Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Seguimiento y procesamiento de los resultados de Macie
Para facilitar la integración con otras aplicaciones, servicios y sistemas, como los sistemas de supervisión o gestión de eventos, Amazon Macie publica automáticamente las conclusiones sobre políticas y datos confidenciales en Amazon EventBridge como eventos. Para obtener un análisis adicional y más amplio de la postura de seguridad de su organización, también puede publicar los resultados de datos confidenciales y políticas en AWS Security Hub CSPM.
**Amazon EventBridge**
Amazon EventBridge, anteriormente Amazon CloudWatch Events, es un servicio de bus de eventos sin servidor que ofrece una transmisión de datos en tiempo real desde aplicaciones y servicios, y dirige esos datos a objetivos como AWS Lambda funciones, temas de Amazon Simple Notification Service y transmisiones de Amazon Kinesis. Con él EventBridge, puede automatizar la supervisión y el procesamiento de determinados tipos de eventos, incluidos los que Macie publica para recabar información. Para obtener más información, consulte [Procesando las conclusiones con Amazon EventBridge](findings-monitor-events-eventbridge.md).
Si te integras AWS User Notifications con Macie, también puedes usar EventBridge los eventos para generar automáticamente notificaciones sobre los eventos que Macie publique para obtener resultados. Con Notificaciones de usuarioél, puede crear reglas personalizadas y configurar los canales de entrega para recibir notificaciones sobre EventBridge eventos de interés. Los canales de entrega incluyen el correo electrónico, Amazon Q Developer en las aplicaciones de chat y las notificaciones push en AWS Console Mobile Application. También puede revisar las notificaciones en una ubicación central en el Consola de administración de AWS. Para obtener más información, consulte [Supervisión de resultados con AWS User Notifications](findings-monitor-events-uno.md).
**AWS Security Hub CSPM**
AWS Security Hub CSPM es un servicio de seguridad que le proporciona una visión completa del estado de la seguridad en todo su AWS entorno. Recopila datos de seguridad de las soluciones de AWS Partner Network seguridad compatibles Servicios de AWS y las soluciones de seguridad compatibles, y le ayuda a comprobar su entorno según los estándares y las mejores prácticas del sector de la seguridad. También le ayuda a analizar las tendencias de seguridad e identificar los problemas de alta prioridad.
Con Security Hub CSPM, puede revisar y evaluar los hallazgos de Macie como parte de un análisis más amplio de la postura de seguridad de su organización. También puede agregar los hallazgos de varias Regiones de AWS regiones y monitorear y procesar los datos agregados de los hallazgos de una sola región. Para obtener más información, consulte [Evaluación de los resultados con AWS Security Hub CSPM](securityhub-integration.md).
Cuando Macie crea un hallazgo, lo publica automáticamente EventBridge como un evento nuevo. En función de la configuración de publicación que elija para su cuenta, Macie también puede publicar el hallazgo en Security Hub CSPM. Macie publica cada nuevo resultado inmediatamente después de procesar el resultado. Si Macie detecta que posteriormente se produce una constatación de una política existente, publica una actualización del EventBridge suceso existente para la constatación. En función de la configuración de publicación, Macie también puede publicar la actualización en Security Hub CSPM. Macie publica estas actualizaciones de forma periódica, con la frecuencia de publicación que usted especifique en la configuración de publicación de su cuenta.
Además de las opciones anteriores, puede consultar y recuperar los datos de los hallazgos directamente mediante la API de Amazon Macie. La API de Amazon Macie le proporciona un acceso completo y programático a los datos. Para consultar los datos, puede enviar solicitudes HTTPS directamente a Macie o utilizar una versión actual de un AWS SDK o una herramienta de línea de AWS comandos. Si consultas los datos, Macie devuelve los resultados en una respuesta JSON. A continuación, puede pasar los resultados a otro servicio o aplicación para su procesamiento, supervisión o generación de informes adicionales. Para obtener más información, consulte la [Referencia de las API de Amazon Macie](https://docs.aws.amazon.com/macie/latest/APIReference/welcome.html).
**Topics**
+ [Configuración de los ajustes de publicación de los resultados](findings-publish-frequency.md)
+ [Procesando las conclusiones con Amazon EventBridge](findings-monitor-events-eventbridge.md)
+ [Supervisión de resultados con AWS User Notifications](findings-monitor-events-uno.md)
+ [Evaluación de los resultados con AWS Security Hub CSPM](securityhub-integration.md)
+ [Esquema de EventBridge eventos de Amazon para hallazgos](findings-publish-event-schemas.md)
# Configuración de los ajustes de publicación de los resultados de Macie
Para facilitar la integración con otras aplicaciones, servicios y sistemas, Amazon Macie publica automáticamente las conclusiones sobre políticas y datos confidenciales en Amazon EventBridge como eventos. Para obtener información sobre cómo puede utilizar el EventBridge monitoreo y el procesamiento de los hallazgos, consulte[Procesando las conclusiones con Amazon EventBridge](findings-monitor-events-eventbridge.md).
AWS Security Hub CSPM También puede configurar Macie para que publique automáticamente los resultados, utilizando las opciones de destino que especifique en la configuración de publicación de su cuenta. Con estas opciones, puede configurar Macie para que publique solo los hallazgos de políticas, solo los hallazgos de datos confidenciales o tanto los hallazgos de políticas como de datos confidenciales en Security Hub CSPM. También puede configurar Macie para que deje de publicar cualquier hallazgo en Security Hub CSPM. Para obtener información sobre cómo utilizar Security Hub CSPM para evaluar y procesar los hallazgos, consulte. [Evaluación de los resultados con AWS Security Hub CSPM](securityhub-integration.md)
En cuanto a los resultados de políticas, el momento en que Macie publica un resultado en otro Servicio de AWS depende de si el resultado es nuevo y de la frecuencia de publicación que especifique para su cuenta. En el caso de los hallazgos de datos confidenciales, el momento es siempre inmediato: Macie publica un resultado de datos confidenciales inmediatamente después de terminar de procesarlo. A diferencia de los resultados de políticas, Macie trata todos los resultados de datos confidenciales como nuevos (únicos).
Observe que Macie no publica resultados de datos confidenciales o de políticas que se archiven automáticamente mediante una [regla de supresión](findings-suppression.md). En otras palabras, Macie no publica los resultados suprimidos en otros servicios Servicios de AWS.
**Topics**
+ [Elección de los destinos de publicación](#findings-publish-destinations-change)
+ [Cambio de la frecuencia de publicación](#findings-publish-frequency-change)
## Elección de los destinos de publicación de los resultados
Puede configurar Amazon Macie para que publique automáticamente las conclusiones sobre políticas y datos confidenciales, además de AWS Security Hub CSPM en Amazon. EventBridge De forma predeterminada, Macie publica solo los hallazgos de políticas nuevos y actualizados en Security Hub CSPM. Para cambiar o ampliar la configuración predeterminada, ajuste la configuración de destino de publicación de su cuenta.
Cuando ajustas la configuración de destino, eliges las categorías de hallazgos que quieres que Macie publique en Security Hub CSPM: solo hallazgos de políticas, solo hallazgos de datos confidenciales o hallazgos tanto de políticas como de datos confidenciales. También puede optar por dejar de publicar cualquier categoría de hallazgos en Security Hub CSPM.
Si cambia la configuración de destino, el cambio solo se aplicará a la Región de AWS actual. Si es el administrador de Macie de una organización, la configuración solo se aplica a su cuenta. No se aplica a ninguna cuenta de miembro de su organización. Para obtener más información, consulte [Administración de varias cuentas ](macie-accounts.md).
**Elección de los destinos de publicación de los resultados**
Siga estos pasos para cambiar la configuración de destino mediante la consola de Amazon Macie. Para hacerlo mediante programación, utilice la [PutFindingsPublicationConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/findings-publication-configuration.html)operación de la API Amazon Macie.
1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. En el panel de navegación, seleccione **Configuración**.
1. En la sección **Publicación de resultados**, en **Destinos**, elija una de las siguientes opciones:
+ **Publicar las conclusiones de políticas en Security Hub CSPM**: seleccione esta casilla de verificación para empezar a publicar automáticamente las conclusiones de políticas nuevas y actualizadas en Security Hub CSPM. Para dejar de publicar los hallazgos de políticas nuevos y actualizados en Security Hub CSPM, desactive esta casilla de verificación.
Si seleccionas esta casilla de verificación y ya tienes las conclusiones de las políticas, Macie no las publicará en Security Hub CSPM. En lugar de eso, Macie publica solo los resultados de las políticas que crea o actualiza una vez que se guarden los cambios.
+ **Publicar hallazgos de datos confidenciales en Security Hub CSPM**: seleccione esta casilla de verificación para empezar a publicar nuevos hallazgos de datos confidenciales en Security Hub CSPM automáticamente. Para dejar de publicar nuevos hallazgos de datos confidenciales en Security Hub CSPM, desactive esta casilla de verificación.
Si seleccionas esta casilla y ya tienes datos confidenciales encontrados, Macie no los publicará en Security Hub CSPM. En lugar de eso, Macie publica solo los resultados de los datos confidenciales que crea una vez que se guarden los cambios.
