Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Überwachung und Bearbeitung von Macie-Befunden
Um die Integration mit anderen Anwendungen, Diensten und Systemen wie Überwachungs- oder Eventmanagementsystemen zu unterstützen, veröffentlicht Amazon Macie automatisch Ergebnisse zu Richtlinien und sensiblen Daten EventBridge als Ereignisse an Amazon. Für zusätzlichen Support und eine umfassendere Analyse der Sicherheitslage Ihres Unternehmens können Sie Macie so konfigurieren, dass auch Ergebnisse zu Richtlinien und vertraulichen Daten veröffentlicht werden.AWS Security Hub CSPM
**Amazon EventBridge**
Amazon EventBridge, ehemals Amazon CloudWatch Events, ist ein serverloser Event-Bus-Service, der einen Stream von Echtzeitdaten aus Anwendungen und Diensten bereitstellt und diese Daten an Ziele wie AWS Lambda Funktionen, Amazon Simple Notification Service-Themen und Amazon Kinesis-Streams weiterleitet. Mit EventBridge können Sie die Überwachung und Verarbeitung bestimmter Arten von Ereignissen automatisieren, einschließlich Ereignissen, die Macie veröffentlicht, um Ergebnisse zu erhalten. Weitere Informationen hierzu finden Sie unter [Bearbeitung von Ergebnissen mit Amazon EventBridge](findings-monitor-events-eventbridge.md).
Wenn Sie Macie AWS-Benutzerbenachrichtigungen integrieren, können Sie Ereignisse auch verwenden, um automatisch Benachrichtigungen über EventBridge Ereignisse zu generieren, die Macie zu Ergebnissen veröffentlicht. Mit Benutzerbenachrichtigungen erstellen Sie benutzerdefinierte Regeln und konfigurieren Zustellungskanäle für den Empfang von Benachrichtigungen über interessante EventBridge Ereignisse. Zu den Lieferkanälen gehören E-Mail, Amazon Q Developer in Chat-Anwendungen und Push-Benachrichtigungen in der AWS Console Mobile Application. Sie können Benachrichtigungen auch an zentraler Stelle auf der überprüfen AWS-Managementkonsole. Weitere Informationen hierzu finden Sie unter [Überwachung der Ergebnisse mit AWS-Benutzerbenachrichtigungen](findings-monitor-events-uno.md).
**AWS Security Hub CSPM**
AWS Security Hub CSPM ist ein Sicherheitsdienst, der Ihnen einen umfassenden Überblick über Ihren Sicherheitsstatus in Ihrer gesamten AWS Umgebung bietet. Er sammelt Sicherheitsdaten von AWS-Services und unterstützten AWS Partner Network Sicherheitslösungen und hilft Ihnen dabei, Ihre Umgebung anhand von Industriestandards und bewährten Methoden zu überprüfen. Es hilft Ihnen auch dabei, Sicherheitstrends zu analysieren und Probleme mit hoher Priorität zu identifizieren.
Mit Security Hub CSPM können Sie die Ergebnisse von Macie im Rahmen einer umfassenderen Analyse der Sicherheitslage Ihres Unternehmens überprüfen und bewerten. Sie können auch Ergebnisse aus mehreren AWS-Regionen Regionen zusammenfassen und aggregierte Ergebnisdaten aus einer einzelnen Region überwachen und verarbeiten. Weitere Informationen hierzu finden Sie unter [Auswertung der Ergebnisse mit AWS Security Hub CSPM](securityhub-integration.md).
Wenn Macie ein Ergebnis erstellt, veröffentlicht es das Ergebnis automatisch EventBridge als neues Ereignis. Abhängig von den Veröffentlichungseinstellungen, die Sie für Ihr Konto wählen, kann Macie das Ergebnis auch auf Security Hub CSPM veröffentlichen. Macie veröffentlicht jedes neue Ergebnis unmittelbar nach Abschluss der Verarbeitung des Ergebnisses. Wenn Macie ein späteres Auftreten eines vorhandenen Richtlinienfeststands feststellt, veröffentlicht es eine Aktualisierung des vorhandenen EventBridge Ereignisses für das Ergebnis. Abhängig von Ihren Veröffentlichungseinstellungen kann Macie das Update auch auf Security Hub CSPM veröffentlichen. Macie veröffentlicht diese Updates regelmäßig und verwendet dabei eine Veröffentlichungshäufigkeit, die Sie in den Veröffentlichungseinstellungen für Ihr Konto angeben.
Zusätzlich zu den oben genannten Optionen können Sie mithilfe der Amazon Macie Macie-API Ergebnisdaten direkt abfragen und abrufen. Die Amazon Macie API bietet Ihnen umfassenden, programmatischen Zugriff auf die Daten. Um die Daten abzufragen, können Sie HTTPS-Anfragen direkt an Macie senden oder eine aktuelle Version eines AWS SDK oder ein AWS Befehlszeilentool verwenden. Wenn Sie die Daten abfragen, gibt Macie die Ergebnisse in einer JSON-Antwort zurück. Sie können die Ergebnisse dann zur weiteren Verarbeitung, Überwachung oder Berichterstattung an einen anderen Dienst oder eine andere Anwendung weitergeben. Weitere Informationen finden Sie in der [Amazon Macie API-Referenz.](https://docs.aws.amazon.com/macie/latest/APIReference/welcome.html)
**Topics**
+ [Konfigurieren von Veröffentlichungseinstellungen für Erkenntnisse](findings-publish-frequency.md)
+ [Bearbeitung von Ergebnissen mit Amazon EventBridge](findings-monitor-events-eventbridge.md)
+ [Überwachung der Ergebnisse mit AWS-Benutzerbenachrichtigungen](findings-monitor-events-uno.md)
+ [Auswertung der Ergebnisse mit AWS Security Hub CSPM](securityhub-integration.md)
+ [EventBridge Amazon-Ereignisschema für Ergebnisse](findings-publish-event-schemas.md)
# Konfiguration der Veröffentlichungseinstellungen für Macie-Ergebnisse
Um die Integration mit anderen Anwendungen, Diensten und Systemen zu unterstützen, veröffentlicht Amazon Macie automatisch sowohl politische Ergebnisse als auch Ergebnisse sensibler Daten EventBridge als Ereignisse an Amazon. Informationen darüber, wie Sie Ergebnisse überwachen und verarbeiten EventBridge können, finden Sie unter[Bearbeitung von Ergebnissen mit Amazon EventBridge](findings-monitor-events-eventbridge.md).
Sie können Macie so konfigurieren, dass Ergebnisse automatisch AWS Security Hub CSPM auch veröffentlicht werden, indem Sie die Zieloptionen verwenden, die Sie in den Veröffentlichungseinstellungen für Ihr Konto angeben. Mit diesen Optionen können Sie Macie so konfigurieren, dass nur Richtlinienergebnisse, nur Ergebnisse vertraulicher Daten oder sowohl Ergebnisse von Richtlinien als auch vertrauliche Daten in Security Hub CSPM veröffentlicht werden. Sie können Macie auch so konfigurieren, dass keine Ergebnisse mehr im Security Hub CSPM veröffentlicht werden. Informationen darüber, wie Sie Security Hub CSPM zur Auswertung und Verarbeitung von Ergebnissen verwenden können, finden Sie unter. [Auswertung der Ergebnisse mit AWS Security Hub CSPM](securityhub-integration.md)
Bei politischen Erkenntnissen AWS-Service hängt der Zeitpunkt, zu dem Macie ein Ergebnis einem anderen veröffentlicht, davon ab, ob es sich um ein neues Ergebnis handelt, und von der Häufigkeit der Veröffentlichung, die Sie für Ihr Konto angeben. Bei Erkenntnissen zu sensiblen Daten erfolgt der Zeitpunkt immer unmittelbar — Macie veröffentlicht ein Ergebnis sensibler Daten unmittelbar nach Abschluss der Verarbeitung des Ergebnisses. Im Gegensatz zu politischen Ergebnissen behandelt Macie alle Ergebnisse sensibler Daten als neu (einzigartig).
Beachten Sie, dass Macie keine Ergebnisse zu Richtlinien oder sensiblen Daten veröffentlicht, die aufgrund einer [Unterdrückungsregel](findings-suppression.md) automatisch archiviert werden. Mit anderen Worten, Macie veröffentlicht keine unterdrückten Ergebnisse für andere. AWS-Services
**Topics**
+ [Auswahl der Veröffentlichungsziele](#findings-publish-destinations-change)
+ [Änderung der Veröffentlichungshäufigkeit](#findings-publish-frequency-change)
## Auswahl der Veröffentlichungsziele für Ergebnisse
Sie können Amazon Macie so konfigurieren, dass die Ergebnisse von Richtlinien und sensiblen Daten automatisch AWS Security Hub CSPM zusätzlich zu Amazon EventBridge veröffentlicht werden. Standardmäßig veröffentlicht Macie nur neue und aktualisierte Richtlinienergebnisse im Security Hub CSPM. Um die Standardkonfiguration zu ändern oder zu erweitern, passen Sie die Einstellungen für das Veröffentlichungsziel für Ihr Konto an.
Wenn Sie Ihre Zieleinstellungen anpassen, wählen Sie die Kategorien von Ergebnissen aus, die Macie auf Security Hub CSPM veröffentlichen soll — nur Richtlinienergebnisse, nur Ergebnisse vertraulicher Daten oder sowohl Ergebnisse aus Richtlinien als auch sensible Daten. Sie können sich auch dafür entscheiden, die Veröffentlichung jeglicher Kategorie von Ergebnissen auf Security Hub CSPM einzustellen.
Wenn Sie Ihre Zieleinstellungen ändern, gilt Ihre Änderung nur für das aktuelle Ziel. AWS-Region Wenn Sie der Macie-Administrator einer Organisation sind, gilt Ihre Änderung nur für Ihr Konto. Sie gilt nicht für Mitgliedskonten in Ihrer Organisation. Weitere Informationen finden Sie unter [Verwalten mehrerer Konten](macie-accounts.md).
**Um die Veröffentlichungsziele für Ergebnisse auszuwählen**
Gehen Sie wie folgt vor, um Ihre Zieleinstellungen mithilfe der Amazon Macie Macie-Konsole zu ändern. Um dies programmgesteuert zu tun, verwenden Sie den [PutFindingsPublicationConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/findings-publication-configuration.html)Betrieb der Amazon Macie Macie-API.
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie im Navigationsbereich **Settings** (Einstellungen).
1. Wählen Sie im Abschnitt **Veröffentlichung der Ergebnisse** unter **Ziele** eine der folgenden Optionen aus:
+ **Richtlinienergebnisse auf Security Hub CSPM veröffentlichen** — Aktivieren Sie dieses Kontrollkästchen, um automatisch mit der Veröffentlichung neuer und aktualisierter Richtlinienergebnisse in Security Hub CSPM zu beginnen. Um die Veröffentlichung neuer und aktualisierter Richtlinienergebnisse auf Security Hub CSPM zu beenden, deaktivieren Sie dieses Kontrollkästchen.
