Amazon SNS GuardDuty のお知らせへのサブスクライブ - Amazon GuardDuty
Amazon SNS メッセージ形式

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon SNS GuardDuty のお知らせへのサブスクライブ

このセクションでは、GuardDuty のお知らせ用 Amazon SNS (Simple Notification Service) をサブスクライブして、新しくリリースされた検出結果タイプ、既存の検出結果タイプの更新、およびその他の機能性の変更に関する通知を受け取る方法について説明します。Amazon SNS がサポートするすべての形式で通知を使用できます。

GuardDuty SNS は、GuardDuty サービスの更新に関する通知 AWS を、サブスクライブしているすべての アカウントに送信します。アカウント内の検出結果に関する通知を受け取るには、「Amazon EventBridge を使用した GuardDuty の検出結果の処理」を参照してください。

注記

SNS をサブスクライブする場合、IAM ユーザーに sns::subscribe アクセス許可が必要です。

この通知トピックへの Amazon SQS キューをサブスクライブできますが、同じリージョンのトピックの ARN を使用する必要があります。詳細については、「Amazon Simple Queue Service デベロッパーガイド」の「チュートリアル: Amazon SNS トピックへの Amazon SQS キューのサブスクライブ」を参照してください。

AWS Lambda 関数を使用して、通知を受信したときにイベントをトリガーすることもできます。詳細については、「Amazon Simple Queue Service デベロッパーガイド」の「Amazon SNS 通知を使用した Lambda 関数の呼び出し」を参照してください。

各リージョンの Amazon SNS トピックの ARN は次のとおりです。

AWS リージョン Amazon SNS トピックの ARN
米国東部 (バージニア北部) - us-east-1 arn:aws:sns:us-east-1:242987662583:GuardDutyAnnouncements
米国東部 (オハイオ) - us-east-2 arn:aws:sns:us-east-2:118283430703:GuardDutyAnnouncements
米国西部 (北カリフォルニア) - us-west-1 arn:aws:sns:us-west-1:144182107116:GuardDutyAnnouncements
米国西部 (オレゴン) - us-west-2 arn:aws:sns:us-west-2:934957504740:GuardDutyAnnouncements
カナダ (中部) - ca-central-1 arn:aws:sns:ca-central-1:107430051933:GuardDutyAnnouncements
カナダ西部 (カルガリー) - ca-west-1 arn:aws:sns:ca-west-1:440427180217:GuardDutyAnnouncements
欧州 (ストックホルム) - eu-north-1 arn:aws:sns:eu-north-1:973841112453:GuardDutyAnnouncements
欧州 (アイルランド) - eu-west-1 arn:aws:sns:eu-west-1:965013871422:GuardDutyAnnouncements
欧州 (ロンドン) - eu-west-2 arn:aws:sns:eu-west-2:506403581195:GuardDutyAnnouncements
欧州 (パリ) - eu-west-3 arn:aws:sns:eu-west-3:436163563069:GuardDutyAnnouncements
欧州 (フランクフルト) - eu-central-1 arn:aws:sns:eu-central-1:378365507264:GuardDutyAnnouncements
欧州 (チューリッヒ) - eu-central-2 arn:aws:sns:eu-central-2:383009515534:GuardDutyAnnouncements
アジアパシフィック (香港) - ap-east-1 arn:aws:sns:ap-east-1:646602203151:GuardDutyAnnouncements
アジアパシフィック (東京) - ap-northeast-1 arn:aws:sns:ap-northeast-1:741172661024:GuardDutyAnnouncements
アジアパシフィック (ソウル) - ap-northeast-2 arn:aws:sns:ap-northeast-2:464168911255:GuardDutyAnnouncements
アジアパシフィック (シンガポール) - ap-southeast-1 arn:aws:sns:ap-southeast-1:476419727788:GuardDutyAnnouncements
アジアパシフィック (シドニー) - ap-southeast-2 arn:aws:sns:ap-southeast-2:457615622431:GuardDutyAnnouncements
アジアパシフィック (ムンバイ) - ap-south-1 arn:aws:sns:ap-south-1:926826061926:GuardDutyAnnouncements
南米 (サンパウロ) - sa-east-1 arn:aws:sns:sa-east-1:955633302743:GuardDutyAnnouncements
AWS GovCloud (米国西部) - us-gov-west-1 arn:aws-us-gov:sns:us-gov-west-1:430639793359:GuardDutyAnnouncements
中国 (北京) - cn-north-1 arn:aws-cn:sns:cn-north-1:002991280229:GuardDutyAnnouncements
中国 (寧夏) - cn-northwest-1 arn:aws-cn:sns:cn-northwest-1:003033775354:GuardDutyAnnouncements
中東 (バーレーン) - me-south-1 arn:aws:sns:me-south-1:552740612889:GuardDutyAnnouncements
中東 (アラブ首長国連邦) - me-central-1 arn:aws:sns:me-central-1:030935290150:GuardDutyAnnouncements
欧州 (ミラノ) - eu-south-1 arn:aws:sns:eu-south-1:188461706213:GuardDutyAnnouncements
欧州 (スペイン) - eu-south-2 arn:aws:sns:eu-south-2:445632894446:GuardDutyAnnouncements
AWS GovCloud (米国東部) - us-gov-east-1 arn:aws:sns:us-gov-east-1:143972945659:GuardDutyAnnouncements
アジアパシフィック (大阪) - ap-northeast-3 arn:aws:sns:ap-northeast-3:129086577509:GuardDutyAnnouncements
アジアパシフィック (ジャカルタ) - ap-southeast-3 arn:aws:sns:ap-southeast-3:225965583551:GuardDutyAnnouncements
アジアパシフィック (ハイデラバード) - ap-south-2 arn:aws:sns:ap-south-2:595653072700:GuardDutyAnnouncements
アジアパシフィック (メルボルン) - ap-southeast-4 arn:aws:sns:ap-southeast-4:529900636122:GuardDutyAnnouncements
アジアパシフィック (マレーシア) - ap-southeast-5 arn:aws:sns:ap-southeast-5:343218181797:GuardDutyAnnouncements
イスラエル (テルアビブ) - il-central-1 arn:aws:sns:il-central-1:847886274986:GuardDutyAnnouncements
アジアパシフィック (タイ) - ap-southeast-7 arn:aws:sns:ap-southeast-7:863518448376:GuardDutyAnnouncements
メキシコ (中部) - mx-central-1 arn:aws:sns:mx-central-1:060795916546:GuardDutyAnnouncements
で GuardDuty 更新通知 E メールをサブスクライブするには AWS Management Console

