Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Surveillance et traitement des résultats de Macie
Pour faciliter l'intégration avec d'autres applications, services et systèmes, tels que les systèmes de surveillance ou de gestion des événements, Amazon Macie publie automatiquement sur Amazon les résultats des politiques et des données sensibles EventBridge sous forme d'événements. Pour une assistance supplémentaire et une analyse plus approfondie du niveau de sécurité de votre entreprise, vous pouvez configurer Macie pour qu'il publie également les politiques et les résultats relatifs aux données sensibles sur AWS Security Hub CSPM.
**Amazon EventBridge**
Amazon EventBridge, anciennement Amazon CloudWatch Events, est un service de bus d'événements sans serveur qui fournit un flux de données en temps réel provenant d'applications et de services, et achemine ces données vers des cibles telles que les AWS Lambda fonctions, les rubriques Amazon Simple Notification Service et les flux Amazon Kinesis. Vous pouvez ainsi automatiser la surveillance et le traitement de certains types d'événements, y compris les événements publiés par Macie pour obtenir des résultats. EventBridge Pour en savoir plus, veuillez consulter la section [Traitement des résultats avec Amazon EventBridge](findings-monitor-events-eventbridge.md).
Si vous Notifications des utilisateurs AWS intégrez Macie, vous pouvez également utiliser des EventBridge événements pour générer automatiquement des notifications concernant les événements que Macie publie pour obtenir des résultats. Avec Notifications des utilisateurs, vous créez des règles personnalisées et configurez des canaux de diffusion pour recevoir des notifications concernant des EventBridge événements intéressants. Les canaux de diffusion incluent le courrier électronique, Amazon Q Developer dans les applications de chat et les notifications push dans le AWS Console Mobile Application. Vous pouvez également consulter les notifications dans un emplacement central sur le AWS Management Console. Pour en savoir plus, veuillez consulter la section [Suivi des résultats avec Notifications des utilisateurs AWS](findings-monitor-events-uno.md).
**AWS Security Hub CSPM**
AWS Security Hub CSPM est un service de sécurité qui vous fournit une vue complète de l'état de sécurité de votre AWS environnement. Il collecte les données de sécurité issues des solutions de AWS Partner Network sécurité prises en charge Services AWS et vous aide à vérifier que votre environnement est conforme aux normes et aux meilleures pratiques du secteur de la sécurité. Il vous aide également à analyser les tendances en matière de sécurité et à identifier les problèmes prioritaires.
Avec Security Hub CSPM, vous pouvez examiner et évaluer les résultats de Macie dans le cadre d'une analyse plus large du niveau de sécurité de votre entreprise. Vous pouvez également agréger les résultats de plusieurs Régions AWS, et surveiller et traiter les données de résultats agrégées provenant d'une seule région. Pour en savoir plus, veuillez consulter la section [Évaluer les résultats avec AWS Security Hub CSPM](securityhub-integration.md).
Lorsque Macie crée un résultat, il le publie automatiquement EventBridge sous la forme d'un nouvel événement. Selon les paramètres de publication que vous choisissez pour votre compte, Macie peut également publier le résultat sur Security Hub CSPM. Macie publie chaque nouveau résultat immédiatement après avoir fini de le traiter. Si Macie détecte une occurrence ultérieure d'une constatation de politique existante, il publie une mise à jour de l' EventBridge événement existant pour cette constatation. En fonction de vos paramètres de publication, Macie peut également publier la mise à jour sur Security Hub CSPM. Macie publie ces mises à jour de manière récurrente, en utilisant une fréquence de publication que vous spécifiez dans les paramètres de publication de votre compte.
Outre les options précédentes, vous pouvez interroger et récupérer les données de résultats directement à l'aide de l'API Amazon Macie. L'API Amazon Macie vous donne un accès complet et programmatique aux données. Pour interroger les données, vous pouvez envoyer des requêtes HTTPS directement à Macie ou utiliser une version actuelle d'un AWS SDK ou un outil de ligne de AWS commande. Si vous interrogez les données, Macie renvoie les résultats dans une réponse JSON. Vous pouvez ensuite transmettre les résultats à un autre service ou à une autre application pour un traitement, une surveillance ou des rapports supplémentaires. Pour plus d'informations, consultez le manuel [Amazon Macie API Reference](https://docs.aws.amazon.com/macie/latest/APIReference/welcome.html).