Wenn Sie dieses Kontrollkästchen aktivieren und bereits Richtlinienergebnisse vorliegen, veröffentlicht Macie diese nicht im Security Hub CSPM. Stattdessen veröffentlicht Macie nur die Richtlinienergebnisse, die es erstellt oder aktualisiert, nachdem Sie Ihre Änderung gespeichert haben.
+ **Ergebnisse vertraulicher Daten in Security Hub CSPM veröffentlichen** — Aktivieren Sie dieses Kontrollkästchen, um automatisch mit der Veröffentlichung neuer Ergebnisse vertraulicher Daten in Security Hub CSPM zu beginnen. Um die Veröffentlichung neuer Erkenntnisse zu sensiblen Daten an Security Hub CSPM zu beenden, deaktivieren Sie dieses Kontrollkästchen.
Wenn Sie dieses Kontrollkästchen aktivieren und bereits Ergebnisse vertraulicher Daten vorliegen, veröffentlicht Macie diese nicht im Security Hub CSPM. Stattdessen veröffentlicht Macie nur die Ergebnisse vertraulicher Daten, die es nach dem Speichern Ihrer Änderung erstellt.
1. Wählen Sie **Speichern**.
Wenn Sie eine Kategorie von Ergebnissen in Security Hub CSPM veröffentlichen möchten, stellen Sie sicher, dass Sie Security Hub CSPM auch in der aktuellen Region aktivieren und es so konfigurieren, dass Ergebnisse von Macie akzeptiert werden. Andernfalls können Sie nicht auf die Ergebnisse in Security Hub CSPM zugreifen. *Informationen zum Akzeptieren von Ergebnissen in Security Hub CSPM finden Sie unter [Grundlegendes zu Integrationen in Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-providers.html) im Benutzerhandbuch.AWS Security Hub *
## Änderung der Veröffentlichungshäufigkeit von Ergebnissen
In Amazon Macie hat jedes Ergebnis eine eindeutige Kennung. Macie verwendet diese Kennung, um zu bestimmen, wann ein Ergebnis für ein anderes veröffentlicht werden soll: AWS-Service
+ **Neue Ergebnisse** — Wenn Macie eine neue Richtlinie oder ein neues Ergebnis mit sensiblen Daten erstellt, weist es dem Ergebnis im Rahmen der Verarbeitung des Ergebnisses eine eindeutige Kennung zu. Unmittelbar nachdem Macie die Bearbeitung des Ergebnisses abgeschlossen hat, veröffentlicht es das Ergebnis EventBridge als neues Ereignis bei Amazon. Abhängig von den Veröffentlichungseinstellungen für Ihr Konto veröffentlicht Macie das Ergebnis auch als neues Ergebnis in. AWS Security Hub CSPM
+ **Aktualisierte Ergebnisse** — Wenn Macie ein späteres Auftreten einer bestehenden Richtlinienfeststellung feststellt, aktualisiert es das bestehende Ergebnis, indem es Details zu dem nachfolgenden Ereignis hinzufügt und die Anzahl der Vorkommnisse erhöht. Macie veröffentlicht auch diese Updates für das bestehende EventBridge Ereignis und, abhängig von den Veröffentlichungseinstellungen für Ihr Konto, für das bestehende Security Hub CSPM-Ergebnis. Standardmäßig veröffentlicht Macie im Rahmen eines wiederkehrenden Veröffentlichungszyklus alle 15 Minuten Updates. Das bedeutet, dass alle politischen Ergebnisse, die nach dem letzten Veröffentlichungszyklus aktualisiert werden, gespeichert, bei Bedarf erneut aktualisiert und in den nächsten Veröffentlichungszyklus (etwa 15 Minuten später) aufgenommen werden.
Sie können die Häufigkeit ändern, mit der Macie Aktualisierungen vorhandener politischer Ergebnisse in anderen AWS-Services Bereichen veröffentlicht. Sie könnten Macie beispielsweise so konfigurieren, dass die Updates stündlich veröffentlicht werden. Wenn Sie dies tun und eine Veröffentlichung um 12:00 Uhr erfolgt, werden alle Updates, die nach 12:00 Uhr erfolgen, um 13:00 Uhr veröffentlicht.
Wenn Sie die Frequenz ändern, gilt Ihre Änderung nur für die aktuelle Version. AWS-Region Wenn Sie der Macie-Administrator einer Organisation sind, gilt Ihre Änderung auch für alle Mitgliedskonten in Ihrer Organisation. Weitere Informationen finden Sie unter [Verwalten mehrerer Konten](macie-accounts.md).
**Um die Häufigkeit der Veröffentlichung aktualisierter Ergebnisse zu ändern**
Gehen Sie wie folgt vor, um die Veröffentlichungshäufigkeit mithilfe der Amazon Macie Macie-Konsole zu ändern. Um dies programmgesteuert zu tun, verwenden Sie den [UpdateMacieSession](https://docs.aws.amazon.com/macie/latest/APIReference/macie.html)Betrieb der Amazon Macie Macie-API.
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie im Navigationsbereich **Settings** (Einstellungen).
1. Wählen Sie im Abschnitt **Veröffentlichung von Ergebnissen** unter **Aktualisierungshäufigkeit für politische Ergebnisse** aus, wie oft Macie Aktualisierungen der politischen Ergebnisse in anderen Bereichen veröffentlichen soll. AWS-Services
1. Wählen Sie **Speichern**.
# Verarbeitung von Macie-Ergebnissen mit Amazon EventBridge
Amazon EventBridge, ehemals Amazon CloudWatch Events, ist ein serverloser Event-Bus-Service. EventBridge liefert einen Stream von Echtzeitdaten aus Anwendungen und Services und leitet diese Daten an Ziele wie AWS Lambda Funktionen, Amazon Simple Notification Service (Amazon SNS) -Themen und Amazon Kinesis Kinesis-Streams weiter. Weitere Informationen EventBridge finden Sie im [ EventBridge Amazon-Benutzerhandbuch](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html).
Mit EventBridge können Sie die Überwachung und Verarbeitung bestimmter Arten von Ereignissen automatisieren. Dazu gehören Ereignisse, die Amazon Macie automatisch veröffentlicht, um neue politische Erkenntnisse und Erkenntnisse zu sensiblen Daten zu erhalten. Dies schließt auch Ereignisse ein, die Macie automatisch veröffentlicht, wenn es zu einem späteren Zeitpunkt zu bestehenden politischen Erkenntnissen kommt. Einzelheiten darüber, wie und wann Macie diese Ereignisse veröffentlicht, finden Sie unter. [Konfigurieren von Veröffentlichungseinstellungen für Erkenntnisse](findings-publish-frequency.md)
Mithilfe EventBridge der Ereignisse, die Macie veröffentlicht, können Sie Ergebnisse nahezu in Echtzeit überwachen und verarbeiten. Anschließend können Sie mithilfe anderer Anwendungen und Dienste auf der Grundlage der Ergebnisse handeln. Sie können dies beispielsweise verwenden, EventBridge um bestimmte Arten neuer Ergebnisse an eine AWS Lambda Funktion zu senden. Die Lambda-Funktion verarbeitet dann möglicherweise die Daten und sendet sie an Ihr SIEM-System (Security Incident and Event Management). Wenn Sie [Macie AWS-Benutzerbenachrichtigungen integrieren](findings-monitor-events-uno.md), können Sie die Ereignisse auch verwenden, um über die von Ihnen angegebenen Lieferkanäle automatisch über Ergebnisse informiert zu werden.
Zusätzlich zur automatisierten Überwachung und Verarbeitung EventBridge ermöglicht die Verwendung von eine längerfristige Aufbewahrung Ihrer Befunddaten. Macie speichert die Ergebnisse 90 Tage lang. Mit EventBridge können Sie Ergebnisdaten an Ihre bevorzugte Speicherplattform senden und die Daten so lange speichern, wie Sie möchten.
**Anmerkung**
Für eine langfristige Aufbewahrung sollten Sie Macie auch so konfigurieren, dass Ihre Ergebnisse der Erkennung sensibler Daten in einem S3-Bucket gespeichert werden. Ein *Erkennungsergebnis für sensible Daten* ist ein Datensatz, der Details über die Analyse protokolliert, die Macie an einem S3-Objekt durchgeführt hat, um festzustellen, ob das Objekt sensible Daten enthält. Weitere Informationen hierzu finden Sie unter [Speicherung und Beibehaltung der Erkennungsergebnisse von vertraulichen Daten](discovery-results-repository-s3.md).
**Topics**
+ [Arbeiten mit EventBridge](#findings-monitor-events-eventbridge-overview)
+ [EventBridge Regeln für Ergebnisse erstellen](#findings-monitor-events-eventbridge-rule-cli)
## Mit Amazon arbeiten EventBridge
Mit Amazon erstellen Sie Regeln EventBridge, um festzulegen, welche Ereignisse Sie überwachen möchten und für welche Ziele Sie automatisierte Aktionen für diese Ereignisse ausführen möchten. Ein *Ziel* ist ein Ziel, EventBridge an das Ereignisse gesendet werden.
Um Überwachungs- und Verarbeitungsaufgaben für Ergebnisse zu automatisieren, können Sie eine EventBridge Regel erstellen, die Amazon Macie-Fundereignisse automatisch erkennt und diese Ereignisse zur Verarbeitung oder anderen Aktion an eine andere Anwendung oder einen anderen Service sendet. Sie können die Regel so anpassen, dass nur die Ereignisse gesendet werden, die bestimmte Kriterien erfüllen. Geben Sie dazu Kriterien an, die sich aus dem [EventBridge Amazon-Ereignisschema für Macie-Ergebnisse](findings-publish-event-schemas.md) ableiten.
Sie können beispielsweise eine Regel erstellen, die bestimmte Arten neuer Ergebnisse an eine AWS Lambda Funktion sendet. Die Lambda-Funktion kann dann Aufgaben ausführen wie: die Daten verarbeiten und an Ihr SIEM-System senden, automatisch eine bestimmte Art von serverseitiger Verschlüsselung auf ein S3-Objekt anwenden oder den Zugriff auf ein S3-Objekt einschränken, indem Sie die Zugriffskontrollliste (ACL) des Objekts ändern. Oder Sie können eine Regel erstellen, die automatisch neue Ergebnisse mit hohem Schweregrad an ein Amazon SNS SNS-Thema sendet, das dann Ihr Incident-Response-Team über den Befund informiert.
Neben dem Aufrufen von Lambda-Funktionen und der Benachrichtigung von Amazon SNS SNS-Themen werden auch andere Arten von Zielen und Aktionen EventBridge unterstützt, z. B. das Weiterleiten von Ereignissen an Amazon Kinesis Kinesis-Streams, das Aktivieren von AWS Step Functions Zustandsmaschinen und das Aufrufen des Befehls run. AWS Systems Manager Informationen zu unterstützten Zielen finden Sie unter [Event Bus-Ziele](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html) im * EventBridge Amazon-Benutzerhandbuch*.
## EventBridge Amazon-Regeln für Macie-Ergebnisse erstellen
In den folgenden Verfahren wird erklärt, wie Sie mit der EventBridge Amazon-Konsole und dem [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) eine EventBridge Regel für Amazon Macie-Ergebnisse erstellen. Die Regel erkennt EventBridge Ereignisse, die das Ereignisschema und -muster für Macie-Ergebnisse verwenden, und sendet diese Ereignisse zur Verarbeitung an eine AWS Lambda Funktion.