1. Seleccione **Save**.
Si ha decidido publicar cualquier categoría de búsqueda en Security Hub CSPM, asegúrese de activar también Security Hub CSPM en la región actual y configúrela para que acepte las conclusiones de Macie. De lo contrario, no podrá acceder a los resultados en Security Hub CSPM. *Para obtener información sobre cómo aceptar las conclusiones del Security Hub CSPM, consulte [Descripción de las integraciones en Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-providers.html) en la Guía del usuario.AWS Security Hub *
## Cambio de la frecuencia de publicación de los resultados
En Amazon Macie, cada resultado tiene un identificador único. Macie usa este identificador para determinar cuándo publicar un resultado en otro Servicio de AWS:
+ **Nuevos resultados**: cuando Macie crea una nueva política o un resultado de datos confidenciales, asigna un identificador único al resultado como parte del procesamiento del resultado. Inmediatamente después de que Macie termine de procesar el hallazgo, lo publica en Amazon EventBridge como un nuevo evento. Según la configuración de publicación de su cuenta, Macie también publica el resultado como un nuevo resultado en AWS Security Hub CSPM.
+ **Resultados actualizados**: cuando Macie detecta una ocurrencia posterior de un resultado de política existente, actualiza resultado existente añadiendo detalles sobre la ocurrencia posterior e incrementando el recuento de incidencias. Macie también publica estas actualizaciones en el EventBridge evento existente y, en función de la configuración de publicación de su cuenta, en el resultado CSPM de Security Hub existente. De forma predeterminada, Macie publica actualizaciones cada 15 minutos como parte de un ciclo de publicación recurrente. Esto significa que los resultados de las políticas que se actualicen después del ciclo de publicación más reciente se conservarán, se volverán a actualizar según sea necesario y se incluirán en el siguiente ciclo de publicación (aproximadamente 15 minutos después).
Puede cambiar la frecuencia con la que Macie publica las actualizaciones de las conclusiones de las políticas existentes en otros sitios. Servicios de AWS Por ejemplo, puede configurar Macie para que publique las actualizaciones cada hora. Si lo hace y la publicación se produce a las 12:00, cualquier actualización que se produzca después de las 12:00 se publicará a las 13:00.
Si cambias la frecuencia, el cambio solo se aplicará a la actual Región de AWS. Si es el administrador de Macie de una organización, el cambio también se aplicará a todas las cuentas de miembro de la organización. Para obtener más información, consulte [Administración de varias cuentas ](macie-accounts.md).
**Cambio de la frecuencia de publicación de los resultados actualizados**
Siga estos pasos para cambiar la frecuencia de publicación mediante la consola de Amazon Macie. Para hacerlo mediante programación, utilice la [UpdateMacieSession](https://docs.aws.amazon.com/macie/latest/APIReference/macie.html)operación de la API Amazon Macie.
1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. En el panel de navegación, seleccione **Configuración**.
1. En la sección **Publicación de resultados**, en **Actualizar frecuencia de los resultados de políticas**, elija la frecuencia con la que desee que Macie publique los resultados de políticas para otros Servicios de AWS.
1. Seleccione **Save**.
# Procesando los hallazgos de Macie con Amazon EventBridge
Amazon EventBridge, anteriormente Amazon CloudWatch Events, es un servicio de autobús para eventos sin servidor. EventBridge ofrece un flujo de datos en tiempo real desde aplicaciones y servicios y dirige esos datos a objetivos como AWS Lambda funciones, temas del Amazon Simple Notification Service (Amazon SNS) y transmisiones de Amazon Kinesis. Para obtener más informaciónEventBridge, consulta la [Guía del EventBridge usuario de Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html).
Con EventBridge él, puede automatizar el monitoreo y el procesamiento de ciertos tipos de eventos. Esto incluye eventos que Amazon Macie publica automáticamente para nuevos resultados de políticas y resultados información confidencial. También incluye los eventos que Macie publica automáticamente para que se repitan posteriormente los resultados de las políticas existentes. Para obtener más información sobre cómo y cuándo Macie publica estos eventos, consulte [Configuración de los ajustes de publicación de los resultados ](findings-publish-frequency.md).
Al utilizar EventBridge los eventos que Macie publica para sus hallazgos, puede monitorear y procesar los hallazgos casi en tiempo real. A continuación, podrá actuar en función de los resultados mediante el uso de otras aplicaciones y servicios. Por ejemplo, se puede utilizar EventBridge para enviar tipos específicos de nuevos hallazgos a una AWS Lambda función. A continuación, la función de Lambda podría procesar y enviar los datos a su sistema de gestión de incidentes y eventos de seguridad (SIEM). Si te [integras AWS User Notifications con Macie](findings-monitor-events-uno.md), también puedes usar los eventos para recibir notificaciones automáticas de los hallazgos a través de los canales de distribución que especifiques.
Además de la supervisión y el procesamiento automatizados, el uso de EventBridge permite conservar los datos de sus hallazgos a más largo plazo. Macie guarda los resultados durante 90 días. Con EventBridge él, puede enviar los datos de los hallazgos a su plataforma de almacenamiento preferida y almacenar los datos durante el tiempo que desee.
**nota**
Para la retención a largo plazo, configure Macie para almacenar los resultados de la detección de información confidencial en un bucket de S3. Un *resultado de detección de datos confidenciales* es un registro de los detalles sobre el análisis que Macie realizó en un objeto de S3 para determinar si el objeto contiene datos sensibles. Para obtener más información, consulte [Almacenamiento y retención de los resultados de descubrimiento de datos confidenciales](discovery-results-repository-s3.md).
**Topics**
+ [Uso de EventBridge](#findings-monitor-events-eventbridge-overview)
+ [Creando EventBridge reglas para los hallazgos](#findings-monitor-events-eventbridge-rule-cli)
## Trabajando con Amazon EventBridge
Con Amazon EventBridge, creas reglas para especificar qué eventos quieres monitorizar y qué objetivos quieres que realicen acciones automatizadas para esos eventos. Un *objetivo* es un destino EventBridge al que se envían eventos.
Para automatizar las tareas de supervisión y procesamiento de los hallazgos, puede crear una EventBridge regla que detecte automáticamente los eventos de búsqueda de Amazon Macie y los envíe a otra aplicación o servicio para su procesamiento o cualquier otra acción. Puede personalizar la regla para que envíe solo los eventos que cumplan determinados criterios. Para ello, especifique los criterios que se deriven de [Esquema de EventBridge eventos de Amazon para los hallazgos de Macie](findings-publish-event-schemas.md).
Por ejemplo, puede crear una regla que envíe tipos específicos de nuevos resultados a una función de AWS Lambda . La función de Lambda puede entonces realizar tareas como: procesar y enviar los datos a su sistema SIEM; aplicar automáticamente un determinado tipo de cifrado del servidor a un objeto de S3 o restringir el acceso a un objeto de S3 cambiando la lista de control de acceso (ACL) del objeto. O puede crear una regla que envíe automáticamente nuevos resultados de alta gravedad a un tema de Amazon SNS, que luego notifica el resultado a su equipo de respuesta a incidentes.
Además de invocar funciones de Lambda y notificar EventBridge temas de Amazon SNS, admite otros tipos de objetivos y acciones, como la retransmisión de eventos a las AWS Step Functions transmisiones de Amazon Kinesis, la activación de máquinas de estado y la invocación del comando run. AWS Systems Manager Para obtener información sobre los objetivos compatibles, consulta los [objetivos de Event Bus](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html) en la *Guía del EventBridge usuario de Amazon*.
## Creando EventBridge reglas de Amazon para los hallazgos de Macie
En los siguientes procedimientos se explica cómo utilizar la EventBridge consola de Amazon y el [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) para crear una EventBridge regla para las conclusiones de Amazon Macie. La regla detecta EventBridge los eventos que utilizan el esquema y el patrón de eventos para los hallazgos de Macie y los envía a una AWS Lambda función para su procesamiento.
AWS Lambda es un servicio informático que puede utilizar para ejecutar código sin aprovisionar ni administrar servidores. Empaqueta el código y lo carga AWS Lambda como una función *Lambda*. AWS Lambda luego ejecuta la función cuando se invoca la función. Una función se puede invocar manualmente, automáticamente en respuesta a eventos o en respuesta a solicitudes de aplicaciones o servicios. Para obtener más información acerca de cómo crear e invocar funciones de Lambda, consulte la [Guía para desarrolladores de AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html).
------
#### [ Console ]
Siga estos pasos para usar la EventBridge consola de Amazon y crear una regla que envíe automáticamente todos los eventos de búsqueda de Macie a una función de Lambda para su procesamiento. La regla usa la configuración predeterminada para las reglas que se ejecutan cuando se reciben eventos específicos. Para obtener más información sobre la configuración de las reglas o para aprender a crear una regla que utilice una configuración personalizada, consulte [Creación de reglas que reaccionen a los eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) en la *Guía del EventBridge usuario de Amazon*.
