我最近按照本指南设置了带有 Slack 通知的 aws guarddutyhttps://medium.com/@damitj07/how-to-create-a-slack-alert-for-guardduty-49d542927529,关于如何读取 json 的代码存在一些问题,但我修复了它们,最后当我通过 aws guardduty 发送样本结果时,警报到达了 slack 频道,但我注意到像 或 这样的发现由于Backdoor:EC2/DenialOfService.Udp某种 Backdoor:EC2/DenialOfService.tcp原因没有被发送,我注意到在 cloudwatch 中这些警报需要太多时间才能显示(最多 5 分钟),另外,我不得不从使用 :
{
"source": [
"aws.guardduty"
]
}
使用:
{
"source": [
"aws.guardduty"
],
"detail-type": [
"GuardDuty Finding"
]
}
由于 cloudwatch 中存在一些错误,似乎出于某种原因,cloudwatch 规则不仅会捕获发现,还会捕获 aws cloudtrail 活动,因此会出错,因为这些情况未在代码中处理,但无论如何都需要处理它们。
知道为什么我上面提到的这些类型的发现没有被发送到 slack 并且在 cloudwatch 日志中显示得非常慢吗?
谢谢你,