AWS Lambda ist ein Rechendienst, mit dem Sie Code ausführen können, ohne Server bereitzustellen oder zu verwalten. Sie verpacken Ihren Code und laden ihn AWS Lambda als *Lambda-Funktion* hoch. AWS Lambda führt dann die Funktion aus, wenn die Funktion aufgerufen wird. Eine Funktion kann manuell von Ihnen, automatisch als Reaktion auf Ereignisse oder als Reaktion auf Anforderungen von Anwendungen oder Diensten aufgerufen werden. Informationen zum Erstellen und Abrufen und Lambda-Funktionen finden Sie im [AWS Lambda -Entwicklerhandbuch](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html).
------
#### [ Console ]
Gehen Sie wie folgt vor, um mit der EventBridge Amazon-Konsole eine Regel zu erstellen, die automatisch alle Macie-Suchereignisse zur Verarbeitung an eine Lambda-Funktion sendet. Die Regel verwendet Standardeinstellungen für Regeln, die ausgeführt werden, wenn bestimmte Ereignisse empfangen werden. Einzelheiten zu Regeleinstellungen oder wie Sie eine Regel erstellen, die benutzerdefinierte Einstellungen verwendet, finden Sie im * EventBridgeAmazon-Benutzerhandbuch* unter [Regeln erstellen, die auf Ereignisse reagieren](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html).
**Tipp**
Sie können auch eine Regel erstellen, die ein benutzerdefiniertes Muster verwendet, um nur eine Teilmenge der Macie-Findereignisse zu erkennen und darauf zu reagieren. Diese Teilmenge kann auf bestimmten Feldern basieren, die Macie in ein Findereignis einbezieht. Weitere Informationen zu den verfügbaren Feldern finden Sie unter. [EventBridge Amazon-Ereignisschema für Macie-Ergebnisse](findings-publish-event-schemas.md) Weitere Informationen zur Verwendung benutzerdefinierter Muster in Regeln finden Sie unter [Erstellen von Ereignismustern](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-pattern.html) im * EventBridge Amazon-Benutzerhandbuch*.
Bevor Sie diese Regel erstellen, erstellen Sie die Lambda-Funktion, die die Regel als Ziel verwenden soll. Wenn Sie die Regel erstellen, müssen Sie diese Funktion als Ziel für die Regel angeben.
**Um eine Ereignisregel mithilfe der Konsole zu erstellen**
1. Öffnen Sie die EventBridge Amazon-Konsole unter [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Wählen Sie im Navigationsbereich unter **Busse** die Option **Regeln** aus.
1. Wählen Sie im Abschnitt **Rules (Regeln)** die Option **Create rule (Regel erstellen)** aus.
1. Gehen Sie auf der **Detailseite Regel definieren** wie folgt vor:
+ Geben Sie für **Rule name (Regelname)** einen Namen für die Regel ein.
+ (Optional) Geben Sie unter **Beschreibung** eine kurze Beschreibung der Regel ein.
+ Stellen Sie sicher, dass für **Event Bus** die Option **Standard** ausgewählt ist und **die Option Regel auf dem ausgewählten Event-Bus aktivieren** aktiviert ist.
+ Bei **Regeltyp** wählen Sie **Regel mit einem Ereignismuster** aus.
1. Wenn Sie fertig sind, wählen Sie **Next (Weiter)** aus.
1. Gehen Sie auf der Seite **Event-Pattern erstellen** wie folgt vor:
+ Wählen Sie als **Ereignisquelle AWS ** **Ereignisse oder EventBridge Partnerereignisse** aus.
+ (Optional) Sehen Sie sich **unter Beispielereignis** ein Beispiel für ein Findereignis für Macie an, um zu erfahren, was ein Ereignis beinhalten könnte. Wählen Sie dazu **AWS Ereignisse** aus. Wählen Sie dann für **Beispielereignisse** die Option **Macie Finding** aus.
+ Wählen Sie für **Erstellungsmethode** die Option **Musterformular verwenden** aus.
+ Geben Sie für **Event Pattern** die folgenden Einstellungen ein:
+ Wählen Sie für **Ereignisquelle** die Option **AWS-Services** aus.
+ Wählen Sie für **AWS-Service****Macie**.
+ Wählen Sie als **Ereignistyp** **Macie** Finding aus.
1. Wenn Sie fertig sind, wählen Sie **Next (Weiter)** aus.
1. Gehen Sie auf der Seite **Ziele auswählen** wie folgt vor:
+ Für **Target types** (Zieltypen), wählen Sie **AWS-Service** aus.
+ Für **Select a target** (Ein Ziel auswählen), wählen die Option **Lambda function** (Lambda-Funktion) aus. Wählen Sie dann für **Function** die Lambda-Funktion aus, an die Sie Suchereignisse senden möchten.
+ Geben **Sie unter Version/Alias konfigurieren** die Versions- und Aliaseinstellungen für die Lambda-Zielfunktion ein.
+ (Optional) Geben Sie für **Zusätzliche Einstellungen** benutzerdefinierte Einstellungen ein, um anzugeben, welche Ereignisdaten Sie an die Lambda-Funktion senden möchten. Sie können auch angeben, wie Ereignisse behandelt werden sollen, die nicht erfolgreich an die Funktion übermittelt wurden.
1. Wenn Sie fertig sind, wählen Sie **Next (Weiter)** aus.
1. Geben Sie auf der Seite **Tags konfigurieren** optional ein oder mehrere Tags ein, die der Regel zugewiesen werden sollen. Klicken Sie anschließend auf **Weiter**.
1. **Überprüfen Sie auf der Seite Überprüfen und erstellen** die Einstellungen der Regel und stellen Sie sicher, dass sie korrekt sind.
Um eine Einstellung zu ändern, wählen Sie in dem Abschnitt, der die Einstellung enthält, **Bearbeiten** aus und geben Sie dann die richtige Einstellung ein. Sie können auch die Navigationsregisterkarten verwenden, um zu der Seite zu gelangen, die eine Einstellung enthält.
1. Wenn Sie mit der Überprüfung der Einstellungen fertig sind, wählen Sie **Regel erstellen** aus.
------
#### [ AWS CLI ]
Gehen Sie wie folgt vor, um mit der eine EventBridge Regel AWS CLI zu erstellen, die alle Macie-Suchereignisse zur Verarbeitung an eine Lambda-Funktion sendet. Die Regel verwendet Standardeinstellungen für Regeln, die ausgeführt werden, wenn bestimmte Ereignisse empfangen werden. In diesem Verfahren werden die Befehle für Microsoft Windows formatiert. Ersetzen Sie für Linux, macOS oder Unix das Zeilenfortsetzungszeichen Caret (^) durch einen umgekehrten Schrägstrich (\$1).
Bevor Sie diese Regel erstellen, erstellen Sie die Lambda-Funktion, die die Regel als Ziel verwenden soll. Notieren Sie beim Erstellen der Funktion den Amazon-Ressourcennamen (ARN) der Funktion. Sie müssen diesen ARN eingeben, wenn Sie das Ziel für die Regel angeben.
**Um eine Ereignisregel zu erstellen, verwenden Sie AWS CLI**
1. Erstellen Sie eine Regel, die Ereignisse für alle Ergebnisse erkennt, für die Macie veröffentlicht. EventBridge Führen Sie dazu den Befehl EventBridge [put-rule](https://docs.aws.amazon.com/cli/latest/reference/events/put-rule.html) aus. Beispiel:
```
C:\> aws events put-rule ^
--name MacieFindings ^
--event-pattern "{\"source\":[\"aws.macie\"]}"
```
Wo *MacieFindings* ist der Name, den Sie für die Regel benötigen.
**Tipp**
Sie können auch eine Regel erstellen, die ein benutzerdefiniertes Muster (`event-pattern`) verwendet, um nur eine Teilmenge von Macie-Suchereignissen zu erkennen und darauf zu reagieren. Diese Teilmenge kann auf bestimmten Feldern basieren, die Macie in ein Findereignis einbezieht. Weitere Informationen zu den verfügbaren Feldern finden Sie unter. [EventBridge Amazon-Ereignisschema für Macie-Ergebnisse](findings-publish-event-schemas.md) Weitere Informationen zur Verwendung benutzerdefinierter Muster in Regeln finden Sie unter [Erstellen von Ereignismustern](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-pattern.html) im * EventBridge Amazon-Benutzerhandbuch*.
Wenn der Befehl erfolgreich ausgeführt wird, EventBridge antwortet er mit dem ARN der Regel. Notieren Sie diesen ARN. Sie müssen ihn in Schritt 3 eingeben.
1. Geben Sie die Lambda-Funktion an, die als Ziel für die Regel verwendet werden soll. Führen Sie dazu den Befehl EventBridge [put-targets](https://docs.aws.amazon.com/cli/latest/reference/events/put-targets.html) aus. Beispiel:
```
C:\> aws events put-targets ^
--rule MacieFindings ^
--targets Id=1,Arn=arn:aws:lambda:regionalEndpoint:accountID:function:my-findings-function
```
Wo *MacieFindings* ist der Name, den Sie in Schritt 1 für die Regel angegeben haben, und der Wert für den `Arn` Parameter ist der ARN der Funktion, die die Regel als Ziel verwenden soll.
1. Fügen Sie Berechtigungen hinzu, die es der Regel ermöglichen, die Lambda-Zielfunktion aufzurufen. Führen Sie dazu den Lambda-Befehl [add-permission](https://docs.aws.amazon.com/cli/latest/reference/lambda/add-permission.html) aus. Beispiel:
```
C:\> aws lambda add-permission ^
--function-name my-findings-function ^
--statement-id Sid ^
--action lambda:InvokeFunction ^
--principal events.amazonaws.com ^
--source-arn arn:aws:events:regionalEndpoint:accountId:rule:MacieFindings
```
Wobei Folgendes gilt:
+ *my-findings-function*ist der Name der Lambda-Funktion, die die Regel als Ziel verwenden soll.
+ *Sid*ist ein Anweisungsbezeichner, den Sie definieren, um die Anweisung in der Lambda-Funktionsrichtlinie zu beschreiben.
+ `source-arn`ist der ARN der EventBridge Regel.
Wenn der Befehl erfolgreich ausgeführt wird, erhalten Sie eine Ausgabe, die der folgenden ähnelt:
```
{
"Statement": "{\"Sid\":\"sid\",
\"Effect\":\"Allow\",
\"Principal\":{\"Service\":\"events.amazonaws.com\"},
\"Action\":\"lambda:InvokeFunction\",
\"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:my-findings-function\",
\"Condition\":
{\"ArnLike\":
{\"AWS:SourceArn\":
\"arn:aws:events:us-east-1:111122223333:rule/MacieFindings\"}}}"
}
```
Der `Statement`-Wert ist eine JSON-Zeichenfolgenversion der Anweisung, die der Lambda-Funktionsrichtlinie hinzugefügt wurde.