**sugerencia**
También puede crear una regla que utilice un patrón de eventos personalizado para detectar y actuar únicamente sobre un subconjunto de eventos de resultados de MAcie.. Este subconjunto se puede basar en campos específicos que Macie incluya en un evento de resultado. Para obtener más información sobre los campos disponibles, consulte [Esquema de EventBridge eventos de Amazon para los hallazgos de Macie](findings-publish-event-schemas.md). Para obtener información sobre el uso de patrones personalizados en las reglas, consulta [Cómo crear patrones de eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-pattern.html) en la *Guía del EventBridge usuario de Amazon*.
Antes de crear la regla, cree la función de Lambda que quiere que la regla utilice como destino. Cuando cree la regla, tendrá que especificar esta función como destino.
**Crear una regla para un evento utilizando la consola de**
1. Abre la EventBridge consola de Amazon en [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. En el panel de navegación, en **Buses**, elija **Reglas**.
1. En la sección **Reglas**, elija **Crear regla**.
1. En la página **Definir detalle de la regla**, haga lo siguiente:
+ En **Nombre**, ingrese el nombre de la regla.
+ (Opcional) En **Descripción**, ingrese una breve descripción de la regla de autorización.
+ En el caso del **Bus de eventos**, asegúrese de que esté seleccionada la opción **predeterminada** y que esté activada la opción **Habilitar la regla en el bus de eventos seleccionado**.
+ En **Tipo de regla**, elija **Regla con un patrón de evento**.
1. Cuando haya terminado, elija **Siguiente**.
1. En la página **Crear patrón de evento**, realice una de las siguientes acciones:
+ **En Fuente del evento**, selecciona **AWS eventos o eventos EventBridge asociados**.
+ (Opcional) En el caso de un **evento de muestra**, revise un ejemplo de evento de resultados para que Macie sepa qué puede contener un evento. Para ello, seleccione **AWS eventos**. A continuación, en **Ejemplos de eventos**, seleccione **Resultados de Macie.**
+ En **Método de creación,** elija **Uso de forma de patrón**.
+ En **Patrón de evento**, introduzca los siguientes ajustes:
+ En **Origen del evento**, elija **Servicios de AWS**.
+ Para **Servicio de AWS**, elija **Macie**.
+ En **Tipo de evento**, elija **Resultado de Macie**.
1. Cuando haya terminado, elija **Siguiente**.
1. En la página **Seleccionar destinos**, haga lo siguiente:
+ Para **Tipos de destino**, elija **Servicio de AWS**.
+ En **Seleccione destino**, elija **Función de Lambda**. Luego, en **Función**, elija la función de Lambda a la que quiera enviar los eventos de resultados.
+ En **Configurar version/alias**, ingrese la configuración de versión y alias de la función de Lambda de destino.
+ (Opcional) En **Configuración adicional**, introduzca una configuración personalizada para especificar qué datos de eventos desea enviar a la función de Lambda. También puede especificar cómo gestionar los eventos que no se envíen correctamente a la función.
1. Cuando haya terminado, elija **Siguiente**.
1. En la página **Configurar etiquetas**, si lo desea, introduzca una o más etiquetas para asignarlas a la regla. A continuación, elija **Siguiente**.
1. En la página **Revisar y crear**, revise cada configuración y compruebe que es correcta.
Para cambiar una configuración, elija **Editar** en la sección que contiene la configuración y, a continuación, escriba la configuración adecuada. También puede usar las pestañas de navegación para ir a la página que contiene una configuración.
1. Cuando termine de verificar la configuración, elija **Crear regla**.
------
#### [ AWS CLI ]
Siga estos pasos AWS CLI para crear una EventBridge regla que envíe todos los eventos de búsqueda de Macie a una función Lambda para su procesamiento. La regla usa la configuración predeterminada para las reglas que se ejecutan cuando se reciben eventos específicos. En este procedimiento, los comandos se formatean para Microsoft Windows. Para Unix, Linux y macOS, reemplace el carácter de continuación de línea de intercalación (^) por una barra invertida (\$1).
Antes de crear la regla, cree la función de Lambda que quiere que la regla utilice como destino. Al crear la función, anote el nombre de recurso de Amazon (ARN) de la función. Deberá ingresar este ARN cuando especifique el destino de la regla.
**Para crear una regla de eventos mediante el AWS CLI**
1. Cree una regla que detecte los eventos de todos los hallazgos en los que Macie publique. EventBridge Para ello, ejecute el comando EventBridge [put-rule](https://docs.aws.amazon.com/cli/latest/reference/events/put-rule.html). Por ejemplo:
```
C:\> aws events put-rule ^
--name MacieFindings ^
--event-pattern "{\"source\":[\"aws.macie\"]}"
```
Dónde *MacieFindings* está el nombre que desea para la regla.
**sugerencia**
También puede crear una regla que utilice un patrón personalizado (`event-pattern`) para detectar y actuar únicamente sobre un subconjunto de eventos de resultados de Macie. Este subconjunto se puede basar en campos específicos que Macie incluya en un evento de resultado. Para obtener más información sobre los campos disponibles, consulte [Esquema de EventBridge eventos de Amazon para los hallazgos de Macie](findings-publish-event-schemas.md). Para obtener información sobre el uso de patrones personalizados en las reglas, consulta [Cómo crear patrones de eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-pattern.html) en la *Guía del EventBridge usuario de Amazon*.
Si el comando se ejecuta correctamente, EventBridge responde con el ARN de la regla. Anote este ARN. Tendrá que ingresarlo en el paso 3.
1. Especifique la función de Lambda que se va a utilizar como destino de la regla. Para ello, ejecute el comando EventBridge [put-targets](https://docs.aws.amazon.com/cli/latest/reference/events/put-targets.html). Por ejemplo:
```
C:\> aws events put-targets ^
--rule MacieFindings ^
--targets Id=1,Arn=arn:aws:lambda:regionalEndpoint:accountID:function:my-findings-function
```
Dónde *MacieFindings* es el nombre que especificó para la regla en el paso 1 y el valor del `Arn` parámetro es el ARN de la función que desea que la regla utilice como destino.
1. Agregue permisos que permitan a la regla invocar la función de Lambda de destino. Para ello, ejecute el comando [add-permission](https://docs.aws.amazon.com/cli/latest/reference/lambda/add-permission.html) de Lambda. Por ejemplo:
```
C:\> aws lambda add-permission ^
--function-name my-findings-function ^
--statement-id Sid ^
--action lambda:InvokeFunction ^
--principal events.amazonaws.com ^
--source-arn arn:aws:events:regionalEndpoint:accountId:rule:MacieFindings
```
Donde:
+ *my-findings-function*es el nombre de la función Lambda que desea que la regla utilice como destino.
+ *Sid*es un identificador de sentencia que se define para describir la sentencia en la política de funciones de Lambda.
+ `source-arn`es el ARN de la EventBridge regla.
Si el comando se ejecuta correctamente, verá un resultado similar al siguiente:
```
{
"Statement": "{\"Sid\":\"sid\",
\"Effect\":\"Allow\",
\"Principal\":{\"Service\":\"events.amazonaws.com\"},
\"Action\":\"lambda:InvokeFunction\",
\"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:my-findings-function\",
\"Condition\":
{\"ArnLike\":
{\"AWS:SourceArn\":
\"arn:aws:events:us-east-1:111122223333:rule/MacieFindings\"}}}"
}
```
El valor de `Statement` es una versión de cadena JSON de la instrucción que se agregó a la política de la función de Lambda.
------
# Monitorear los hallazgos de Macie con AWS User Notifications
AWS User Notifications es un servicio que actúa como una ubicación central para sus AWS notificaciones en el Consola de administración de AWS. Esto incluye notificaciones como CloudWatch alarmas de Amazon, AWS Support casos y comunicaciones de otros Servicios de AWS. Con Notificaciones de usuario, puedes configurar reglas personalizadas y canales de entrega para recibir notificaciones sobre ciertos tipos de EventBridge eventos de Amazon. Los canales de entrega incluyen el correo electrónico, Amazon Q Developer en las aplicaciones de chat y las notificaciones push en AWS Console Mobile Application. También puedes revisar las notificaciones en la AWS User Notifications consola. Para obtener más información Notificaciones de usuario, consulta la [Guía AWS User Notifications del usuario](https://docs.aws.amazon.com/notifications/latest/userguide/what-is-service.html).
Amazon Macie se integra con AWS User Notifications, lo que significa que puede configurarlo Notificaciones de usuario para que le notifique los eventos en los que Macie publique EventBridge para obtener información confidencial y sobre políticas. Si un evento de búsqueda coincide con los criterios que especifique, Notificaciones de usuario genera una notificación. La notificación incluye los detalles clave del hallazgo asociado, como el tipo y la gravedad del hallazgo, y el nombre del recurso afectado. Notificaciones de usuario también puede enviar la notificación a uno o más canales de entrega que especifique. Puede personalizar los canales de entrega que desee para adaptarlos a sus flujos de trabajo de seguridad y cumplimiento.