**Topics**
+ [Configuration des paramètres de publication pour les résultats](findings-publish-frequency.md)
+ [Traitement des résultats avec Amazon EventBridge](findings-monitor-events-eventbridge.md)
+ [Suivi des résultats avec Notifications des utilisateurs AWS](findings-monitor-events-uno.md)
+ [Évaluer les résultats avec AWS Security Hub CSPM](securityhub-integration.md)
+ [Schéma EventBridge d'événement Amazon pour les résultats](findings-publish-event-schemas.md)
# Configuration des paramètres de publication pour les résultats de Macie
Pour faciliter l'intégration avec d'autres applications, services et systèmes, Amazon Macie publie automatiquement les conclusions relatives aux politiques et aux données sensibles sur Amazon EventBridge sous forme d'événements. Pour plus d'informations sur la manière dont vous pouvez l'utiliser EventBridge pour surveiller et traiter les résultats, consultez[Traitement des résultats avec Amazon EventBridge](findings-monitor-events-eventbridge.md).
Vous pouvez AWS Security Hub CSPM également configurer Macie pour qu'il publie automatiquement les résultats, en utilisant les options de destination que vous spécifiez dans les paramètres de publication de votre compte. Grâce à ces options, vous pouvez configurer Macie pour publier uniquement les conclusions relatives aux politiques, uniquement les conclusions relatives aux données sensibles, ou à la fois les conclusions relatives aux politiques et aux données sensibles sur Security Hub CSPM. Vous pouvez également configurer Macie pour arrêter de publier les résultats sur Security Hub CSPM. Pour plus d'informations sur la manière dont vous pouvez utiliser Security Hub CSPM pour évaluer et traiter les résultats, consultez. [Évaluer les résultats avec AWS Security Hub CSPM](securityhub-integration.md)
En ce qui concerne les conclusions relatives aux politiques, le moment auquel Macie publie une constatation à un autre Service AWS dépend du fait qu'il s'agit ou non de nouvelles conclusions et de la fréquence de publication que vous spécifiez pour votre compte. Pour les découvertes de données sensibles, le moment est toujours immédiat : Macie publie une découverte de données sensibles immédiatement après avoir fini de traiter la découverte. Contrairement aux conclusions relatives aux politiques, Macie traite toutes les découvertes relatives aux données sensibles comme nouvelles (uniques).
Notez que Macie ne publie pas de politiques ou de résultats de données sensibles qui sont archivés automatiquement par une [règle de suppression](findings-suppression.md). En d'autres termes, Macie ne publie pas les résultats supprimés à d'autres Services AWS.
**Topics**
+ [Choix des destinations de publication](#findings-publish-destinations-change)
+ [Modification de la fréquence de publication](#findings-publish-frequency-change)
## Choix des destinations de publication pour les résultats
Vous pouvez configurer Amazon Macie pour publier automatiquement les politiques et les résultats relatifs aux données sensibles, AWS Security Hub CSPM en plus d'Amazon. EventBridge Par défaut, Macie publie uniquement les résultats politiques nouveaux et mis à jour sur Security Hub CSPM. Pour modifier ou étendre la configuration par défaut, ajustez les paramètres de destination de publication pour votre compte.
Lorsque vous ajustez vos paramètres de destination, vous choisissez les catégories de résultats que vous souhaitez que Macie publie sur Security Hub CSPM : uniquement les résultats relatifs aux politiques, uniquement les résultats relatifs aux données sensibles, ou à la fois les résultats relatifs aux politiques et aux données sensibles. Vous pouvez également choisir d'arrêter de publier toute catégorie de recherche dans Security Hub CSPM.
Si vous modifiez vos paramètres de destination, vos modifications s'appliquent uniquement aux paramètres actuels Région AWS. Si vous êtes l'administrateur Macie d'une organisation, votre modification s'applique uniquement à votre compte. Elle ne s'applique à aucun compte membre de votre organisation. Pour de plus amples informations, veuillez consulter [Gestion de plusieurs comptes ](macie-accounts.md).
**Pour choisir les destinations de publication des résultats**
Suivez ces étapes pour modifier vos paramètres de destination à l'aide de la console Amazon Macie. Pour ce faire par programmation, utilisez le [PutFindingsPublicationConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/findings-publication-configuration.html)fonctionnement de l'API Amazon Macie.
1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. Dans le panneau de navigation, sélectionnez **Settings** (Paramètres).