------
# Überwachung der Macie-Ergebnisse mit AWS-Benutzerbenachrichtigungen
AWS-Benutzerbenachrichtigungen ist ein Dienst, der als zentraler Ort für Ihre AWS Benachrichtigungen auf dem AWS-Managementkonsole dient. Dazu gehören Benachrichtigungen wie CloudWatch Amazon-Alarme, AWS Support Fälle und Mitteilungen von anderen AWS-Services. Mit Benutzerbenachrichtigungen können Sie benutzerdefinierte Regeln und Lieferkanäle für den Empfang von Benachrichtigungen über bestimmte Arten von EventBridge Amazon-Ereignissen konfigurieren. Zu den Lieferkanälen gehören E-Mail, Amazon Q Developer in Chat-Anwendungen und Push-Benachrichtigungen in der AWS Console Mobile Application. Sie können die Benachrichtigungen auch auf der AWS-Benutzerbenachrichtigungen Konsole überprüfen. Weitere Informationen Benutzerbenachrichtigungen dazu finden Sie im [AWS-Benutzerbenachrichtigungen Benutzerhandbuch](https://docs.aws.amazon.com/notifications/latest/userguide/what-is-service.html).
Amazon Macie lässt sich integrieren AWS-Benutzerbenachrichtigungen, was bedeutet, dass Sie so konfiguriert werden können, dass Sie über Ereignisse informiert werden, Benutzerbenachrichtigungen zu denen Macie Informationen EventBridge zu Richtlinien und vertraulichen Daten veröffentlicht. Wenn ein Suchereignis den von Ihnen angegebenen Kriterien entspricht, Benutzerbenachrichtigungen wird eine Benachrichtigung generiert. Die Benachrichtigung enthält wichtige Informationen zum zugehörigen Ergebnis, z. B. Art und Schweregrad des Ergebnisses sowie den Namen der betroffenen Ressource. Benutzerbenachrichtigungen kann die Benachrichtigung auch an einen oder mehrere von Ihnen angegebene Zustellungskanäle senden. Sie können Ihre Wahl der Lieferkanäle an Ihre Sicherheits- und Compliance-Workflows anpassen.
Sie können beispielsweise die Konfiguration so konfigurieren Benutzerbenachrichtigungen , dass Benachrichtigungen für bestimmte Arten von neuen Ergebnissen mit hohem Schweregrad generiert werden. Sie können Amazon Q Developer auch in Chat-Anwendungen als Übertragungskanal für diese Benachrichtigungen angeben. Benutzerbenachrichtigungen erkennt dann EventBridge Ereignisse für die Ergebnisse, generiert Benachrichtigungen, die Daten aus den Ergebnissen enthalten, und sendet die Benachrichtigungen in Chat-Anwendungen an Amazon Q Developer. Amazon Q Developer in Chat-Anwendungen leitet die Benachrichtigungen dann möglicherweise an einen Slack-Channel oder einen Amazon Chime Chime-Chatroom weiter, um Ihr Incident-Response-Team zu benachrichtigen.
**Topics**
+ [Arbeiten mit AWS-Benutzerbenachrichtigungen](#findings-monitor-events-uno-overview)
+ [Benachrichtigungen für Ergebnisse aktivieren und konfigurieren](#findings-monitor-events-uno-configure)
+ [Zuordnung von Benachrichtigungsfeldern zu Suchfeldern](#findings-monitor-events-uno-schema)
+ [Änderung der Benachrichtigungseinstellungen für Ergebnisse](#findings-monitor-events-uno-change)
+ [Benachrichtigungen für Ergebnisse deaktivieren](#findings-monitor-events-uno-disable)
## Arbeitet mit AWS-Benutzerbenachrichtigungen
Mit erstellen Sie Regeln AWS-Benutzerbenachrichtigungen, um die Arten von EventBridge Amazon-Ereignissen festzulegen, für die Sie Benachrichtigungen überwachen und erhalten möchten. Eine Regel definiert Kriterien, die ein EventBridge Ereignis erfüllen muss, um eine Benachrichtigung zu generieren. Sie können auch einen oder mehrere Lieferkanäle für eine Regel auswählen. Lieferkanäle geben an, wo Sie Benachrichtigungen für Ereignisse erhalten möchten, die den Kriterien einer Regel entsprechen.
Wenn ein EventBridge Ereignis Benutzerbenachrichtigungen erkannt wird, das den Kriterien einer Regel entspricht, führt es die folgenden allgemeinen Aufgaben aus:
1. Extrahiert eine Teilmenge der Daten aus dem Ereignis.
1. Generiert eine Benachrichtigung, die die extrahierten Daten enthält.
1. Sendet die Benachrichtigung an die Zustellungskanäle, die Sie für diesen Ereignistyp angeben.
Das Design und die Struktur der Benachrichtigung sind für jeden Zustellungskanal optimiert, an den sie gesendet wird.
Um die Häufigkeit oder Anzahl der Benachrichtigungen zu steuern, die Sie erhalten, können Sie Aggregationseinstellungen für eine Regel konfigurieren. Wenn Sie diese Einstellungen aktivieren, Benutzerbenachrichtigungen werden Daten für mehrere Ereignisse in einer einzigen Benachrichtigung zusammengefasst. Sie können festlegen, dass aggregierte Ereignisbenachrichtigungen schnell und häufig gesendet werden. Dies ist bei Suchereignissen mit hohem Schweregrad möglicherweise sinnvoll. Oder senden Sie sie seltener, um weniger Benachrichtigungen zu erhalten, was Sie vielleicht bei Findereignissen mit geringem Schweregrad tun sollten. Wenn Sie Ereignisdaten kombinieren, können Sie mithilfe der Konsole einen Drilldown durchführen, um die Details jedes aggregierten Ereignisses zu überprüfen. AWS-Benutzerbenachrichtigungen Von dort aus können Sie auch zu jedem zugehörigen Fund auf der Amazon Macie Macie-Konsole navigieren.
## Aktivierung und Konfiguration AWS-Benutzerbenachrichtigungen für Macie Findings
Um Benachrichtigungen für Amazon Macie Macie-Ergebnisse generieren AWS-Benutzerbenachrichtigungen zu können, erstellen Sie eine Benachrichtigungskonfiguration für Macie in. Benutzerbenachrichtigungen Eine *Benachrichtigungskonfiguration* legt die Kriterien für eine Regel fest. Es legt auch Lieferkanäle und andere Einstellungen für die Überwachung und den Versand von Benachrichtigungen über EventBridge Amazon-Ereignisse fest, die den Kriterien der Regel entsprechen. Ausführliche Informationen zum Erstellen einer Benachrichtigungskonfiguration finden Sie unter [Erste Schritte mit AWS-Benutzerbenachrichtigungen](https://docs.aws.amazon.com/notifications/latest/userguide/getting-started.html) im *AWS-Benutzerbenachrichtigungen Benutzerhandbuch*.
Um eine Benachrichtigungskonfiguration für Macie-Ergebnisse zu erstellen, wählen Sie die folgenden Optionen für die Ereignisregel:
+ Wählen Sie als **AWS-Service Namen** **Macie** aus.
+ Wählen Sie als **Ereignistyp** **Macie** Finding aus.
+ Wählen Sie **unter Regionen** die Regionen aus, AWS-Region in denen Sie Macie verwenden und über die Ergebnisse informiert werden möchten.
Bei dieser Konfiguration werden EventBridge Ereignisse für Sie Benutzerbenachrichtigungen überwacht AWS-Konto und Benachrichtigungen für alle Macie-Suchereignisse in den von Ihnen ausgewählten Regionen generiert. Die Ereignisse entsprechen den folgenden Kriterien:
+ `source`entspricht `aws.macie`
+ `detail-type`ist gleich `Macie Finding`
Das zugrunde liegende JSON-Muster für die Ereignisregel lautet:
```
{
"source": ["aws.macie"],
"detail-type": ["Macie Finding"]
}
```
Um die Regel zu verfeinern und Benachrichtigungen nur für eine Teilmenge der Ergebnisse zu generieren, können Sie das JSON-Muster für die Regel anpassen. Geben Sie dazu zusätzliche Kriterien an, die sich aus dem ableiten. [EventBridge Amazon-Ereignisschema für Macie-Ergebnisse](findings-publish-event-schemas.md)
Wenn Sie eine Regel erstellen, die ein benutzerdefiniertes JSON-Muster verwendet, können Sie mehrere Benachrichtigungskonfigurationen für Macie-Ergebnisse erstellen. Anschließend können Sie die Bereitstellungskanäle und andere Einstellungen für jede Konfiguration an Ihre Sicherheits- und Compliance-Workflows für bestimmte Arten von Ergebnissen anpassen.
Sie könnten beispielsweise eine Regel erstellen, die Sie benachrichtigt, wenn Macie ein *Policy:IAMUser/S3BucketPublic*Ergebnis generiert oder aktualisiert. In diesem Fall könnte das Muster für die Regel wie folgt aussehen:
```
{
"source": ["aws.macie"],
"detail-type": ["Macie Finding"],
"detail": {
"type": ["Policy:IAMUser/S3BucketPublic"]
}
}
```
Und Sie könnten eine weitere Regel erstellen, die Sie benachrichtigt, wenn Macie einen Fund sensibler Daten für einen öffentlich zugänglichen S3-Bucket generiert. In diesem Fall könnte das Muster für die Regel wie folgt aussehen:
```
{
"source": ["aws.macie"],
"detail-type": ["Macie Finding"],
"detail": {
"type": [ { "prefix": "SensitiveData" } ],
"resourcesAffected": {
"effectivePermission": ["PUBLIC"]
}
}
}
```
Wenn Sie mehrere Benachrichtigungskonfigurationen für Macie-Ergebnisse erstellen, sollten Sie sicherstellen, dass die Regel für jede Konfiguration eindeutig ist. Andernfalls erhalten Sie möglicherweise doppelte Benachrichtigungen für einzelne Ergebnisse.
Weitere Informationen zum Anpassen von Ereignismustern für Regeln finden Sie unter [Verwenden von benutzerdefinierten JSON-Ereignismustern](https://docs.aws.amazon.com/notifications/latest/userguide/common-usecases.html) im *AWS-Benutzerbenachrichtigungen Benutzerhandbuch*.
## AWS-Benutzerbenachrichtigungen Felder den Macie-Suchfeldern zuordnen
Wenn eine Benachrichtigung für ein Amazon Macie Macie-Ergebnis AWS-Benutzerbenachrichtigungen generiert wird, füllt es die Benachrichtigung mit Daten aus einer Teilmenge von Feldern im entsprechenden Amazon-Ereignis. EventBridge Diese Felder enthalten wichtige Informationen zum zugehörigen Ergebnis, z. B. Art und Schweregrad des Ergebnisses sowie den Namen der betroffenen Ressource.
Wenn Sie eine Benachrichtigung auf der AWS-Benutzerbenachrichtigungen Konsole überprüfen, enthält die Benachrichtigung alle Daten für diese Teilmenge von Feldern. Es enthält auch einen Link zu dem zugehörigen Ergebnis auf der Amazon Macie Macie-Konsole. Wenn Sie eine Benachrichtigung in anderen Lieferkanälen überprüfen, enthält sie möglicherweise nur Daten für einige der Felder. Das liegt daran, Benutzerbenachrichtigungen dass das Design und die Struktur der Benachrichtigungen so angepasst werden, dass sie für jeden unterstützten Lieferkanaltyp geeignet sind.