  1. https://console.aws.amazon.com/sns/v3/home で Amazon SNS コンソールを開きます。

  2. リージョンのリストで、サブスクライブするトピックの ARN として同じリージョンを選択します。この例では、us-west-2 リージョンを使用します。

  3. 左のナビゲーションペインで、[Subscriptions] (サブスクリプション)、[Create subscription] (サブスクリプションの作成) の順に選択します。

  4. [Create Subscription] (サブスクリプションの作成) ダイアログボックスの [Topic ARN] (トピック ARN) で、トピック ARN arn:aws:sns:us-west-2:934957504740:GuardDutyAnnouncements を貼り付けます。

  5. [Protocol] (プロトコル) で [Email] (E メール) を選択します。[Endpoint] (エンドポイント) で、通知を受信するために使用できる E メールアドレスを入力します。

  6. [Create subscription] (サブスクリプションの作成) を選択します。

  7. E メールアプリケーションで、 AWS 通知からのメッセージを開き、リンクを開いてサブスクリプションを確認します。

    ウェブブラウザに Amazon SNS の確認画面が表示されます。

を使用して GuardDuty 更新通知 E メールをサブスクライブするには AWS CLI

  1. AWS CLIを使用して次のコマンドを実行します。

     aws  sns --region us-west-2 subscribe --topic-arn arn:aws:sns:us-west-2:934957504740:GuardDutyAnnouncements --protocol email --notification-endpoint your_email@your_domain.com

  2. E メールアプリケーションで、 AWS 通知からのメッセージを開き、リンクを開いてサブスクリプションを確認します。

    ウェブブラウザに Amazon SNS の確認画面が表示されます。

Amazon SNS メッセージ形式

GuardDuty の一般的な通知メッセージの例:

{
    "Type" : "Notification",
    "MessageId" : "9101dc6b-726f-4df0-8646-ec2f94e674bc",
    "TopicArn" : "arn:aws:sns:us-west-2:934957504740:GuardDutyAnnouncements",
    "Message" : "{\"version\":\"1\",\"type\":\"GENERAL\",\"message\":[{\"title\":\"Updated AmazonGuardDutyFullAccess policy\",\"body\":\"Added permission that allows you to pass an IAM role to GuardDuty when you enable Malware Protection for S3.\",\"links\":[\"https://docs.aws.amazon.com//guardduty/latest/ug/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonGuardDutyFullAccess\"]}]}",
    "Timestamp" : "2018-03-09T00:25:43.483Z",
    "SignatureVersion" : "1",
    "Signature" : "XWox8GDGLRiCgDOXlo/fG9Lu/88P8S0FL6M6oQYOmUFzkucuhoblsdea3BjqdCHcWR7qdhMPQnLpN7y9iBrWVUqdAGJrukAI8athvAS+4AQD/V/QjrhsEnlj+GaiW+ozAu006X6GopOzFGnCtPMROjCMrMonjz7Hpv/8KRuMZR3pyQYm5d4wWB7xBPYhUMuLoZ1V8YFs55FMtgQV/YLhSYuEu0BP1GMtLQauxDkscOtPP/vjhGQLFx1Q9LTadcQiRHtNIBxWL87PSI+BVvkin6AL7PhksvdQ7FAgHfXsit+6p8GyOvKCqaeBG7HZhR1AbpyVka7JSNRO/6ssyrlj1g==",
    "SigningCertURL" : "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-433026a4050d206028891664da859041.pem",
    "UnsubscribeURL" : "https://sns.us-west-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-west-2:934957504740:GuardDutyAnnouncements:9225ed2b-7228-4665-8a01-c8a5db6859f4"
}

解析された [Message] (メッセージ) の値 (エスケープした引用符は削除) は次のように表示されます。

{
        "version": "1",
        "type": "GENERAL",
        "message": [
            {
                "title": "Updated AmazonGuardDutyFullAccess policy",
                "body": "Added permission that allows you to pass an IAM role to GuardDuty when you enable Malware Protection for S3.",
                "links": [
                    "https://docs.aws.amazon.com//guardduty/latest/ug/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonGuardDutyFullAccess"
                ]
             }
        ]
}

新しい検出結果に関する GuardDuty 更新通知メッセージの例を以下に示します。

{
    "Type" : "Notification",
    "MessageId" : "9101dc6b-726f-4df0-8646-ec2f94e674bc",
    "TopicArn" : "arn:aws:sns:us-west-2:934957504740:GuardDutyAnnouncements",
    "Message" : "{\"version\":\"1\",\"type\":\"NEW_FINDINGS\",\"findingDetails\":[{\"link\":\"https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_unauthorized.html\",\"findingType\":\"UnauthorizedAccess:EC2/TorClient\",\"findingDescription\":\"This finding informs you that an EC2 instance in your AWS environment is making connections to a Tor Guard or an Authority node. Tor is software for enabling anonymous communication. Tor Guards and Authority nodes act as initial gateways into a Tor network. This traffic can indicate that this EC2 instance is acting as a client on a Tor network. A common use for a Tor client is to circumvent network monitoring and filter for access to unauthorized or illicit content. Tor clients can also generate nefarious Internet traffic, including attacking SSH servers. This activity can indicate that your EC2 instance is compromised.\"}]}",
    "Timestamp" : "2018-03-09T00:25:43.483Z",
    "SignatureVersion" : "1",
    "Signature" : "XWox8GDGLRiCgDOXlo/fG9Lu/88P8S0FL6M6oQYOmUFzkucuhoblsdea3BjqdCHcWR7qdhMPQnLpN7y9iBrWVUqdAGJrukAI8athvAS+4AQD/V/QjrhsEnlj+GaiW+ozAu006X6GopOzFGnCtPMROjCMrMonjz7Hpv/8KRuMZR3pyQYm5d4wWB7xBPYhUMuLoZ1V8YFs55FMtgQV/YLhSYuEu0BP1GMtLQauxDkscOtPP/vjhGQLFx1Q9LTadcQiRHtNIBxWL87PSI+BVvkin6AL7PhksvdQ7FAgHfXsit+6p8GyOvKCqaeBG7HZhR1AbpyVka7JSNRO/6ssyrlj1g==",
    "SigningCertURL" : "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-433026a4050d206028891664da859041.pem",
    "UnsubscribeURL" : "https://sns.us-west-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-west-2:934957504740:GuardDutyAnnouncements:9225ed2b-7228-4665-8a01-c8a5db6859f4"
}

解析された [Message] (メッセージ) の値 (エスケープした引用符は削除) は次のように表示されます。

{
    "version": "1",
    "type": "NEW_FINDINGS",
    "findingDetails": [{
        "link": "https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_unauthorized.html",
        "findingType": "UnauthorizedAccess:EC2/TorClient",
        "findingDescription": "This finding informs you that an EC2 instance in your AWS environment is making connections to a Tor Guard or an Authority node. Tor is software for enabling anonymous communication. Tor Guards and Authority nodes act as initial gateways into a Tor network. This traffic can indicate that this EC2 instance is acting as a client on a Tor network. A common use for a Tor client is to circumvent network monitoring and filter for access to unauthorized or illicit content. Tor clients can also generate nefarious Internet traffic, including attacking SSH servers. This activity can indicate that your EC2 instance is compromised."
    }]
}