Por ejemplo, puede configurarlo Notificaciones de usuario para generar notificaciones para tipos específicos de nuevos hallazgos de alta gravedad. También puede especificar Amazon Q Developer en las aplicaciones de chat como canal de entrega de esas notificaciones. Notificaciones de usuario a continuación, detecta los EventBridge eventos de los hallazgos, genera notificaciones que incluyen datos de los hallazgos y envía las notificaciones al desarrollador de Amazon Q en aplicaciones de chat. El desarrollador de aplicaciones de chat de Amazon Q podría entonces dirigir las notificaciones a un canal de Slack o a una sala de chat de Amazon Chime para notificar a tu equipo de respuesta a incidentes.
**Topics**
+ [Uso de AWS User Notifications](#findings-monitor-events-uno-overview)
+ [Habilitación y configuración de notificaciones de resultados](#findings-monitor-events-uno-configure)
+ [Asignación de campos de notificación a campos de resultado](#findings-monitor-events-uno-schema)
+ [Cambio de la configuración para los resultados](#findings-monitor-events-uno-change)
+ [Deshabilitación de notificaciones para los resultados](#findings-monitor-events-uno-disable)
## ¿Trabajando con AWS User Notifications
Con AWS User Notifications, creas reglas para especificar los tipos de EventBridge eventos de Amazon que quieres monitorear y para los que quieres recibir notificaciones. Una regla define los criterios que debe cumplir un EventBridge evento para generar una notificación. También puede elegir uno o más canales de entrega para una regla. Los canales de entrega especifican dónde desea recibir las notificaciones de los eventos que coinciden con los criterios de una regla.
Si Notificaciones de usuario detecta un EventBridge evento que coincide con los criterios de una regla, realiza las siguientes tareas generales:
1. Extraer un subconjunto de datos del evento.
1. Generar una notificación que contiene los datos extraídos.
1. Enviar la notificación a los canales de entrega que especifique para ese tipo de evento.
El diseño y la estructura de la notificación están optimizados para cada canal de entrega al que se envía.
Para controlar la frecuencia o el número de notificaciones que recibe, puede configurar los ajustes de agregación de una regla. Si habilita esta configuración, Notificaciones de usuario combina los datos de varios eventos en una sola notificación. Puede optar por enviar notificaciones de eventos agregadas de forma rápida y frecuente, que quizás prefiera en el caso de eventos de resultado de alta gravedad. O también puede enviarlas con menos frecuencia para recibir menos notificaciones, lo que tal vez le interese en el caso de eventos de resultado de baja gravedad. Si combina los datos de los eventos, puede profundizar para revisar los detalles de cada evento agregado mediante la AWS User Notifications consola. Desde allí, también puede navegar hasta cada resultado asociado en la consola de Amazon Macie.
## Habilitación y configuración AWS User Notifications para los hallazgos de Macie
AWS User Notifications Para permitir la generación de notificaciones sobre los hallazgos de Amazon Macie, cree una configuración de notificaciones para Macie in. Notificaciones de usuario Una *configuración de notificaciones* especifica los criterios de una regla. También especifica los canales de entrega y otros ajustes para supervisar y enviar notificaciones sobre EventBridge los eventos de Amazon que coincidan con los criterios de la regla. Para obtener información detallada sobre la creación de una configuración de notificaciones, consulte [Introducción a AWS User Notifications](https://docs.aws.amazon.com/notifications/latest/userguide/getting-started.html) en la *Guía del usuario de AWS User Notifications *.
Para crear una configuración de notificaciones para los resultados de Macie, elija las siguientes opciones para la regla de eventos:
+ Para el **nombre de Servicio de AWS **, elija **Macie**.
+ En **Tipo de evento**, elija **Resultado de Macie**.
+ En el **caso de las regiones**, selecciona cada una Región de AWS en las que utilices Macie y en las que desees recibir notificaciones de los resultados.
Con esta configuración, Notificaciones de usuario supervisa EventBridge los eventos por usted Cuenta de AWS y genera notificaciones para todos los eventos de búsqueda de Macie en las regiones que haya seleccionado. Los eventos cumplen los siguientes criterios:
+ `source` es igual a `aws.macie`
+ `detail-type` es igual a `Macie Finding`
El patrón JSON subyacente de la regla de eventos es:
```
{
"source": ["aws.macie"],
"detail-type": ["Macie Finding"]
}
```
Para refinar la regla y generar notificaciones solo para un subconjunto de resultados, puede personalizar el patrón JSON de la regla. Para ello, especifique los criterios adicionales que se deriven de [Esquema de EventBridge eventos de Amazon para los hallazgos de Macie](findings-publish-event-schemas.md).
Si crea una regla que utilice un patrón JSON personalizado, puede crear varias configuraciones de notificación para los resultados de Macie. A continuación, puede personalizar los canales de entrega y otros ajustes para cada configuración a fin de adaptarlos a sus flujos de trabajo de seguridad y conformidad en función de los tipos de resultados específicos.
Por ejemplo, puede crear una regla que le notifique si Macie genera o actualiza un resultado *Policy:IAMUser/S3BucketPublic*. En este caso, el patrón de la regla podría ser:
```
{
"source": ["aws.macie"],
"detail-type": ["Macie Finding"],
"detail": {
"type": ["Policy:IAMUser/S3BucketPublic"]
}
}
```
También puede crear otra regla que te notifique si Macie genera un resultado de datos confidenciales para un bucket de S3 al que se puede acceder públicamente. En este caso, el patrón de la regla podría ser:
```
{
"source": ["aws.macie"],
"detail-type": ["Macie Finding"],
"detail": {
"type": [ { "prefix": "SensitiveData" } ],
"resourcesAffected": {
"effectivePermission": ["PUBLIC"]
}
}
}
```
Si crea varias configuraciones de notificación para los resultados de Macie, es una buena idea asegurarse de que la regla de cada configuración sea única. De lo contrario, es posible que reciba notificaciones duplicadas para cada resultado individual.
Para obtener más información sobre la personalización de los patrones de eventos para las reglas, consulte [Uso de patrones de eventos JSON personalizados](https://docs.aws.amazon.com/notifications/latest/userguide/common-usecases.html) en la *Guía del usuario de AWS User Notifications *.
## Asignación de AWS User Notifications campos a campos de búsqueda de Macie
Cuando AWS User Notifications genera una notificación para un hallazgo de Amazon Macie, rellena la notificación con datos de un subconjunto de campos del evento de Amazon correspondiente. EventBridge Estos campos proporcionan detalles clave del resultado asociado, como el tipo y la gravedad del resultado y el nombre del recurso afectado.
Si revisa una notificación en la AWS User Notifications consola, la notificación incluirá todos los datos de este subconjunto de campos. También proporciona una conexión al resultado asociado en la consola de Amazon Macie. Si revisa una notificación en otros canales de entrega, es posible que solo contenga datos de algunos de los campos. Esto se debe a que Notificaciones de usuario adapta el diseño y la estructura de sus notificaciones para que funcionen con cada tipo de canal de entrega compatible.
En la siguiente tabla se enumeran los campos que se pueden incluir en una notificación para obtener un resultado. En la tabla, la columna del **Campo de notificación** describe (en *cursiva*) o indica el nombre de un campo de una notificación. La columna **Buscar campos de eventos** utiliza la notación de puntos para indicar el nombre del campo JSON correspondiente en un EventBridge evento de búsqueda. La columna **Descripción** describe los datos que se almacenan en el campo.
| Campo de notificación | Campo de resultado del evento | Description (Descripción) |
| --- | --- | --- |
| *Título del mensaje* | `detail.type` | El tipo de resultado. Por ejemplo: `Policy:IAMUser/S3BucketPublic` o `SensitiveData:S3Object/Financial`. |
| Resumen | `detail.title` | La descripción del resultado Por ejemplo: `The S3 object contains financial information.` |
| Descripción | `detail.description` | La descripción completa del resultado Por ejemplo: `The S3 object contains financial information such as bank account numbers or credit card numbers.` |
| Gravedad | `detail.severity.description` | La representación cualitativa de la gravedad del resultado: `Low`, `Medium` o `High`. |
| ID del resultado | `detail.id` | Un identificador único para el resultado. |
| Creado | `detail.createdAt` | La fecha y la hora en que Macie creó el resultado. |
| Actualizado | `detail.updatedAt` | La fecha y la hora en que Macie actualizó el resultado por última vez. En el caso de los resultados de datos confidenciales, este valor es el mismo que el del campo *Creado* (`detail.createdAt`). Todos los resultados de datos confidenciales se consideran nuevos (únicos). |
| Bucket de S3 afectado | `detail.resourcesAffected.s3Bucket.arn` | El nombre de recurso de Amazon (ARN) del bucket de S3. |
| Objeto de S3 afectado | `detail.resourcesAffected.s3Object.path` | El nombre (*clave*) del objeto S3 afectado, incluido el nombre del bucket que almacena el objeto y, si corresponde, el prefijo del objeto. Este campo no se incluye en las notificaciones de resultados de políticas. |
| *Detección de datos confidenciales* | `detail.classificationDetails.result.sensitiveData.detections...` O `detail.classificationDetails.result.customDataIdentifiers.detections...` | Se trata de una concatenación de varios campos en un evento para un resultado de datos confidenciales. Este campo no se incluye en las notificaciones de resultados de políticas. Si un identificador de datos gestionados detectó los datos confidenciales, este campo especifica la categoría, el tipo y el número (`count`) de apariciones de los datos confidenciales detectados. Por ejemplo: `PERSONAL_INFORMATION: USA_SOCIAL_SECURITY_NUMBER 100 occurrences`. Si un identificador de datos personalizado detectó los datos confidenciales, este campo especifica el nombre del identificador de datos personalizado y el número (`count`) de apariciones de los datos confidenciales detectados. Por ejemplo: `Employee ID 20 occurrences`. Si un resultado informa de varios tipos de datos confidenciales, la notificación incluye datos de hasta cuatro tipos. Los datos se rellenan primero con los identificadores de datos personalizados aplicables y, a continuación, con los identificadores de datos administrados aplicables. |
## Cambiar la AWS User Notifications configuración de los hallazgos de Macie
Puedes cambiar la AWS User Notifications configuración de los hallazgos de Amazon Macie en cualquier momento. Para ello, edite la configuración de notificaciones en Notificaciones de usuario. Para obtener información sobre cómo hacerlo, consulte [Administrar las configuraciones de notificaciones](https://docs.aws.amazon.com/notifications/latest/userguide/managing-notifications.html) en la *Guía del usuario de AWS User Notifications *.