In der folgenden Tabelle sind die Felder aufgeführt, die in einer Benachrichtigung über ein Ergebnis enthalten sein könnten. In der Tabelle beschreibt die Spalte **Benachrichtigungsfeld** den Namen eines Felds in einer Benachrichtigung (*kursiv*) oder gibt diesen an. In der Spalte „**Findereignis**“ wird in Punktnotation der Name des entsprechenden JSON-Felds in einem EventBridge Ereignis für einen Befund angegeben. Die Spalte **Beschreibung** beschreibt die Daten, die in dem Feld gespeichert sind.
| Feld „Benachrichtigung“ | Event-Feld wird gesucht | Description |
| --- | --- | --- |
| *Überschrift der Nachricht* | `detail.type` | Der Typ des Ergebnisses. Beispiel: `Policy:IAMUser/S3BucketPublic` oder `SensitiveData:S3Object/Financial`. |
| Übersicht | `detail.title` | Die kurze Beschreibung des Ergebnisses. Beispiel: `The S3 object contains financial information.` |
| Beschreibung | `detail.description` | Die vollständige Beschreibung des Ergebnisses. Beispiel: `The S3 object contains financial information such as bank account numbers or credit card numbers.` |
| Schweregrad | `detail.severity.description` | Die qualitative Darstellung des Schweregrads des Befundes:`Low`,`Medium`, oder`High`. |
| Die ID des Ergebnisses | `detail.id` | Die eindeutige Kennung für den Befund. |
| Erstellt | `detail.createdAt` | Datum und Uhrzeit der Erstellung des Ergebnisses durch Macie. |
| Aktualisiert | `detail.updatedAt` | Datum und Uhrzeit der letzten Aktualisierung des Ergebnisses durch Macie. Bei Ergebnissen mit sensiblen Daten entspricht dieser Wert dem Wert für das Feld *Created* (`detail.createdAt`). Alle Ergebnisse sensibler Daten werden als neu (einzigartig) betrachtet. |
| Betroffener S3-Bucket | `detail.resourcesAffected.s3Bucket.arn` | Der Amazon-Ressourcenname (ARN) des betroffenen S3-Buckets. |
| Betroffenes S3-Objekt | `detail.resourcesAffected.s3Object.path` | Der Name (*Schlüssel*) des betroffenen S3-Objekts, einschließlich des Namens des Buckets, in dem das Objekt gespeichert ist, und gegebenenfalls des Präfixes des Objekts. Dieses Feld ist nicht in Benachrichtigungen für Richtlinienfeststellungen enthalten. |
| *Erkennung sensibler Daten* | `detail.classificationDetails.result.sensitiveData.detections...` Und/oder `detail.classificationDetails.result.customDataIdentifiers.detections...` | Dies ist eine Verkettung mehrerer Felder in einem Ereignis, bei dem sensible Daten gefunden werden. Dieses Feld ist nicht in Benachrichtigungen zu politischen Ergebnissen enthalten. Wenn eine verwaltete Daten-ID die sensiblen Daten erkannt hat, gibt dieses Feld die Kategorie, den Typ und die Anzahl (`count`) der Vorkommen der erkannten vertraulichen Daten an. Beispiel: `PERSONAL_INFORMATION: USA_SOCIAL_SECURITY_NUMBER 100 occurrences`. Wenn eine benutzerdefinierte Daten-ID die vertraulichen Daten erkannt hat, gibt dieses Feld den Namen der benutzerdefinierten Daten-ID und die Anzahl (`count`) der Vorkommen der vertraulichen Daten an, die erkannt wurden. Beispiel: `Employee ID 20 occurrences`. Wenn ein Ergebnis mehrere Arten vertraulicher Daten meldet, enthält die Benachrichtigung Daten für bis zu vier Typen. Die Daten werden zuerst mit allen zutreffenden benutzerdefinierten Datenkennungen und dann mit allen zutreffenden verwalteten Datenkennungen aufgefüllt. |
## AWS-Benutzerbenachrichtigungen Einstellungen für Macie-Ergebnisse ändern
Sie können Ihre AWS-Benutzerbenachrichtigungen Einstellungen für Amazon Macie Macie-Ergebnisse jederzeit ändern. Bearbeiten Sie dazu die Benachrichtigungskonfiguration in Benutzerbenachrichtigungen. Wie das geht, erfahren Sie im *AWS-Benutzerbenachrichtigungen Benutzerhandbuch* unter [Verwaltung von Benachrichtigungskonfigurationen](https://docs.aws.amazon.com/notifications/latest/userguide/managing-notifications.html).
Wenn Sie mehrere Benachrichtigungskonfigurationen für Macie-Befunde haben, hat das Ändern der Einstellungen für eine Konfiguration keine Auswirkungen auf die Einstellungen für Ihre anderen Konfigurationen. Sie können alle oder nur einige Ihrer Konfigurationen bearbeiten.
## Deaktivierung AWS-Benutzerbenachrichtigungen für Macie-Ergebnisse
Um das Generieren und Empfangen von Benachrichtigungen AWS-Benutzerbenachrichtigungen für Amazon Macie Macie-Ergebnisse zu beenden, löschen Sie die Benachrichtigungskonfiguration in Benutzerbenachrichtigungen. Wie das geht, erfahren Sie im *AWS-Benutzerbenachrichtigungen Benutzerhandbuch* unter [Verwaltung von Benachrichtigungskonfigurationen](https://docs.aws.amazon.com/notifications/latest/userguide/managing-notifications.html).
Wenn Sie mehrere Benachrichtigungskonfigurationen für Macie-Befunde haben, hat das Löschen einer Konfiguration keine Auswirkungen auf Ihre anderen Konfigurationen. Sie können alle oder nur einige Ihrer Konfigurationen löschen.
# Auswertung der Ergebnisse von Macie mit AWS Security Hub CSPM
AWS Security Hub CSPM ist ein Service, der Ihnen einen umfassenden Überblick über Ihren Sicherheitsstatus in Ihrer gesamten AWS Umgebung bietet und Ihnen hilft, Ihre Umgebung anhand von Industriestandards und bewährten Methoden zu überprüfen. Dies geschieht unter anderem durch die Nutzung, Zusammenfassung, Organisation und Priorisierung der Ergebnisse mehrerer AWS-Services unterstützter AWS Partner Network Sicherheitslösungen. Security Hub CSPM hilft Ihnen dabei, Ihre Sicherheitstrends zu analysieren und Sicherheitsprobleme mit der höchsten Priorität zu identifizieren. Mit Security Hub CSPM können Sie auch Ergebnisse aus mehreren AWS-Regionen zusammenfassen und anschließend alle aggregierten Ergebnisdaten aus einer einzigen Region auswerten und verarbeiten. Weitere Informationen zu Security Hub CSPM finden Sie im [AWS Security Hub Benutzerhandbuch](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html).
Amazon Macie ist in Security Hub CSPM integriert, was bedeutet, dass Sie Ergebnisse von Macie automatisch in Security Hub CSPM veröffentlichen können. Security Hub CSPM kann diese Ergebnisse dann in die Analyse Ihres Sicherheitsstatus einbeziehen. Darüber hinaus können Sie Security Hub CSPM verwenden, um Ergebnisse aus Richtlinien und vertraulichen Daten als Teil eines größeren, aggregierten Datensatzes von Ergebnisdaten für Ihre Umgebung auszuwerten und zu verarbeiten. AWS Mit anderen Worten, Sie können die Ergebnisse von Macie auswerten und gleichzeitig umfassendere Analysen der Sicherheitslage Ihres Unternehmens durchführen und die Ergebnisse bei Bedarf korrigieren. Security Hub CSPM reduziert die Komplexität, die mit der Bearbeitung großer Mengen von Ergebnissen mehrerer Anbieter verbunden ist. Darüber hinaus verwendet es ein Standardformat für alle Ergebnisse, einschließlich der Ergebnisse von Macie. Durch die Verwendung dieses Formats, des *AWS Security Finding Formats (ASFF)*, müssen Sie keine zeitaufwändigen Datenkonvertierungen durchführen.
**Topics**
+ [Wie Macie Ergebnisse im Security Hub CSPM veröffentlicht](#securityhub-integration-sending-findings)
+ [Beispiele für Macie-Ergebnisse in Security Hub CSPM](#securityhub-integration-finding-example)
+ [Integration von Macie mit Security Hub CSPM](#securityhub-integration-enable)
+ [Einstellung der Veröffentlichung der Ergebnisse von Macie im Security Hub CSPM](#securityhub-integration-disable)
## Wie veröffentlicht Macie Ergebnisse für AWS Security Hub CSPM
In AWS Security Hub CSPM werden Sicherheitsprobleme als Ergebnisse nachverfolgt. Einige Ergebnisse stammen aus Problemen, die beispielsweise von AWS-Services Amazon Macie oder von unterstützten AWS Partner Network Sicherheitslösungen erkannt wurden. Security Hub CSPM verfügt außerdem über eine Reihe von Regeln, anhand derer Sicherheitsprobleme erkannt und Ergebnisse generiert werden.
Security Hub CSPM bietet Tools zur Verwaltung von Ergebnissen aus all diesen Quellen. Sie können Ergebnislisten überprüfen und filtern und die Details einzelner Ergebnisse überprüfen. Wie das geht, erfahren Sie im *AWS Security Hub Benutzerhandbuch* [unter Überprüfung des Befundverlaufs und der Details](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-viewing.html). Sie können auch den Status einer Untersuchung zu einer Erkenntnis nachverfolgen. Wie das geht, erfahren Sie im *AWS Security Hub Benutzerhandbuch* unter [Den Workflow-Status von Ergebnissen festlegen](https://docs.aws.amazon.com/securityhub/latest/userguide/findings-workflow-status.html).
Alle Erkenntnisse in Security Hub CSPM verwenden ein Standard-JSON-Format, das so genannte *AWS -Security Finding Format (ASFF)*. Das ASFF enthält Informationen zur Ursache eines Problems, zu den betroffenen Ressourcen und zum aktuellen Status eines Ergebnisses. Weitere Informationen finden Sie unter [AWS -Security Finding-Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html) im *AWS Security Hub -Benutzerhandbuch*.
### Arten von Ergebnissen, die Macie auf Security Hub CSPM veröffentlicht
Abhängig von den Veröffentlichungseinstellungen, die Sie für Ihr Macie-Konto wählen, kann Macie alle Ergebnisse, die es erstellt, im Security Hub CSPM veröffentlichen, sowohl Ergebnisse vertraulicher Daten als auch Richtlinienergebnisse. Informationen zu diesen Einstellungen und wie Sie sie ändern können, finden Sie unter. [Konfigurieren von Veröffentlichungseinstellungen für Erkenntnisse](findings-publish-frequency.md) Standardmäßig veröffentlicht Macie nur neue und aktualisierte Richtlinienergebnisse im Security Hub CSPM. Macie veröffentlicht keine Ergebnisse sensibler Daten im Security Hub CSPM.