1. Dans la section **Publication des résultats**, sous **Destinations**, choisissez l'une des options suivantes :
+ **Publier les résultats des politiques sur Security Hub CSPM** : cochez cette case pour commencer à publier automatiquement les résultats des politiques nouvelles et mises à jour sur Security Hub CSPM. Pour arrêter de publier des résultats de politique nouveaux et actualisés sur Security Hub CSPM, décochez cette case.
Si vous cochez cette case et que vous avez des conclusions relatives aux politiques existantes, Macie ne les publie pas sur Security Hub CSPM. Macie publie plutôt uniquement les résultats des politiques qu'il crée ou met à jour une fois que vous avez enregistré votre modification.
+ **Publier les résultats de données sensibles sur Security Hub CSPM** : cochez cette case pour commencer à publier automatiquement les nouveaux résultats de données sensibles sur Security Hub CSPM. Pour arrêter de publier de nouvelles données sensibles sur Security Hub CSPM, décochez cette case.
Si vous cochez cette case et que vous avez trouvé des données sensibles, Macie ne les publie pas sur Security Hub CSPM. Au lieu de cela, Macie publie uniquement les résultats de données sensibles qu'il crée une fois que vous avez enregistré votre modification.
1. Choisissez **Enregistrer**.
Si vous avez choisi de publier une catégorie de résultats dans Security Hub CSPM, assurez-vous d'activer également Security Hub CSPM dans la région actuelle et de le configurer pour accepter les résultats de Macie. Dans le cas contraire, vous ne pourrez pas accéder aux résultats dans Security Hub CSPM. *Pour savoir comment accepter les résultats de Security Hub CSPM, consultez la section [Comprendre les intégrations dans Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-providers.html) dans le guide de l'utilisateur.AWS Security Hub *
## Modification de la fréquence de publication des résultats
Dans Amazon Macie, chaque résultat possède un identifiant unique. Macie utilise cet identifiant pour déterminer quand publier une découverte auprès d'un autre Service AWS utilisateur :
+ **Nouvelles découvertes** — Lorsque Macie crée une nouvelle politique ou une nouvelle recherche de données sensibles, elle attribue un identifiant unique à la découverte dans le cadre du traitement de la découverte. Dès que Macie a fini de traiter le résultat, il le publie sur Amazon en EventBridge tant que nouvel événement. En fonction des paramètres de publication de votre compte, Macie publie également le résultat en tant que nouveau résultat dans AWS Security Hub CSPM.
+ **Conclusions mises à jour** — Lorsque Macie détecte une occurrence ultérieure d'une constatation de politique existante, il met à jour la constatation existante en ajoutant des détails sur l'occurrence suivante et en augmentant le nombre d'occurrences. Macie publie également ces mises à jour de l' EventBridgeévénement existant et, en fonction des paramètres de publication de votre compte, de la découverte existante du Security Hub CSPM. Par défaut, Macie publie des mises à jour toutes les 15 minutes dans le cadre d'un cycle de publication récurrent. Cela signifie que toutes les conclusions relatives aux politiques mises à jour après le cycle de publication le plus récent seront conservées, mises à jour à nouveau si nécessaire et incluses dans le cycle de publication suivant (environ 15 minutes plus tard).
Vous pouvez modifier la fréquence à laquelle Macie publie des mises à jour des conclusions de politique existantes dans d'autres Services AWS. Par exemple, vous pouvez configurer Macie pour publier les mises à jour toutes les heures. Si vous procédez ainsi et qu'une publication a lieu à 12h00, toutes les mises à jour effectuées après 12h00 sont publiées à 13h00.
Si vous modifiez la fréquence, votre modification s'applique uniquement au courant Région AWS. Si vous êtes l'administrateur Macie d'une organisation, votre modification s'applique également à tous les comptes membres de votre organisation. Pour de plus amples informations, veuillez consulter [Gestion de plusieurs comptes ](macie-accounts.md).
**Pour modifier la fréquence de publication des résultats mis à jour**
Suivez ces étapes pour modifier la fréquence de publication à l'aide de la console Amazon Macie. Pour ce faire par programmation, utilisez le [UpdateMacieSession](https://docs.aws.amazon.com/macie/latest/APIReference/macie.html)fonctionnement de l'API Amazon Macie.
1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. Dans le panneau de navigation, sélectionnez **Settings** (Paramètres).