Si tiene varias configuraciones de notificación para los resultados de Macie, cambiar los ajustes de una configuración no afectará a los ajustes de las demás configuraciones. Puede editar todas las configuraciones o solo algunas de ellas.
## Desactivación AWS User Notifications para los hallazgos de Macie
Para dejar de generar y recibir notificaciones de los hallazgos AWS User Notifications de Amazon Macie, elimine la configuración de notificaciones en. Notificaciones de usuario Para obtener información sobre cómo hacerlo, consulte [Administrar las configuraciones de notificaciones](https://docs.aws.amazon.com/notifications/latest/userguide/managing-notifications.html) en la *Guía del usuario de AWS User Notifications *.
Si tiene varias configuraciones de notificación para los resultados de Macie, la eliminación de una configuración no afecta a las demás configuraciones. Puede eliminar todas las configuraciones o solo algunas.
# Evaluación de los hallazgos de Macie con AWS Security Hub CSPM
AWS Security Hub CSPM es un servicio que le proporciona una visión completa de su postura de seguridad en todo su entorno y le ayuda a comprobar su AWS entorno con respecto a los estándares y las mejores prácticas del sector de la seguridad. Esto lo consigue, en parte, mediante el consumo, la agregación, la organización y la priorización de los hallazgos de varias soluciones Servicios de AWS de AWS Partner Network seguridad compatibles. Security Hub CSPM le ayuda a analizar sus tendencias de seguridad e identificar los problemas de seguridad más prioritarios. Con Security Hub CSPM, también puede agregar las conclusiones de varias regiones y, a continuación Regiones de AWS, evaluar y procesar todos los datos de las conclusiones agregadas de una sola región. Para obtener más información sobre Security Hub CSPM, consulte la Guía del [AWS Security Hub usuario](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html).
Amazon Macie se integra con Security Hub CSPM, lo que significa que puede publicar automáticamente los hallazgos de Macie en Security Hub CSPM. Luego, Security Hub CSPM puede incluir esos hallazgos en su análisis de su postura de seguridad. Además, puede usar Security Hub CSPM para evaluar y procesar las conclusiones sobre políticas y datos confidenciales como parte de un conjunto más amplio y agregado de datos de hallazgos para su AWS entorno. En otras palabras, puede evaluar los resultados de Macie y, al mismo tiempo, realizar análisis más amplios de la postura de seguridad de su organización y corregir los resultados según sea necesario. Security Hub CSPM reduce la complejidad de abordar grandes volúmenes de hallazgos de varios proveedores. Además, utiliza un formato estándar para todos los resultado, incluidos los de Macie. El uso de este formato, el *AWS Security Finding Format (ASFF)*, elimina la necesidad de realizar esfuerzos de conversión de datos que consumen mucho tiempo.
**Topics**
+ [Cómo publica Macie sus hallazgos en Security Hub (CSPM)](#securityhub-integration-sending-findings)
+ [Ejemplos de hallazgos de Macie en Security Hub (CSPM)](#securityhub-integration-finding-example)
+ [Integración de Macie con Security Hub CSPM](#securityhub-integration-enable)
+ [Detener la publicación de los hallazgos de Macie en Security Hub (CSPM)](#securityhub-integration-disable)
## Cómo publica Macie sus hallazgos en AWS Security Hub CSPM
En AWS Security Hub CSPM, los problemas de seguridad se rastrean como hallazgos. Algunos hallazgos provienen de problemas detectados por Servicios de AWS, como Amazon Macie, o por soluciones de AWS Partner Network seguridad compatibles. El CSPM de Security Hub también cuenta con un conjunto de reglas que utiliza para detectar problemas de seguridad y generar resultados.
Security Hub CSPM proporciona herramientas para gestionar los hallazgos de todas estas fuentes. Puede ver y filtrar listas de resultados y ver los detalles de un resultado en particular. Para obtener información sobre cómo hacerlo, consulte [Revisar el historial y los detalles de las búsquedas](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-viewing.html) en la Guía del *AWS Security Hub usuario*. También puede realizar un seguimiento del estado de una investigación de un resultado. Para obtener información sobre cómo hacerlo, consulte [Configuración del estado de flujo de trabajo de los resultados](https://docs.aws.amazon.com/securityhub/latest/userguide/findings-workflow-status.html) en la *Guía del usuario de AWS Security Hub *.
Todos los resultados en Security Hub CSPM usan un formato JSON estándar llamado *Formato AWS Security Finding (ASFF)*. El ASFF incluye detalles sobre el origen del problema, los recursos afectados y el estado actual del resultado. Para obtener más información, consulte [AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html) en la *Guía del usuario de AWS Security Hub *.
### Tipos de hallazgos que Macie publica en Security Hub (CSPM)
En función de la configuración de publicación que elija para su cuenta de Macie, Macie puede publicar todas las conclusiones que cree en Security Hub CSPM, tanto las de datos confidenciales como las de políticas. Para obtener más información acerca de estas configuraciones y de cómo cambiarlas, consulte [Configuración de los ajustes de publicación de los resultados ](findings-publish-frequency.md). De forma predeterminada, Macie publica solo los hallazgos de políticas nuevos y actualizados en Security Hub CSPM. Macie no publica los hallazgos de datos confidenciales en Security Hub CSPM.
#### Resultados de datos confidenciales
Si configura Macie para que publique [los hallazgos de datos confidenciales](findings-types.md#findings-sensitive-data-types) en Security Hub CSPM, Macie publica automáticamente cada hallazgo de datos confidenciales que cree para su cuenta y lo hace inmediatamente después de terminar de procesar el hallazgo. Macie lo hace con todos los resultados de datos confidenciales que encuentre y que no se archiven automáticamente mediante una [regla de supresión](findings-suppression.md).
Si es el administrador de Macie de una organización, la publicación se limita a los resultados de los trabajos de detección de datos confidenciales que haya realizado y a las actividades de detección de datos confidenciales automatizada que Macie realizó para su organización. Solo la cuenta que crea un trabajo puede publicar los datos confidenciales que genere el trabajo. Solo la cuenta de administrador de Macie puede publicar los datos confidenciales que la detección de datos confidenciales automatizada genere para su organización.
Cuando Macie publica los hallazgos de datos confidenciales en Security Hub CSPM, utiliza el [AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html), que es el formato estándar para todos los hallazgos en Security Hub CSPM. En el ASFF, el campo `Types` indica el tipo de resultado. Este campo usa una taxonomía ligeramente diferente de la taxonomía del tipo de resultado de Macie.
En la siguiente tabla se muestra el tipo de resultado ASFF para cada tipo de resultado de datos confidenciales que Macie puede crear.
| Tipo de resultado de Macie. | Tipo de resultado de ASFF |
| --- | --- |
| SensitiveData:S3Object/Credentials | Sensitive Data Identifications/Passwords/SensitiveData:S3Object-Credentials |
| SensitiveData:S3Object/CustomIdentifier | Sensitive Data Identifications/PII/SensitiveData:S3Object-CustomIdentifier |
| SensitiveData:S3Object/Financial | Sensitive Data Identifications/Financial/SensitiveData:S3Object-Financial |
| SensitiveData:S3Object/Multiple | Sensitive Data Identifications/PII/SensitiveData:S3Object-Multiple |
| SensitiveData:S3Object/Personal | Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal |
#### Hallazgos de políticas
Si configura a Macie para que publique las [conclusiones de políticas](findings-types.md#findings-policy-types) en Security Hub CSPM, Macie publica automáticamente cada nueva conclusión de política que cree y lo hace inmediatamente después de terminar de procesar la búsqueda. Si Macie detecta una aparición posterior de una constatación de política existente, publica automáticamente una actualización de la constatación existente en Security Hub CSPM, utilizando la frecuencia de publicación que usted especifique para su cuenta. Macie lo hace con todos los resultados de políticas que encuentre y que no se archiven automáticamente mediante una [regla de supresión](findings-suppression.md).
