【AWSセキュリティ運用】GuardDuty通知メールを見やすく整形する方法（EventBridge入力トランスフォーマー活用）

AWS GuardDutyで脅威検知を設定したものの、「通知メールの内容が見づらい…」と感じたことはありませんか？

本記事では、EventBridgeの「入力トランスフォーマー」機能を使って、GuardDutyの通知内容をわかりやすく整形する方法を紹介します。
AWS初心者でも簡単に設定できるステップ形式で解説します。

手順

AWSマネコンにログインしEvent Bridgeのダッシュボードに移動
左側のメニューよりルールを選択し、GuardDutyの検出ルールをクリックします。

ターゲットタブを選択し「編集」をクリック

追加設定をクリックし「入力トランスフォーマー」に選択し
「入力トランスフォーマーを設定」をクリック

下記のように情報を入力

入力パス

{
  "severity": "$.detail.severity",
  "type": "$.detail.type",
  "title": "$.detail.title",
  "description": "$.detail.description",
  "region": "$.region",
  "Finding_ID": "$.detail.id",
}

テンプレート

"GuardDuty Finding!"
"- Severity: <severity>"
"- Type: <type>"
"- Title: <title>"
"- Description: <description>"
"- Region: <region>"
"- Finding ID: <id>"

設定イメージ

「入力パス」でGuardDutyイベントから取得したい値を定義し、
「テンプレート」でそれをメール本文のフォーマットに整形します。

動作確認（通知テスト）

CloudShellを開き、以下のコマンドを実行してサンプル検知を作成します。
数分後、SNS経由でメール通知が届き、設定したテンプレート形式で表示されていれば成功です

aws guardduty create-sample-findings --detector-id <あなたのDetector ID> --finding-types 'CryptoCurrency:EC2/BitcoinTool.B!DNS'

まとめ

GuardDutyの通知メールはデフォルトのままだと情報量が多く、読みづらい場合があります。
EventBridgeの入力トランスフォーマーを活用すれば、
重要な情報だけを整理して、運用担当者がすぐに判断できる形で通知できます。