1. Dans la section **Publication des résultats**, sous **Fréquence de mise à jour des conclusions relatives aux politiques**, choisissez la fréquence à laquelle vous souhaitez que Macie publie des mises à jour des conclusions relatives aux politiques dans d'autres Services AWS domaines.
1. Choisissez **Enregistrer**.
# Traitement des résultats de Macie avec Amazon EventBridge
Amazon EventBridge, anciennement Amazon CloudWatch Events, est un service de bus d'événements sans serveur. EventBridge fournit un flux de données en temps réel provenant d'applications et de services, et achemine ces données vers des cibles telles que AWS Lambda les fonctions, les rubriques Amazon Simple Notification Service (Amazon SNS) et les flux Amazon Kinesis. Pour en savoir plusEventBridge, consultez le [guide de EventBridge l'utilisateur Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html).
Vous pouvez ainsi automatiser la surveillance et le traitement de certains types d'événements. EventBridge Cela inclut les événements qu'Amazon Macie publie automatiquement en cas de nouvelles conclusions relatives aux politiques et de données sensibles. Cela inclut également les événements que Macie publie automatiquement pour les occurrences ultérieures de conclusions de politiques existantes. Pour plus de détails sur comment et quand Macie publie ces événements, consultez[Configuration des paramètres de publication pour les résultats](findings-publish-frequency.md).
En utilisant EventBridge les événements publiés par Macie pour les résultats, vous pouvez suivre et traiter les résultats en temps quasi réel. Vous pouvez ensuite agir sur la base des résultats en utilisant d'autres applications et services. Par exemple, vous pouvez l'utiliser EventBridge pour envoyer des types spécifiques de nouvelles découvertes à une AWS Lambda fonction. La fonction Lambda peut ensuite traiter et envoyer les données à votre système de gestion des incidents et événements de sécurité (SIEM). Si vous [Notifications des utilisateurs AWS intégrez Macie](findings-monitor-events-uno.md), vous pouvez également utiliser les événements pour être informé automatiquement des résultats via les canaux de diffusion que vous spécifiez.
Outre la surveillance et le traitement automatisés, l'utilisation de EventBridge permet de conserver à long terme les données de vos résultats. Macie conserve les résultats pendant 90 jours. Vous pouvez ainsi envoyer les données des résultats vers votre plateforme de stockage préférée et les stocker aussi longtemps que vous le souhaitez. EventBridge
**Note**
Pour une conservation à long terme, configurez également Macie pour stocker les résultats de la découverte de vos données sensibles dans un compartiment S3. Un *résultat de découverte de données sensibles* est un enregistrement qui journalise les détails de l’analyse effectuée par Macie sur un objet S3 pour déterminer s’il contient des données sensibles. Pour en savoir plus, veuillez consulter la section [Stockage et conservation des résultats de découverte de données sensibles](discovery-results-repository-s3.md).
**Topics**
+ [Utilisation de l’option EventBridge](#findings-monitor-events-eventbridge-overview)
+ [Création de EventBridge règles pour les résultats](#findings-monitor-events-eventbridge-rule-cli)
## Travailler avec Amazon EventBridge
Avec Amazon EventBridge, vous créez des règles pour spécifier les événements que vous souhaitez surveiller et les cibles sur lesquelles vous souhaitez effectuer des actions automatisées pour ces événements. Une *cible* est une destination à laquelle EventBridge des événements sont envoyés.
Pour automatiser les tâches de surveillance et de traitement des résultats, vous pouvez créer une EventBridge règle qui détecte automatiquement les événements de recherche d'Amazon Macie et envoie ces événements à une autre application ou à un autre service pour traitement ou autre action. Vous pouvez personnaliser la règle afin d'envoyer uniquement les événements qui répondent à certains critères. Pour ce faire, spécifiez des critères dérivés de[Schéma EventBridge d'événement Amazon pour les résultats de Macie](findings-publish-event-schemas.md).
Par exemple, vous pouvez créer une règle qui envoie des types de nouveau résultat spécifiques à une fonction AWS Lambda . La fonction Lambda peut ensuite effectuer des tâches telles que : traiter et envoyer les données à votre système SIEM ; appliquer automatiquement un certain type de chiffrement côté serveur à un objet S3 ; ou restreindre l'accès à un objet S3 en modifiant la liste de contrôle d'accès (ACL) de l'objet. Vous pouvez également créer une règle qui envoie automatiquement les nouveaux résultats très graves à une rubrique Amazon SNS, qui en informe ensuite votre équipe de réponse aux incidents.