Si es el administrador de Macie de una organización, la publicación se limita a las conclusiones sobre las políticas de los segmentos de S3 que son propiedad directa de su cuenta. Macie no publica los resultados de las políticas que crea o actualiza para las cuentas de los miembros de su organización. Esto ayuda a garantizar que no haya datos de hallazgos duplicados en Security Hub CSPM.
Como ocurre con los hallazgos de datos confidenciales, Macie utiliza el AWS Security Finding Format (ASFF) cuando publica los hallazgos de políticas nuevos y actualizados en Security Hub CSPM. En el ASFF, el campo `Types` usa una taxonomía ligeramente diferente de la taxonomía del tipo de resultado de Macie.
En la siguiente tabla se muestra el tipo de resultado ASFF para cada tipo de resultado de política que Macie puede crear. Si Macie creó o actualizó un hallazgo de política en Security Hub CSPM el 28 de enero de 2021 o después, el hallazgo tiene uno de los siguientes valores para el campo ASFF de `Types` Security Hub CSPM.
| Tipo de resultado de Macie. | Tipo de resultado de ASFF |
| --- | --- |
| Policy:IAMUser/S3BlockPublicAccessDisabled | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled |
| Policy:IAMUser/S3BucketEncryptionDisabled | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketEncryptionDisabled |
| Policy:IAMUser/S3BucketPublic | Effects/Data Exposure/Policy:IAMUser-S3BucketPublic |
| Policy:IAMUser/S3BucketReplicatedExternally | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketReplicatedExternally |
| Policy:IAMUser/S3BucketSharedExternally | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedExternally |
| Policy:IAMUser/S3BucketSharedWithCloudFront | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedWithCloudFront |
Si Macie creó o actualizó por última vez una conclusión de política antes del 28 de enero de 2021, la conclusión tiene uno de los siguientes valores para el `Types` campo ASFF de Security Hub CSPM:
+ Policy:IAMUser/S3BlockPublicAccessDisabled
+ Policy:IAMUser/S3BucketEncryptionDisabled
+ Policy:IAMUser/S3BucketPublic
+ Policy:IAMUser/S3BucketReplicatedExternally
+ Policy:IAMUser/S3BucketSharedExternally
Los valores de la lista anterior se asignan directamente a los valores del campo **Tipo de resultado** (`type`) de Macie.
**Notas**
Al revisar y procesar los resultados de las políticas en Security Hub CSPM, tenga en cuenta las siguientes excepciones:
De hecho Regiones de AWS, Macie comenzó a utilizar los tipos de búsqueda del ASFF para obtener hallazgos nuevos y actualizados a partir del 25 de enero de 2021.
Si actuó en función de una búsqueda de política en el CSPM de Security Hub antes de que Macie comenzara a utilizar los tipos de búsqueda de ASFF en el suyo Región de AWS, el valor del `Types` campo ASFF de la búsqueda será uno de los tipos de búsqueda de Macie de la lista anterior. No será uno de los tipos de resultado de ASFF de la tabla anterior. Esto es válido para las conclusiones de políticas que usted haya tomado en cuenta al utilizar la AWS Security Hub CSPM consola o el funcionamiento de la API. `BatchUpdateFindings` AWS Security Hub CSPM
### Latencia para publicar los hallazgos en Security Hub (CSPM)
Cuando Amazon Macie crea un nuevo resultado de política o de datos confidenciales, lo publica en AWS Security Hub CSPM inmediatamente después de terminar de procesarlo.
Si Macie detecta una aparición posterior de una constatación de política existente, publica una actualización de la constatación existente en Security Hub CSPM. El momento de la actualización depende de la frecuencia de publicación que elija para su cuenta de Macie. De forma predeterminada, Macie publica las actualizaciones cada 15 minutos. Para obtener más información, incluido el modo de cambiar la configuración de su cuenta, consulte [Configuración de los ajustes de publicación de los resultados ](findings-publish-frequency.md).
### Reintentar la publicación cuando el CSPM de Security Hub no está disponible
Si no AWS Security Hub CSPM está disponible, Amazon Macie crea una cola de resultados que Security Hub CSPM no ha recibido. Cuando se restaura el sistema, Macie vuelve a intentar la publicación hasta que Security Hub CSPM reciba los resultados.
### Actualización de resultados existentes en el CSPM de Security Hub
Después de que Amazon Macie publique una conclusión de política en AWS Security Hub CSPM, Macie la actualiza para reflejar cualquier incidencia adicional del hallazgo o actividad de búsqueda. Macie lo hace solo en relación con los resultados de políticas. Macie no actualiza los datos confidenciales encontrados en Security Hub CSPM. Los resultados de datos confidenciales, a diferencia de los resultados de políticas, se tratan todos como nuevos (únicos).
Cuando Macie publica una actualización de un resultado de política, actualiza el valor del campo **Actualizado en** (`UpdatedAt`) del resultado. Puede usar este valor para determinar cuándo Macie detectó por última vez una posible infracción de la política o problema que dio lugar al resultado.
Macie también podría actualizar el valor del campo **Tipos** (`Types`) de un resultado si el valor existente del campo no es un [tipo de resultado ASFF](#securityhub-integration-finding-types-policy). Esto depende de si ha actuado en función del hallazgo en Security Hub CSPM. Si no ha actuado en función del resultado, Macie cambia el valor del campo por el tipo de resultado ASFF adecuado. Si ha actuado en función del hallazgo, utilizando la AWS Security Hub CSPM consola o el `BatchUpdateFindings` funcionamiento de la AWS Security Hub CSPM API, Macie no cambia el valor del campo.
## Ejemplos de los hallazgos de Macie en AWS Security Hub CSPM
Cuando Amazon Macie publica los resultados en AWS Security Hub CSPM, utiliza el [formato de búsqueda AWS de seguridad (ASFF](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html)). Este es el formato estándar para todos los hallazgos en Security Hub CSPM. Los siguientes ejemplos utilizan datos de muestra para demostrar la estructura y la naturaleza de los datos de los hallazgos que Macie publica en Security Hub CSPM en este formato:
+ [Ejemplo de un resultado de datos confidenciales](#securityhub-integration-finding-example-sdf)
+ [Ejemplo de un resultado de política](#securityhub-integration-finding-example-policy)
### Ejemplo de búsqueda de datos confidenciales en Security Hub (CSPM)
Este es un ejemplo de un hallazgo de datos confidenciales que Macie publicó en Security Hub CSPM utilizando el ASFF.
```
{
"SchemaVersion": "2018-10-08",
"Id": "5be50fce24526e670df77bc00example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types":[
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
],
"CreatedAt": "2022-05-11T10:23:49.667Z",
"UpdatedAt": "2022-05-11T10:23:49.667Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "The S3 object contains personal information.",
"Description": "The object contains personal information such as first or last names, addresses, or identification numbers.",
"ProductFields": {
"JobArn": "arn:aws:macie2:us-east-1:111122223333:classification-job/698e99c283a255bb2c992feceexample",
"S3Object.Path": "amzn-s3-demo-bucket/2022 Sourcing.tsv",
"S3Object.Extension": "tsv",
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"OriginType": "SENSITIVE_DATA_DISCOVERY_JOB",
"S3Object.PublicAccess": "false",
"S3Object.Size": "14",
"S3Object.StorageClass": "STANDARD",
"S3Bucket.allowsUnencryptedObjectUploads": "TRUE",
"JobId": "698e99c283a255bb2c992feceexample",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/5be50fce24526e670df77bc00example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-12-30T18:16:25.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"BlockPublicPolicy": true,
"IgnorePublicAcls": true,
"RestrictPublicBuckets": true
}
}
}
},
{
"Type": "AwsS3Object",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket/2022 Sourcing.tsv",
"Partition": "aws",
"Region": "us-east-1",
"DataClassification": {
"DetailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/111122223333/Macie/us-east-1/
698e99c283a255bb2c992feceexample/111122223333/32b8485d-4f3a-3aa1-be33-aa3f0example.jsonl.gz",
"Result":{
"MimeType": "text/tsv",
"SizeClassified": 14,
"AdditionalOccurrences": false,
"Status": {
"Code": "COMPLETE"
},
"SensitiveData": [
{
"Category": "PERSONAL_INFORMATION",
"Detections": [
{
"Count": 1,
"Type": "USA_SOCIAL_SECURITY_NUMBER",
"Occurrences": {
"Cells": [
{
"Column": 10,
"Row": 1,
"ColumnName": "Other"
}
]
}
}
],
"TotalCount": 1
}
],
"CustomDataIdentifiers": {
"Detections": [
],
"TotalCount": 0
}
}
},
"Details": {
"AwsS3Object": {
"LastModified": "2022-04-22T18:16:46.000Z",
"ETag": "ebe1ca03ee8d006d457444445example",
"VersionId": "SlBC72z5hArgexOJifxw_IN57example",
"ServerSideEncryption": "aws:kms",
"SSEKMSKeyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
]
},
"Sample": false,
"ProcessedAt": "2022-05-11T10:23:49.667Z"
}
```
### Ejemplo de hallazgo de una política en Security Hub (CSPM)
Este es un ejemplo de un nuevo descubrimiento de política que Macie publicó en Security Hub CSPM en la ASFF.