#### Ergebnisse sensibler Daten
Wenn Sie Macie so konfigurieren, dass [Ergebnisse vertraulicher Daten](findings-types.md#findings-sensitive-data-types) in Security Hub CSPM veröffentlicht werden, veröffentlicht Macie automatisch jeden Fund vertraulicher Daten, den es für Ihr Konto erstellt, und zwar sofort, nachdem die Verarbeitung des Ergebnisses abgeschlossen ist. [Macie tut dies für alle Ergebnisse sensibler Daten, die nicht automatisch durch eine Unterdrückungsregel archiviert werden.](findings-suppression.md)
Wenn Sie der Macie-Administrator einer Organisation sind, beschränkt sich die Veröffentlichung auf Ergebnisse aus Aufträgen zur Erkennung sensibler Daten, die Sie ausgeführt haben, und auf automatisierte Ermittlungsaktivitäten, die Macie für Ihr Unternehmen durchgeführt hat. Nur das Konto, das einen Job erstellt, kann die Ergebnisse veröffentlichen, die der Job hervorbringt. Nur das Macie-Administratorkonto kann Ergebnisse zu sensiblen Daten veröffentlichen, die durch die automatische Erkennung sensibler Daten für das Unternehmen generiert wurden.
Wenn Macie Ergebnisse sensibler Daten auf Security Hub CSPM veröffentlicht, verwendet es das [AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html), das Standardformat für alle Ergebnisse in Security Hub CSPM. Im ASFF gibt das Feld den Typ eines Ergebnisses an`Types`. Dieses Feld verwendet eine Taxonomie, die sich geringfügig von der Taxonomie des Befundtyps in Macie unterscheidet.
In der folgenden Tabelle ist der ASFF-Suchtyp für jede Art von Findung sensibler Daten aufgeführt, die Macie erstellen kann.
| Macie-Suchtyp | ASFF-Ergebnistyp |
| --- | --- |
| SensitiveData:S3Object/Credentials | Sensitive Data Identifications/Passwords/SensitiveData:S3Object-Credentials |
| SensitiveData:S3Object/CustomIdentifier | Sensitive Data Identifications/PII/SensitiveData:S3Object-CustomIdentifier |
| SensitiveData:S3Object/Financial | Sensitive Data Identifications/Financial/SensitiveData:S3Object-Financial |
| SensitiveData:S3Object/Multiple | Sensitive Data Identifications/PII/SensitiveData:S3Object-Multiple |
| SensitiveData:S3Object/Personal | Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal |
#### Politische Ergebnisse
Wenn Sie Macie so konfigurieren, dass [Richtlinienergebnisse](findings-types.md#findings-policy-types) in Security Hub CSPM veröffentlicht werden, veröffentlicht Macie automatisch jedes neue Richtlinienergebnis, das es erstellt, und zwar sofort, nachdem es die Verarbeitung des Ergebnisses abgeschlossen hat. Wenn Macie ein späteres Auftreten einer bestehenden Richtlinienfeststellung feststellt, veröffentlicht es automatisch ein Update des vorhandenen Ergebnisses in Security Hub CSPM, wobei die Veröffentlichungshäufigkeit verwendet wird, die Sie für Ihr Konto angeben. [Macie führt diese Aufgaben für alle Richtlinienfeststellungen aus, die nicht automatisch durch eine Unterdrückungsregel archiviert werden.](findings-suppression.md)
Wenn Sie der Macie-Administrator einer Organisation sind, beschränkt sich die Veröffentlichung auf Richtlinienergebnisse für S3-Buckets, die direkt Ihrem Konto gehören. Macie veröffentlicht keine Richtlinienergebnisse, die es für Mitgliedskonten in Ihrer Organisation erstellt oder aktualisiert. Dadurch wird sichergestellt, dass Sie keine doppelten Ergebnisdaten in Security Hub CSPM haben.
Wie bei Ergebnissen sensibler Daten verwendet Macie das AWS Security Finding Format (ASFF), wenn es neue und aktualisierte Richtlinienergebnisse an Security Hub CSPM veröffentlicht. In der ASFF verwendet das `Types` Feld eine Taxonomie, die sich geringfügig von der Befundtyp-Taxonomie in Macie unterscheidet.
In der folgenden Tabelle ist der ASFF-Suchtyp für jeden Typ von Richtlinienergebnis aufgeführt, den Macie erstellen kann. Wenn Macie am oder nach dem 28. Januar 2021 ein Richtlinienergebnis in Security Hub CSPM erstellt oder aktualisiert hat, hat das Ergebnis einen der folgenden Werte für das `Types` ASFF-Feld in Security Hub CSPM.
| Macie-Fundtyp | ASFF-Ergebnistyp |
| --- | --- |
| Policy:IAMUser/S3BlockPublicAccessDisabled | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled |
| Policy:IAMUser/S3BucketEncryptionDisabled | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketEncryptionDisabled |
| Policy:IAMUser/S3BucketPublic | Effects/Data Exposure/Policy:IAMUser-S3BucketPublic |
| Policy:IAMUser/S3BucketReplicatedExternally | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketReplicatedExternally |
| Policy:IAMUser/S3BucketSharedExternally | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedExternally |
| Policy:IAMUser/S3BucketSharedWithCloudFront | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedWithCloudFront |
Wenn Macie vor dem 28. Januar 2021 ein Richtlinienergebnis erstellt oder zuletzt aktualisiert hat, hat das Ergebnis einen der folgenden Werte für das `Types` ASFF-Feld in Security Hub CSPM:
+ Policy:IAMUser/S3BlockPublicAccessDisabled
+ Policy:IAMUser/S3BucketEncryptionDisabled
+ Policy:IAMUser/S3BucketPublic
+ Policy:IAMUser/S3BucketReplicatedExternally
+ Policy:IAMUser/S3BucketSharedExternally
Die Werte in der vorherigen Liste sind direkt den Werten für das Feld **Finding type** (`type`) in Macie zugeordnet.
**Hinweise**
Beachten Sie bei der Überprüfung und Verarbeitung der Richtlinienergebnisse in Security Hub CSPM die folgenden Ausnahmen:
In einigen AWS-Regionen Fällen begann Macie bereits am 25. Januar 2021, ASFF-Suchttypen für neue und aktualisierte Ergebnisse zu verwenden.
Wenn Sie auf eine Richtlinienfeststellung in Security Hub CSPM reagiert haben, bevor Macie begann, ASFF-Suchttypen in Ihrem zu verwenden AWS-Region, entspricht der Wert für das `Types` ASFF-Feld des Ergebnisses einem der Macie-Suchttypen in der vorherigen Liste. Es handelt sich dabei nicht um einen der ASFF-Findetypen in der obigen Tabelle. Dies gilt für Richtlinienfeststellungen, auf die Sie mithilfe der AWS Security Hub CSPM Konsole oder des `BatchUpdateFindings` AWS Security Hub CSPM API-Betriebs reagiert haben.
### Latenz bei der Veröffentlichung von Ergebnissen im Security Hub CSPM
Wenn Amazon Macie eine neue Richtlinie oder ein neues Ergebnis für sensible Daten erstellt, veröffentlicht es das Ergebnis AWS Security Hub CSPM unmittelbar nach Abschluss der Verarbeitung des Ergebnisses.
Wenn Macie ein späteres Auftreten eines vorhandenen Richtlinienfeststands feststellt, veröffentlicht es ein Update des vorhandenen Ergebnisses in Security Hub CSPM. Der Zeitpunkt der Aktualisierung hängt von der Veröffentlichungshäufigkeit ab, die Sie für Ihr Macie-Konto wählen. Standardmäßig veröffentlicht Macie Updates alle 15 Minuten. Weitere Informationen, unter anderem dazu, wie Sie die Einstellungen für Ihr Konto ändern können, finden Sie unter[Konfigurieren von Veröffentlichungseinstellungen für Erkenntnisse](findings-publish-frequency.md).
### Die Veröffentlichung wird erneut versucht, wenn Security Hub CSPM nicht verfügbar ist
Wenn nicht AWS Security Hub CSPM verfügbar, erstellt Amazon Macie eine Warteschlange mit Ergebnissen, die nicht von Security Hub CSPM empfangen wurden. Wenn das System wiederhergestellt ist, wiederholt Macie die Veröffentlichung, bis die Ergebnisse beim Security Hub CSPM eingegangen sind.
### Aktualisieren von vorhandenen Erkenntnissen in Security Hub CSPM
Nachdem Amazon Macie eine Richtlinienfeststellung veröffentlicht hat AWS Security Hub CSPM, aktualisiert Macie die Ergebnisse, um allen weiteren Vorkommen der Feststellung oder Findungsaktivität Rechnung zu tragen. Macie tut dies nur für politische Feststellungen. Macie aktualisiert die Ergebnisse sensibler Daten in Security Hub CSPM nicht. Im Gegensatz zu politischen Ergebnissen werden alle Ergebnisse sensibler Daten als neu (einzigartig) behandelt.
Wenn Macie eine Aktualisierung eines Richtlinienergebnisses veröffentlicht, aktualisiert Macie den Wert für das Feld **Aktualisiert am** (`UpdatedAt`) des Ergebnisses. Sie können diesen Wert verwenden, um festzustellen, wann Macie zuletzt ein späteres Auftreten des potenziellen Richtlinienverstoßes oder Problems entdeckt hat, das zu dem Ergebnis geführt hat.
Macie aktualisiert möglicherweise auch den Wert für das Feld **Types** (`Types`) eines Ergebnisses, wenn der vorhandene Wert für das Feld kein [ASFF-Suchtyp](#securityhub-integration-finding-types-policy) ist. Dies hängt davon ab, ob Sie auf die Ergebnisse in Security Hub CSPM reagiert haben. Wenn Sie auf das Ergebnis nicht reagiert haben, ändert Macie den Feldwert in den entsprechenden ASFF-Suchtyp. Wenn Sie auf das Ergebnis reagiert haben, entweder über die AWS Security Hub CSPM Konsole oder `BatchUpdateFindings` über die AWS Security Hub CSPM API, ändert Macie den Feldwert nicht.
## Beispiele für Macie-Ergebnisse in AWS Security Hub CSPM
Wenn Amazon Macie Ergebnisse veröffentlicht AWS Security Hub CSPM, verwendet es das [AWS Security Finding Format (ASFF](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html)). Dies ist das Standardformat für alle Ergebnisse in Security Hub CSPM. In den folgenden Beispielen werden anhand von Beispieldaten die Struktur und Art der Ergebnisdaten veranschaulicht, die Macie in diesem Format auf Security Hub CSPM veröffentlicht:
+ [Beispiel für einen Fund sensibler Daten](#securityhub-integration-finding-example-sdf)
+ [Beispiel für eine politische Feststellung](#securityhub-integration-finding-example-policy)
### Beispiel für einen Fund sensibler Daten in Security Hub CSPM
Hier ist ein Beispiel für eine Entdeckung sensibler Daten, die Macie mithilfe des ASFF auf Security Hub CSPM veröffentlicht hat.