GuardDuty の機能更新に関する GuardDuty 更新通知メッセージの例を、以下に示します。

{
    "Type" : "Notification",
    "MessageId" : "9101dc6b-726f-4df0-8646-ec2f94e674bc",
    "TopicArn" : "arn:aws:sns:us-west-2:934957504740:GuardDutyAnnouncements",
    "Message" : "{\"version\":\"1\",\"type\":\"NEW_FEATURES\",\"featureDetails\":[{\"featureDescription\":\"Customers with high-volumes of global CloudTrail events should see a net positive impact on their GuardDuty costs.\",\"featureLink\":\"https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_data-sources.html#guardduty_controlplane\"}]}",
    "Timestamp" : "2018-03-09T00:25:43.483Z",
    "SignatureVersion" : "1",
    "Signature" : "XWox8GDGLRiCgDOXlo/fG9Lu/88P8S0FL6M6oQYOmUFzkucuhoblsdea3BjqdCHcWR7qdhMPQnLpN7y9iBrWVUqdAGJrukAI8athvAS+4AQD/V/QjrhsEnlj+GaiW+ozAu006X6GopOzFGnCtPMROjCMrMonjz7Hpv/8KRuMZR3pyQYm5d4wWB7xBPYhUMuLoZ1V8YFs55FMtgQV/YLhSYuEu0BP1GMtLQauxDkscOtPP/vjhGQLFx1Q9LTadcQiRHtNIBxWL87PSI+BVvkin6AL7PhksvdQ7FAgHfXsit+6p8GyOvKCqaeBG7HZhR1AbpyVka7JSNRO/6ssyrlj1g==",
    "SigningCertURL" : "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-433026a4050d206028891664da859041.pem",
    "UnsubscribeURL" : "https://sns.us-west-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-west-2:934957504740:GuardDutyAnnouncements:9225ed2b-7228-4665-8a01-c8a5db6859f4"
}

解析された [Message] (メッセージ) の値 (エスケープした引用符は削除) は次のように表示されます。

{
    "version": "1",
    "type": "NEW_FEATURES",
    "featureDetails": [{
        "featureDescription": "Customers with high-volumes of global CloudTrail events should see a net positive impact on their GuardDuty costs.",
        "featureLink": "https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_data-sources.html#guardduty_controlplane"
    }]
}

更新された検出結果に関する GuardDuty 更新通知メッセージの例を以下に示します。

{
    "Type": "Notification",
    "MessageId": "9101dc6b-726f-4df0-8646-ec2f94e674bc",
    "TopicArn": "arn:aws:sns:us-west-2:934957504740:GuardDutyAnnouncements",
    "Message": "{\"version\":\"1\",\"type\":\"UPDATED_FINDINGS\",\"findingDetails\":[{\"link\":\"https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_unauthorized.html\",\"findingType\":\"UnauthorizedAccess:EC2/TorClient\",\"description\":\"Increased severity value from 5 to 8.\"}]}",
    "Timestamp": "2018-03-09T00:25:43.483Z",
    "SignatureVersion": "1",
    "Signature": "XWox8GDGLRiCgDOXlo/fG9Lu/88P8S0FL6M6oQYOmUFzkucuhoblsdea3BjqdCHcWR7qdhMPQnLpN7y9iBrWVUqdAGJrukAI8athvAS+4AQD/V/QjrhsEnlj+GaiW+ozAu006X6GopOzFGnCtPMROjCMrMonjz7Hpv/8KRuMZR3pyQYm5d4wWB7xBPYhUMuLoZ1V8YFs55FMtgQV/YLhSYuEu0BP1GMtLQauxDkscOtPP/vjhGQLFx1Q9LTadcQiRHtNIBxWL87PSI+BVvkin6AL7PhksvdQ7FAgHfXsit+6p8GyOvKCqaeBG7HZhR1AbpyVka7JSNRO/6ssyrlj1g==",
    "SigningCertURL": "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-433026a4050d206028891664da859041.pem",
    "UnsubscribeURL": "https://sns.us-west-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-west-2:934957504740:GuardDutyAnnouncements:9225ed2b-7228-4665-8a01-c8a5db6859f4"
}

解析された [Message] (メッセージ) の値 (エスケープした引用符は削除) は次のように表示されます。

{
    "version": "1",
    "type": "UPDATED_FINDINGS",
    "findingDetails": [{
        "link": "https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_unauthorized.html",
        "findingType": "UnauthorizedAccess:EC2/TorClient",
        "description": "Increased severity value from 5 to 8."
    }]
}