```
{
"SchemaVersion": "2018-10-08",
"Id": "36ca8ba0-caf1-4fee-875c-37760example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
],
"CreatedAt": "2022-04-24T09:27:43.313Z",
"UpdatedAt": "2022-04-24T09:27:43.313Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "Block Public Access settings are disabled for the S3 bucket",
"Description": "All Amazon S3 block public access settings are disabled for the Amazon S3 bucket. Access to the bucket is
controlled only by access control lists (ACLs) or bucket policies.",
"ProductFields": {
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"S3Bucket.allowsUnencryptedObjectUploads": "FALSE",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/36ca8ba0-caf1-4fee-875c-37760example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Tags": {
"Team": "Recruiting",
"Division": "HR"
},
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-11-25T18:24:38.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": false,
"BlockPublicPolicy": false,
"IgnorePublicAcls": false,
"RestrictPublicBuckets": false
}
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
]
},
"Sample": false
}
```
## Integrar a Macie con AWS Security Hub CSPM
Para integrar Amazon Macie con AWS Security Hub CSPM, habilite Security Hub CSPM para su. Cuenta de AWS Para obtener información sobre cómo hacerlo, consulte [Habilitar el CSPM de Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html) en la Guía del *AWS Security Hub usuario*.
Al habilitar Macie y Security Hub CSPM, la integración se habilita automáticamente. De forma predeterminada, Macie comienza a publicar automáticamente las conclusiones de las políticas nuevas y actualizadas en Security Hub CSPM. No es necesario adoptar ninguna medida adicional para configurar la integración. Si tiene conclusiones de políticas existentes cuando la integración está habilitada, Macie no las publica en Security Hub CSPM. En lugar de eso, Macie publica solo los resultados de las políticas que crea o actualiza una vez que la integración esté habilitada.
Si lo desea, puede personalizar su configuración eligiendo la frecuencia con la que Macie publica las actualizaciones de los hallazgos de políticas en Security Hub CSPM. También puede optar por publicar los hallazgos de datos confidenciales en Security Hub CSPM. Para aprender a hacerlo, consulte [Configuración de los ajustes de publicación de los resultados ](findings-publish-frequency.md).
## Detener la publicación de los hallazgos de Macie a AWS Security Hub CSPM
Para dejar de publicar los hallazgos de Amazon Macie AWS Security Hub CSPM, puedes cambiar la configuración de publicación de tu cuenta de Macie. Para aprender a hacerlo, consulte [Elección de los destinos de publicación de los resultados](findings-publish-frequency.md#findings-publish-destinations-change). También puede hacerlo mediante Security Hub CSPM. Para obtener información sobre cómo hacerlo, consulte [Deshabilitación del flujo de resultados desde una integración](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integration-disable.html) en la *Guía del usuario de AWS Security Hub *.
# Esquema de EventBridge eventos de Amazon para los hallazgos de Macie
Para facilitar la integración con otras aplicaciones, servicios y sistemas, como los sistemas de supervisión o gestión de eventos, Amazon Macie publica automáticamente los resultados en Amazon EventBridge como eventos. EventBridge, anteriormente Amazon CloudWatch Events, es un servicio de bus de eventos sin servidor que ofrece una transmisión de datos en tiempo real desde aplicaciones y otros Servicios de AWS a objetivos como AWS Lambda funciones, temas del Amazon Simple Notification Service y transmisiones de Amazon Kinesis. Para obtener más información EventBridge, consulta la [Guía del EventBridge usuario de Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html).
**nota**
Si actualmente utilizas CloudWatch Events, ten en cuenta que EventBridge y CloudWatch Events son el mismo servicio y API subyacentes. Sin embargo, EventBridge incluye funciones adicionales que le permiten recibir eventos de aplicaciones de software como servicio (SaaS) y de sus propias aplicaciones. Como el servicio y la API subyacentes son los mismos, el esquema de eventos de los resultados de Macie también es el mismo.
Macie publica automáticamente los eventos de todos los resultados nuevos e instancias posteriores de los resultados de políticas existentes, excepto los resultados que se archivan automáticamente mediante una [regla de supresión](findings-suppression.md). Los eventos son objetos JSON que se ajustan al EventBridge esquema de los AWS eventos. Cada evento contiene una representación JSON de un resultado específico. Como los datos están estructurados como un EventBridge evento, es más fácil supervisar, procesar y actuar en función de un hallazgo mediante el uso de otras aplicaciones, servicios y herramientas. Para obtener más información sobre cómo y cuándo publica Macie eventos de resultados, consulte [Configuración de los ajustes de publicación de los resultados ](findings-publish-frequency.md).
**Topics**
+ [Esquema de eventos para resultados de Macie](#findings-publish-event-schema)
+ [Ejemplo de un evento para el resultado de una política](#findings-publish-event-example-policy)
+ [Ejemplo de un evento para un resultado de datos confidenciales](#findings-publish-event-example-classification)
## Esquema de eventos para resultados de Macie
El siguiente ejemplo muestra el esquema de un [ EventBridge evento de Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html) para un hallazgo de Amazon Macie. Para obtener descripciones detalladas de los campos de JSON que puede incluir un evento de resultado, consulte [Resultados](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html) en la *referencia de la API de Amazon Macie.* La estructura y los campos de un evento de búsqueda se corresponden estrechamente con el objeto `Finding` de la API de Amazon Macie.
```
{
"version": "0",
"id": "event ID",
"detail-type": "Macie Finding",
"source": "aws.macie",
"account": "Cuenta de AWS ID (string)",
"time": "event timestamp (string)",
"region": "Región de AWS (string)",
"resources": [
<-- ARNs of the resources involved in the event -->
],
"detail": {
<-- Details of a policy or sensitive data finding -->
},
"policyDetails": null, <-- Additional details of a policy finding or null for a sensitive data finding -->
"sample": Boolean,
"archived": Boolean
}
```
## Ejemplo de un evento para el resultado de una política
En el siguiente ejemplo, se utilizan datos de ejemplo para demostrar la estructura y la naturaleza de los objetos y campos de un EventBridge evento de Amazon a fin de determinar una [política](findings-types.md#findings-policy-types). En este ejemplo, el evento informa de una ocurrencia posterior de una política existente: Amazon Macie detectó que la configuración de bloqueo del acceso público estaba deshabilitada para un bucket de S3. Los siguientes campos y valores pueden ayudarle a determinar si este es el caso:
+ El campo `type` está establecido en `Policy:IAMUser/S3BlockPublicAccessDisabled`.
+ Los valores para los campos `createdAt` y `updatedAt` son distintos. Este es un indicador de que el evento informa de la ocurrencia posterior de una constatación de política existente. Los valores de estos campos serían los mismos si el evento informara de un nuevo resultado.
+ El campo `count` está establecido en `2`, lo que indica que es la segunda ocurrencia del resultado.
+ El campo `category` está establecido en `POLICY`.
+ El valor del campo `classificationDetails` es `null`, lo que ayuda a diferenciar este evento para un resultado de políticas de un evento para un resultado de datos confidenciales. En el caso de un resultado de datos confidenciales, este valor sería un conjunto de objetos y campos que proporcionan información sobre cómo y qué datos confidenciales se encontraron.
Observe que el valor del campo `sample` es `true`. Este valor hace hincapié en que se trata de un evento de ejemplo para su uso en la documentación.