```
{
"SchemaVersion": "2018-10-08",
"Id": "5be50fce24526e670df77bc00example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types":[
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
],
"CreatedAt": "2022-05-11T10:23:49.667Z",
"UpdatedAt": "2022-05-11T10:23:49.667Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "The S3 object contains personal information.",
"Description": "The object contains personal information such as first or last names, addresses, or identification numbers.",
"ProductFields": {
"JobArn": "arn:aws:macie2:us-east-1:111122223333:classification-job/698e99c283a255bb2c992feceexample",
"S3Object.Path": "amzn-s3-demo-bucket/2022 Sourcing.tsv",
"S3Object.Extension": "tsv",
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"OriginType": "SENSITIVE_DATA_DISCOVERY_JOB",
"S3Object.PublicAccess": "false",
"S3Object.Size": "14",
"S3Object.StorageClass": "STANDARD",
"S3Bucket.allowsUnencryptedObjectUploads": "TRUE",
"JobId": "698e99c283a255bb2c992feceexample",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/5be50fce24526e670df77bc00example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-12-30T18:16:25.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"BlockPublicPolicy": true,
"IgnorePublicAcls": true,
"RestrictPublicBuckets": true
}
}
}
},
{
"Type": "AwsS3Object",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket/2022 Sourcing.tsv",
"Partition": "aws",
"Region": "us-east-1",
"DataClassification": {
"DetailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/111122223333/Macie/us-east-1/
698e99c283a255bb2c992feceexample/111122223333/32b8485d-4f3a-3aa1-be33-aa3f0example.jsonl.gz",
"Result":{
"MimeType": "text/tsv",
"SizeClassified": 14,
"AdditionalOccurrences": false,
"Status": {
"Code": "COMPLETE"
},
"SensitiveData": [
{
"Category": "PERSONAL_INFORMATION",
"Detections": [
{
"Count": 1,
"Type": "USA_SOCIAL_SECURITY_NUMBER",
"Occurrences": {
"Cells": [
{
"Column": 10,
"Row": 1,
"ColumnName": "Other"
}
]
}
}
],
"TotalCount": 1
}
],
"CustomDataIdentifiers": {
"Detections": [
],
"TotalCount": 0
}
}
},
"Details": {
"AwsS3Object": {
"LastModified": "2022-04-22T18:16:46.000Z",
"ETag": "ebe1ca03ee8d006d457444445example",
"VersionId": "SlBC72z5hArgexOJifxw_IN57example",
"ServerSideEncryption": "aws:kms",
"SSEKMSKeyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
]
},
"Sample": false,
"ProcessedAt": "2022-05-11T10:23:49.667Z"
}
```
### Beispiel für eine Richtlinienfeststellung in Security Hub CSPM
Hier ist ein Beispiel für eine neue Richtlinienfeststellung, die Macie auf Security Hub CSPM in der ASFF veröffentlicht hat.
```
{
"SchemaVersion": "2018-10-08",
"Id": "36ca8ba0-caf1-4fee-875c-37760example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
],
"CreatedAt": "2022-04-24T09:27:43.313Z",
"UpdatedAt": "2022-04-24T09:27:43.313Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "Block Public Access settings are disabled for the S3 bucket",
"Description": "All Amazon S3 block public access settings are disabled for the Amazon S3 bucket. Access to the bucket is
controlled only by access control lists (ACLs) or bucket policies.",
"ProductFields": {
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"S3Bucket.allowsUnencryptedObjectUploads": "FALSE",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/36ca8ba0-caf1-4fee-875c-37760example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Tags": {
"Team": "Recruiting",
"Division": "HR"
},
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-11-25T18:24:38.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": false,
"BlockPublicPolicy": false,
"IgnorePublicAcls": false,
"RestrictPublicBuckets": false
}
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
]
},
"Sample": false
}
```
## Integration von Macie mit AWS Security Hub CSPM
Um Amazon Macie zu integrieren AWS Security Hub CSPM, aktivieren Sie Security Hub CSPM für Ihr. AWS-Konto Wie das geht, erfahren Sie im *AWS Security Hub Benutzerhandbuch* unter [Enabling Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html).
Wenn Sie sowohl Macie als auch Security Hub CSPM aktivieren, wird die Integration automatisch aktiviert. Standardmäßig beginnt Macie, neue und aktualisierte Richtlinienergebnisse automatisch im Security Hub CSPM zu veröffentlichen. Sie müssen keine zusätzlichen Schritte unternehmen, um die Integration zu konfigurieren. Wenn Sie bereits über Richtlinienergebnisse verfügen, wenn die Integration aktiviert ist, veröffentlicht Macie diese nicht in Security Hub CSPM. Stattdessen veröffentlicht Macie nur die Richtlinienergebnisse, die es erstellt oder aktualisiert, nachdem die Integration aktiviert wurde.
Sie können Ihre Konfiguration optional anpassen, indem Sie die Häufigkeit wählen, mit der Macie Aktualisierungen der Richtlinienergebnisse in Security Hub CSPM veröffentlicht. Sie können sich auch dafür entscheiden, die Ergebnisse sensibler Daten im Security Hub CSPM zu veröffentlichen. Um zu erfahren wie dies geht, vgl. [Konfigurieren von Veröffentlichungseinstellungen für Erkenntnisse](findings-publish-frequency.md).
## Einstellung der Veröffentlichung der Ergebnisse von Macie an AWS Security Hub CSPM
Um die Veröffentlichung von Amazon Macie Macie-Ergebnissen auf zu beenden AWS Security Hub CSPM, können Sie die Veröffentlichungseinstellungen für Ihr Macie-Konto ändern. Um zu erfahren wie dies geht, vgl. [Auswahl der Veröffentlichungsziele für Ergebnisse](findings-publish-frequency.md#findings-publish-destinations-change). Sie können dies auch mithilfe von Security Hub CSPM tun. *Wie das geht, erfahren Sie im Benutzerhandbuch unter [Deaktivierung des Flusses von Ergebnissen aus einer Integration](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integration-disable.html).AWS Security Hub *
# EventBridge Amazon-Ereignisschema für Macie-Ergebnisse
Um die Integration mit anderen Anwendungen, Diensten und Systemen wie Überwachungs- oder Eventmanagementsystemen zu unterstützen, veröffentlicht Amazon Macie die Ergebnisse automatisch EventBridge als Ereignisse an Amazon. EventBridge, ehemals Amazon CloudWatch Events, ist ein serverloser Event-Bus-Service, der einen Stream von Echtzeitdaten aus Anwendungen und anderen AWS-Services an Ziele wie AWS Lambda Funktionen, Amazon Simple Notification Service-Themen und Amazon Kinesis Kinesis-Streams übermittelt. Weitere Informationen EventBridge finden Sie im [ EventBridge Amazon-Benutzerhandbuch](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html).
**Anmerkung**
Wenn Sie derzeit CloudWatch Events verwenden, beachten Sie, dass es sich bei EventBridge und CloudWatch Events um denselben zugrunde liegenden Service und dieselbe API handelt. EventBridge Enthält jedoch zusätzliche Funktionen, mit denen Sie Ereignisse von SaaS-Anwendungen (Software as a Service) und Ihren eigenen Anwendungen empfangen können. Da der zugrunde liegende Dienst und die API identisch sind, ist auch das Ereignisschema für Macie-Ergebnisse identisch.
[Macie veröffentlicht automatisch Ereignisse für alle neuen Ergebnisse und das nachfolgende Auftreten vorhandener Richtlinienfeststellungen, mit Ausnahme von Ergebnissen, die automatisch durch eine Unterdrückungsregel archiviert werden.](findings-suppression.md) Bei den Ereignissen handelt es sich um JSON-Objekte, die dem EventBridge Schema für Ereignisse entsprechen. AWS Jedes Ereignis enthält eine JSON-Repräsentation eines bestimmten Ergebnisses. Da die Daten als EventBridge Ereignis strukturiert sind, können Sie ein Ergebnis einfacher überwachen, verarbeiten und darauf reagieren, indem Sie andere Anwendungen, Dienste und Tools verwenden. Weitere Informationen darüber, wie und wann Macie Ereignisse zu Ergebnissen veröffentlicht, finden Sie unter[Konfigurieren von Veröffentlichungseinstellungen für Erkenntnisse](findings-publish-frequency.md).
**Topics**
+ [Ereignisschema für die Ergebnisse von Macie](#findings-publish-event-schema)
+ [Beispiel für ein Ereignis im Zusammenhang mit einem Richtlinienergebnis](#findings-publish-event-example-policy)
+ [Beispiel für ein Ereignis bei einem Fund sensibler Daten](#findings-publish-event-example-classification)
## Ereignisschema für die Ergebnisse von Macie
Das folgende Beispiel zeigt das Schema eines [ EventBridge Amazon-Ereignisses](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html) für einen Amazon Macie-Befund. Eine ausführliche Beschreibung der Felder, die in ein Finding-Event aufgenommen werden können, finden Sie unter [Ergebnisse](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html) in der *Amazon Macie API-Referenz.* Die Struktur und die Felder eines Findereignisses sind dem `Finding` Objekt der Amazon Macie Macie-API sehr ähnlich.
```
{
"version": "0",
"id": "event ID",
"detail-type": "Macie Finding",
"source": "aws.macie",
"account": "AWS-Konto ID (string)",
"time": "event timestamp (string)",
"region": "AWS-Region (string)",
"resources": [
<-- ARNs of the resources involved in the event -->
],
"detail": {
<-- Details of a policy or sensitive data finding -->
},
"policyDetails": null, <-- Additional details of a policy finding or null for a sensitive data finding -->
"sample": Boolean,
"archived": Boolean
}
```
## Beispiel für ein Ereignis im Zusammenhang mit einem Richtlinienergebnis
Im folgenden Beispiel werden anhand von Beispieldaten die Struktur und Art von Objekten und Feldern in einem EventBridge Amazon-Ereignis für eine [Richtlinienfeststellung veranschaulicht](findings-types.md#findings-policy-types). In diesem Beispiel meldet das Ereignis ein nachträgliches Auftreten einer bestehenden Richtlinienfeststellung: Amazon Macie hat festgestellt, dass die Einstellungen für den öffentlichen Zugriff blockieren für einen S3-Bucket deaktiviert wurden. Anhand der folgenden Felder und Werte können Sie feststellen, ob dies der Fall ist:
+ Das `type` Feld ist auf eingestellt`Policy:IAMUser/S3BlockPublicAccessDisabled`.
+ Die `updatedAt` Felder `createdAt` und haben unterschiedliche Werte. Dies ist ein Indikator dafür, dass das Ereignis auf ein späteres Eintreten einer bestehenden politischen Feststellung hinweist. Die Werte für diese Felder wären dieselben, wenn das Ereignis ein neues Ergebnis melden würde.
+ Das `count` Feld ist auf gesetzt`2`, was darauf hinweist, dass der Befund zum zweiten Mal auftritt.
+ Das `category` Feld ist auf eingestellt`POLICY`.
+ Der Wert für das `classificationDetails` Feld ist`null`, was dazu beiträgt, dieses Ereignis für ein Richtlinienergebnis von einem Ereignis für ein Ergebnis vertraulicher Daten zu unterscheiden. Bei einem Ergebnis vertraulicher Daten entspricht dieser Wert einer Gruppe von Objekten und Feldern, die Informationen darüber liefern, wie und welche vertraulichen Daten gefunden wurden.
