWS de forma agendada usando credenciais IAM — sem regra do EventBridge.

Webhook do EventBridge (push)

Como alternativa, uma regra do EventBridge encaminha os findings ao endpoint de ingestão do CaseBender.
Recomendado: ative a sondagem automática. Requer apenas uma chave IAM somente leitura e nenhum endpoint de entrada. Consulte Sondagem automática.
A sondagem usa o SDK oficial da AWS contra a API do GuardDuty (ListDetectors, ListFindings, GetFindings).

Recursos

Pré-requisitos

1

Habilitar o GuardDuty

O GuardDuty deve estar habilitado nas regiões AWS que você deseja monitorar.
2

Criar um usuário IAM / chave de acesso

Crie um principal IAM com uma política que permita guardduty:ListDetectors, guardduty:ListFindings e guardduty:GetFindings. Gere um access key ID + secret.
3

Saída de rede

O sondador do CaseBender deve alcançar o endpoint da API do GuardDuty da sua região (guardduty.<region>.amazonaws.com).

Configurar a integração no CaseBender

1

Abrir o catálogo de integrações

Vá em Settings → Integrations → Create e escolha AWS GuardDuty na categoria Cloud Security.
2

Inserir as credenciais da AWS

3

Ativar a sondagem automática (recomendado)

4

Configurar a criação automática de casos

Entrada (sondagem automática)

1

Extração agendada

A cada intervalo, o CaseBender enumera os IDs de findings atualizados desde o último cursor (opcionalmente filtrados por severidade mínima) e então busca os findings completos. Na primeira execução, os findings atualizados dentro de pollingInitialLookbackHours são importados.
2

Cursor + deduplicação

O CaseBender avança o cursor até o updatedAt mais recente. Os findings são deduplicados por ID de finding, de modo que janelas sobrepostas nunca criam duplicatas.
3

Normalização

Cada finding é normalizado em um alerta do CaseBender com observáveis, táticas MITRE, categoria de ataque e orientação de remediação.
A sondagem é executada no serviço de sondagem em segundo plano do CaseBender. Para cobertura multirregião, crie uma integração do GuardDuty por região.

Entrada (webhook do EventBridge / push)

Como alternativa, uma regra do EventBridge (com um destino de API) pode fazer POST dos findings para:
As requisições são autenticadas com a API key de integração no cabeçalho x-api-key. Tanto o finding bruto quanto o envelope do EventBridge { "detail": { ... } } são aceitos.

Considerações de segurança

  • Privilégio mínimo — conceda apenas as três ações somente leitura do GuardDuty listadas acima.
  • Manejo de segredos — faça a rotação da chave de acesso IAM conforme a política da sua organização; prefira chaves atribuídas a um usuário de integração dedicado.
  • Rede — restrinja a saída ao endpoint regional do GuardDuty.

Solução de problemas

Confirme que o GuardDuty está habilitado na região configurada, ou defina o Detector ID explicitamente.
Verifique se a chave IAM possui ListDetectors, ListFindings e GetFindings. Verifique a região e a existência de findings mais recentes que o cursor. Na primeira execução, apenas os findings dentro de pollingInitialLookbackHours são importados.Certifique-se de que todos os serviços do CaseBender estejam em execução — com o Docker, docker compose ps deve mostrar os serviços worker e misp-processor como Up.
A política IAM está sem uma das ações necessárias, ou a chave pertence a uma conta/região diferente da esperada.

Documentação relacionada