```
{
"version": "0",
"id": "0948ba87-d3b8-c6d4-f2da-732a1example",
"detail-type": "Macie Finding",
"source": "aws.macie",
"account": "123456789012",
"time": "2024-04-30T23:12:15Z",
"region":"us-east-1",
"resources": [],
"detail": {
"schemaVersion": "1.0",
"id": "64b917aa-3843-014c-91d8-937ffexample",
"accountId": "123456789012",
"partition": "aws",
"region": "us-east-1",
"type": "Policy:IAMUser/S3BlockPublicAccessDisabled",
"title": "Block public access settings are disabled for the S3 bucket",
"description": "All bucket-level block public access settings were disabled for the S3 bucket. Access to the bucket is controlled by account-level block public access settings, access control lists (ACLs), and the bucket’s bucket policy.",
"severity": {
"score": 3,
"description": "High"
},
"createdAt": "2024-04-29T15:46:02Z",
"updatedAt": "2024-04-30T23:12:15Z",
"count": 2,
"resourcesAffected": {
"s3Bucket": {
"arn": "arn:aws:s3:::amzn-s3-demo-bucket1",
"name": "amzn-s3-demo-bucket1",
"createdAt": "2020-04-03T20:46:56.000Z",
"owner":{
"displayName": "johndoe",
"id": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example"
},
"tags": [
{
"key": "Division",
"value": "HR"
},
{
"key": "Team",
"value": "Recruiting"
}
],
"defaultServerSideEncryption": {
"encryptionType": "aws:kms",
"kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"publicAccess": {
"permissionConfiguration": {
"bucketLevelPermissions": {
"accessControlList": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"bucketPolicy": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"blockPublicAccess": {
"ignorePublicAcls": false,
"restrictPublicBuckets": false,
"blockPublicAcls": false,
"blockPublicPolicy": false
}
},
"accountLevelPermissions": {
"blockPublicAccess": {
"ignorePublicAcls": true,
"restrictPublicBuckets": true,
"blockPublicAcls": true,
"blockPublicPolicy": true
}
}
},
"effectivePermission": "NOT_PUBLIC"
},
"allowsUnencryptedObjectUploads": "FALSE"
},
"s3Object": null
},
"category": "POLICY",
"classificationDetails": null,
"policyDetails": {
"action": {
"actionType": "AWS_API_CALL",
"apiCallDetails": {
"api": "PutBucketPublicAccessBlock",
"apiServiceName": "s3.amazonaws.com",
"firstSeen": "2024-04-29T15:46:02.401Z",
"lastSeen": "2024-04-30T23:12:15.401Z"
}
},
"actor": {
"userIdentity": {
"type": "AssumedRole",
"assumedRole": {
"principalId": "AROA1234567890EXAMPLE:AssumedRoleSessionName",
"arn": "arn:aws:sts::123456789012:assumed-role/RoleToBeAssumed/MySessionName",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": false,
"creationDate": "2024-04-29T10:25:43.511Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AROA1234567890EXAMPLE",
"arn": "arn:aws:iam::123456789012:role/RoleToBeAssumed",
"accountId": "123456789012",
"userName": "RoleToBeAssumed"
}
}
},
"root": null,
"iamUser": null,
"federatedUser": null,
"awsAccount": null,
"awsService": null
},
"ipAddressDetails":{
"ipAddressV4": "192.0.2.0",
"ipOwner": {
"asn": "-1",
"asnOrg": "ExampleFindingASNOrg",
"isp": "ExampleFindingISP",
"org": "ExampleFindingORG"
},
"ipCountry": {
"code": "US",
"name": "United States"
},
"ipCity": {
"name": "Ashburn"
},
"ipGeoLocation": {
"lat": 39.0481,
"lon": -77.4728
}
},
"domainDetails": null
}
},
"sample": true,
"archived": false
}
}
```
## Ejemplo de un evento para un resultado de datos confidenciales
En el siguiente ejemplo, se utilizan datos de muestra para demostrar la estructura y la naturaleza de los objetos y campos de un EventBridge evento de Amazon para una [búsqueda de datos confidenciales](findings-types.md#findings-sensitive-data-types). En este ejemplo, el evento informa de un nuevo resultado de datos confidenciales: Amazon Macie encontró varias categorías y tipos de datos confidenciales en un objeto de S3. Los siguientes campos y valores pueden ayudarle a determinar si este es el caso:
+ El campo `type` está establecido en `SensitiveData:S3Object/Multiple`.
+ Los campos `updatedAt` y `createdAt` tienen los mismos valores. A diferencia de los resultados de políticas, este siempre es el caso de los resultados de datos confidenciales. Todos los resultados de datos confidenciales se consideran nuevos.
+ El campo `count` está establecido en `1`, lo que indica que se trata de un resultado nuevo. A diferencia de los resultados de políticas, este siempre es el caso de los resultados de datos confidenciales. Todos los resultados de datos confidenciales se consideran únicos (nuevos).
+ El campo `category` está establecido en `CLASSIFICATION`.
+ El valor del campo `policyDetails` es `null`, lo que ayuda a diferenciar este evento para un resultado de datos confidenciales de un evento para un resultado de políticas. En el caso de un resultado de políticas, este valor sería un conjunto de objetos y campos que proporcionan información sobre una posible infracción de la política o un problema relacionado con la seguridad o la privacidad de un bucket de S3.
Observe que el valor del campo `sample` es `true`. Este valor hace hincapié en que se trata de un evento de ejemplo para su uso en la documentación.
```
{
"version": "0",
"id": "14ddd0b1-7c90-b9e3-8a68-6a408example",
"detail-type": "Macie Finding",
"source": "aws.macie",
"account": "123456789012",
"time": "2024-04-20T08:19:10Z",
"region": "us-east-1",
"resources": [],
"detail": {
"schemaVersion": "1.0",
"id": "4ed45d06-c9b9-4506-ab7f-18a57example",
"accountId": "123456789012",
"partition": "aws",
"region": "us-east-1",
"type": "SensitiveData:S3Object/Multiple",
"title": "The S3 object contains multiple categories of sensitive data",
"description": "The S3 object contains more than one category of sensitive data.",
"severity": {
"score": 3,
"description": "High"
},
"createdAt": "2024-04-20T18:19:10Z",
"updatedAt": "2024-04-20T18:19:10Z",
"count": 1,
"resourcesAffected": {
"s3Bucket": {
"arn": "arn:aws:s3:::amzn-s3-demo-bucket2",
"name": "amzn-s3-demo-bucket2",
"createdAt": "2020-05-15T20:46:56.000Z",
"owner": {
"displayName": "johndoe",
"id": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example"
},
"tags":[
{
"key":"Division",
"value":"HR"
},
{
"key":"Team",
"value":"Recruiting"
}
],
"defaultServerSideEncryption": {
"encryptionType": "aws:kms",
"kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"publicAccess": {
"permissionConfiguration": {
"bucketLevelPermissions": {
"accessControlList": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"bucketPolicy":{
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"blockPublicAccess": {
"ignorePublicAcls": true,
"restrictPublicBuckets": true,
"blockPublicAcls": true,
"blockPublicPolicy": true
}
},
"accountLevelPermissions": {
"blockPublicAccess": {
"ignorePublicAcls": false,
"restrictPublicBuckets": false,
"blockPublicAcls": false,
"blockPublicPolicy": false
}
}
},
"effectivePermission": "NOT_PUBLIC"
},
"allowsUnencryptedObjectUploads": "TRUE"
},
"s3Object":{
"bucketArn": "arn:aws:s3:::amzn-s3-demo-bucket2",
"key": "2024 Sourcing.csv",
"path": "amzn-s3-demo-bucket2/2024 Sourcing.csv",
"extension": "csv",
"lastModified": "2024-04-19T22:08:25.000Z",
"versionId": "",
"serverSideEncryption": {
"encryptionType": "aws:kms",
"kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"size": 4750,
"storageClass": "STANDARD",
"tags":[
{
"key":"Division",
"value":"HR"
},
{
"key":"Team",
"value":"Recruiting"
}
],
"publicAccess": false,
"etag": "6bb7fd4fa9d36d6b8fb8882caexample"
}
},
"category": "CLASSIFICATION",
"classificationDetails": {
"jobArn": "arn:aws:macie2:us-east-1:123456789012:classification-job/3ce05dbb7ec5505def334104bexample",
"jobId": "3ce05dbb7ec5505def334104bexample",
"result": {
"status": {
"code": "COMPLETE",
"reason": null
},
"sizeClassified": 4750,
"mimeType": "text/csv",
"additionalOccurrences": true,
"sensitiveData": [
{
"category": "PERSONAL_INFORMATION",
"totalCount": 65,
"detections": [
{
"type": "USA_SOCIAL_SECURITY_NUMBER",
"count": 30,
"occurrences": {
"lineRanges": null,
"offsetRanges": null,
"pages": null,
"records": null,
"cells": [
{
"row": 2,
"column": 1,
"columnName": "SSN",
"cellReference": null
},
{
"row": 3,
"column": 1,
"columnName": "SSN",
"cellReference": null
},
{
"row": 4,
"column": 1,
"columnName": "SSN",
"cellReference": null
}
]
}
},
{
"type": "NAME",
"count": 35,
"occurrences": {
"lineRanges": null,
"offsetRanges": null,
"pages": null,
"records": null,
"cells": [
{
"row": 2,
"column": 3,
"columnName": "Name",
"cellReference": null
},
{
"row": 3,
"column": 3,
"columnName": "Name",
"cellReference": null
}
]
}
}
]
},
{
"category": "FINANCIAL_INFORMATION",
"totalCount": 30,
"detections": [
{
"type": "CREDIT_CARD_NUMBER",
"count": 30,
"occurrences": {
"lineRanges": null,
"offsetRanges": null,
"pages": null,
"records": null,
"cells": [
{
"row": 2,
"column": 14,
"columnName": "CCN",
"cellReference": null
},
{
"row": 3,
"column": 14,
"columnName": "CCN",
"cellReference": null
}
]
}
}
]
}
],
"customDataIdentifiers": {
"totalCount": 0,
"detections": []
}
},
"detailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/123456789012/Macie/us-east-1/3ce05dbb7ec5505def334104bexample/d48bf16d-0deb-3e49-9d8c-d407cexample.jsonl.gz",
"originType": "SENSITIVE_DATA_DISCOVERY_JOB"
},
"policyDetails": null,
"sample": true,
"archived": false
}
}
```