Beachten Sie auch, dass der Wert für das `sample` Feld lautet`true`. Dieser Wert unterstreicht, dass es sich um ein Beispielereignis zur Verwendung in der Dokumentation handelt.
```
{
"version": "0",
"id": "0948ba87-d3b8-c6d4-f2da-732a1example",
"detail-type": "Macie Finding",
"source": "aws.macie",
"account": "123456789012",
"time": "2024-04-30T23:12:15Z",
"region":"us-east-1",
"resources": [],
"detail": {
"schemaVersion": "1.0",
"id": "64b917aa-3843-014c-91d8-937ffexample",
"accountId": "123456789012",
"partition": "aws",
"region": "us-east-1",
"type": "Policy:IAMUser/S3BlockPublicAccessDisabled",
"title": "Block public access settings are disabled for the S3 bucket",
"description": "All bucket-level block public access settings were disabled for the S3 bucket. Access to the bucket is controlled by account-level block public access settings, access control lists (ACLs), and the bucket’s bucket policy.",
"severity": {
"score": 3,
"description": "High"
},
"createdAt": "2024-04-29T15:46:02Z",
"updatedAt": "2024-04-30T23:12:15Z",
"count": 2,
"resourcesAffected": {
"s3Bucket": {
"arn": "arn:aws:s3:::amzn-s3-demo-bucket1",
"name": "amzn-s3-demo-bucket1",
"createdAt": "2020-04-03T20:46:56.000Z",
"owner":{
"displayName": "johndoe",
"id": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example"
},
"tags": [
{
"key": "Division",
"value": "HR"
},
{
"key": "Team",
"value": "Recruiting"
}
],
"defaultServerSideEncryption": {
"encryptionType": "aws:kms",
"kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"publicAccess": {
"permissionConfiguration": {
"bucketLevelPermissions": {
"accessControlList": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"bucketPolicy": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"blockPublicAccess": {
"ignorePublicAcls": false,
"restrictPublicBuckets": false,
"blockPublicAcls": false,
"blockPublicPolicy": false
}
},
"accountLevelPermissions": {
"blockPublicAccess": {
"ignorePublicAcls": true,
"restrictPublicBuckets": true,
"blockPublicAcls": true,
"blockPublicPolicy": true
}
}
},
"effectivePermission": "NOT_PUBLIC"
},
"allowsUnencryptedObjectUploads": "FALSE"
},
"s3Object": null
},
"category": "POLICY",
"classificationDetails": null,
"policyDetails": {
"action": {
"actionType": "AWS_API_CALL",
"apiCallDetails": {
"api": "PutBucketPublicAccessBlock",
"apiServiceName": "s3.amazonaws.com",
"firstSeen": "2024-04-29T15:46:02.401Z",
"lastSeen": "2024-04-30T23:12:15.401Z"
}
},
"actor": {
"userIdentity": {
"type": "AssumedRole",
"assumedRole": {
"principalId": "AROA1234567890EXAMPLE:AssumedRoleSessionName",
"arn": "arn:aws:sts::123456789012:assumed-role/RoleToBeAssumed/MySessionName",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": false,
"creationDate": "2024-04-29T10:25:43.511Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AROA1234567890EXAMPLE",
"arn": "arn:aws:iam::123456789012:role/RoleToBeAssumed",
"accountId": "123456789012",
"userName": "RoleToBeAssumed"
}
}
},
"root": null,
"iamUser": null,
"federatedUser": null,
"awsAccount": null,
"awsService": null
},
"ipAddressDetails":{
"ipAddressV4": "192.0.2.0",
"ipOwner": {
"asn": "-1",
"asnOrg": "ExampleFindingASNOrg",
"isp": "ExampleFindingISP",
"org": "ExampleFindingORG"
},
"ipCountry": {
"code": "US",
"name": "United States"
},
"ipCity": {
"name": "Ashburn"
},
"ipGeoLocation": {
"lat": 39.0481,
"lon": -77.4728
}
},
"domainDetails": null
}
},
"sample": true,
"archived": false
}
}
```
## Beispiel für ein Ereignis bei einem Fund sensibler Daten
Im folgenden Beispiel werden anhand von Beispieldaten die Struktur und Art von Objekten und Feldern in einem EventBridge Amazon-Ereignis veranschaulicht, bei dem [sensible Daten gefunden wurden](findings-types.md#findings-sensitive-data-types). In diesem Beispiel meldet das Ereignis ein neues Ergebnis vertraulicher Daten: Amazon Macie hat mehrere Kategorien und Typen sensibler Daten in einem S3-Objekt gefunden. Mithilfe der folgenden Felder und Werte können Sie feststellen, ob dies der Fall ist:
+ Das `type` Feld ist auf eingestellt`SensitiveData:S3Object/Multiple`.
+ Die `updatedAt` Felder `createdAt` und haben dieselben Werte. Im Gegensatz zu politischen Ergebnissen ist dies bei Ergebnissen sensibler Daten immer der Fall. Alle Ergebnisse sensibler Daten gelten als neu.
+ Das `count` Feld ist auf eingestellt`1`, was darauf hinweist, dass es sich um ein neues Ergebnis handelt. Im Gegensatz zu politischen Erkenntnissen ist dies bei Ergebnissen sensibler Daten immer der Fall. Alle Ergebnisse sensibler Daten gelten als einzigartig (neu).
+ Das `category` Feld ist auf eingestellt`CLASSIFICATION`.
+ Der Wert für das `policyDetails` Feld ist`null`, was dazu beiträgt, dieses Ereignis für eine Entdeckung vertraulicher Daten von einem Ereignis für eine Richtlinienfeststellung zu unterscheiden. Bei einem Richtlinienergebnis entspricht dieser Wert einer Gruppe von Objekten und Feldern, die Informationen über einen potenziellen Richtlinienverstoß oder ein Problem mit der Sicherheit oder dem Datenschutz eines S3-Buckets bereitstellen.
Beachten Sie auch, dass der Wert für das `sample` Feld lautet`true`. Dieser Wert unterstreicht, dass es sich um ein Beispielereignis zur Verwendung in der Dokumentation handelt.
```
{
"version": "0",
"id": "14ddd0b1-7c90-b9e3-8a68-6a408example",
"detail-type": "Macie Finding",
"source": "aws.macie",
"account": "123456789012",
"time": "2024-04-20T08:19:10Z",
"region": "us-east-1",
"resources": [],
"detail": {
"schemaVersion": "1.0",
"id": "4ed45d06-c9b9-4506-ab7f-18a57example",
"accountId": "123456789012",
"partition": "aws",
"region": "us-east-1",
"type": "SensitiveData:S3Object/Multiple",
"title": "The S3 object contains multiple categories of sensitive data",
"description": "The S3 object contains more than one category of sensitive data.",
"severity": {
"score": 3,
"description": "High"
},
"createdAt": "2024-04-20T18:19:10Z",
"updatedAt": "2024-04-20T18:19:10Z",
"count": 1,
"resourcesAffected": {
"s3Bucket": {
"arn": "arn:aws:s3:::amzn-s3-demo-bucket2",
"name": "amzn-s3-demo-bucket2",
"createdAt": "2020-05-15T20:46:56.000Z",
"owner": {
"displayName": "johndoe",
"id": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example"
},
"tags":[
{
"key":"Division",
"value":"HR"
},
{
"key":"Team",
"value":"Recruiting"
}
],
"defaultServerSideEncryption": {
"encryptionType": "aws:kms",
"kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"publicAccess": {
"permissionConfiguration": {
"bucketLevelPermissions": {
"accessControlList": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"bucketPolicy":{
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"blockPublicAccess": {
"ignorePublicAcls": true,
"restrictPublicBuckets": true,
"blockPublicAcls": true,
"blockPublicPolicy": true
}
},
"accountLevelPermissions": {
"blockPublicAccess": {
"ignorePublicAcls": false,
"restrictPublicBuckets": false,
"blockPublicAcls": false,
"blockPublicPolicy": false
}
}
},
"effectivePermission": "NOT_PUBLIC"
},
"allowsUnencryptedObjectUploads": "TRUE"
},
"s3Object":{
"bucketArn": "arn:aws:s3:::amzn-s3-demo-bucket2",
"key": "2024 Sourcing.csv",
"path": "amzn-s3-demo-bucket2/2024 Sourcing.csv",
"extension": "csv",
"lastModified": "2024-04-19T22:08:25.000Z",
"versionId": "",
"serverSideEncryption": {
"encryptionType": "aws:kms",
"kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"size": 4750,
"storageClass": "STANDARD",
"tags":[
{
"key":"Division",
"value":"HR"
},
{
"key":"Team",
"value":"Recruiting"
}
],
"publicAccess": false,
"etag": "6bb7fd4fa9d36d6b8fb8882caexample"
}
},
"category": "CLASSIFICATION",
"classificationDetails": {
"jobArn": "arn:aws:macie2:us-east-1:123456789012:classification-job/3ce05dbb7ec5505def334104bexample",
"jobId": "3ce05dbb7ec5505def334104bexample",
"result": {
"status": {
"code": "COMPLETE",
"reason": null
},
"sizeClassified": 4750,
"mimeType": "text/csv",
"additionalOccurrences": true,
"sensitiveData": [
{
"category": "PERSONAL_INFORMATION",
"totalCount": 65,
"detections": [
{
"type": "USA_SOCIAL_SECURITY_NUMBER",
"count": 30,
"occurrences": {
"lineRanges": null,
"offsetRanges": null,
"pages": null,
"records": null,
"cells": [
{
"row": 2,
"column": 1,
"columnName": "SSN",
"cellReference": null
},
{
"row": 3,
"column": 1,
"columnName": "SSN",
"cellReference": null
},
{
"row": 4,
"column": 1,
"columnName": "SSN",
"cellReference": null
}
]
}
},
{
"type": "NAME",
"count": 35,
"occurrences": {
"lineRanges": null,
"offsetRanges": null,
"pages": null,
"records": null,
"cells": [
{
"row": 2,
"column": 3,
"columnName": "Name",
"cellReference": null
},
{
"row": 3,
"column": 3,
"columnName": "Name",
"cellReference": null
}
]
}
}
]
},
{
"category": "FINANCIAL_INFORMATION",
"totalCount": 30,
"detections": [
{
"type": "CREDIT_CARD_NUMBER",
"count": 30,
"occurrences": {
"lineRanges": null,
"offsetRanges": null,
"pages": null,
"records": null,
"cells": [
{
"row": 2,
"column": 14,
"columnName": "CCN",
"cellReference": null
},
{
"row": 3,
"column": 14,
"columnName": "CCN",
"cellReference": null
}
]
}
}
]
}
],
"customDataIdentifiers": {
"totalCount": 0,
"detections": []
}
},
"detailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/123456789012/Macie/us-east-1/3ce05dbb7ec5505def334104bexample/d48bf16d-0deb-3e49-9d8c-d407cexample.jsonl.gz",
"originType": "SENSITIVE_DATA_DISCOVERY_JOB"
},
"policyDetails": null,
"sample": true,
"archived": false
}
}
```