我正在将 SecurityHub 新发现发送到 Slack 频道,但问题是它一遍又一遍地发送相同的发现,并且在频道中会非常嘈杂。
活动规则如下:
EventRule:
Type: AWS::Events::Rule
Properties:
Description: "EventRule"
EventPattern:
source:
- "aws.securityhub"
detail-type:
- "Security Hub Findings - Imported"
detail:
findings:
Workflow:
Status:
- "NEW"
State: "ENABLED"
Targets:
-
Arn:
Fn::GetAtt:
- "LambdaFunction"
- "Arn"
Id: "TargetFunctionV1"
我尝试了一种在帖子中提到的方法,在将新发现发送到 Slack 后将发现设置为“已通知”:
responsestatus = client.batch_update_findings(
FindingIdentifiers=[
{
'Id': ID,
'ProductArn': productarn
},
],
Workflow={
'Status': 'NOTIFIED'
}
)
print("State updated as Notified!")
但是第二天我看到同样的发现再次发送到 Slack 频道。检查 AWS 文档后,AWS 似乎将通知工作流状态更改为新: https ://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Workflow.html
有没有人找到一种方法来防止发送重复的结果?