Outre l'appel des fonctions Lambda et la notification des EventBridge rubriques Amazon SNS, il prend en charge d'autres types de cibles et d'actions, telles que le relais d'événements vers les AWS Step Functions flux Amazon Kinesis, l'activation de machines d'état et l'appel de la commande run. AWS Systems Manager Pour plus d'informations sur les cibles prises en charge, consultez la section [relative aux cibles Event Bus](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html) dans le *guide de EventBridge l'utilisateur Amazon*.
## Création de EventBridge règles Amazon pour les découvertes de Macie
Les procédures suivantes expliquent comment utiliser la EventBridge console Amazon et le [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) pour créer une EventBridge règle pour les résultats d'Amazon Macie. La règle détecte les EventBridge événements qui utilisent le schéma et le modèle d'événements utilisés pour les résultats de Macie, et elle envoie ces événements à une AWS Lambda fonction pour traitement.
AWS Lambda est un service de calcul que vous pouvez utiliser pour exécuter du code sans provisionner ni gérer de serveurs. Vous empaqueter votre code et le télécharger en AWS Lambda tant que fonction *Lambda*. AWS Lambda exécute ensuite la fonction lorsque la fonction est invoquée. Une fonction peut être appelée manuellement, par vous, automatiquement en réponse à des événements, ou en réponse à des demandes d'applications ou de services. Pour en savoir plus sur la création et l'invocation de fonctions Lambda, consultez le [Guide du développeur AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html).
------
#### [ Console ]
Suivez ces étapes pour utiliser la EventBridge console Amazon afin de créer une règle qui envoie automatiquement tous les événements de recherche Macie à une fonction Lambda pour traitement. La règle utilise les paramètres par défaut pour les règles qui s'exécutent lorsque des événements spécifiques sont reçus. Pour en savoir plus sur les paramètres des règles ou pour savoir comment créer une règle utilisant des paramètres personnalisés, consultez la section [Création de règles qui réagissent aux événements](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) dans le *guide de EventBridge l'utilisateur Amazon*.
**Astuce**
Vous pouvez également créer une règle qui utilise un modèle personnalisé pour détecter et agir uniquement sur un sous-ensemble d'événements de recherche Macie. Ce sous-ensemble peut être basé sur des champs spécifiques que Macie inclut dans un événement de recherche. Pour de plus amples informations sur les champs disponibles, veuillez consulter [Schéma EventBridge d'événement Amazon pour les résultats de Macie](findings-publish-event-schemas.md). Pour en savoir plus sur l'utilisation de modèles personnalisés dans les règles, consultez la section [Création de modèles d'événements](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-pattern.html) dans le *guide de EventBridge l'utilisateur Amazon*.
Avant de créer cette règle, créez la fonction Lambda que vous souhaitez que la règle utilise comme cible. Lorsque vous créez la règle, vous devez spécifier cette fonction comme étant la cible de la règle.
**Pour créer une règle d'événement à l'aide de la console**
1. Ouvrez la EventBridge console Amazon à l'adresse [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Dans le volet de navigation, sous **Bus**, sélectionnez **Rules**.
1. Dans la section **Rules** (Règles) choisissez **Create rule** (Créer une règle).
1. Sur la page **détaillée de définition de la règle**, procédez comme suit :
+ Pour **Name** (Nom), entrez le nom de la règle.
+ (Facultatif) **Dans Description**, entrez une brève description de la règle.
+ Pour le **bus d'événements**, assurez-vous que la **valeur par défaut** est sélectionnée et que **l'option Activer la règle sur le bus d'événements sélectionné** est activée.
+ Pour **Type de règle**, choisissez **Règle avec un modèle d’événement**.
1. Lorsque vous avez terminé, choisissez **Suivant**.
1. Sur la page **Créer un modèle d'événement**, procédez comme suit :
+ Dans **Source de l'événement**, choisissez **AWS des événements ou des événements EventBridge partenaires**.
+ (Facultatif) Pour **Exemple d'événement**, consultez un exemple d'événement de recherche pour Macie afin de savoir ce qu'un événement peut contenir. Pour ce faire, choisissez **AWS des événements**. Ensuite, pour **Sample events**, choisissez **Macie Finding**.
+ Pour **Méthode de création**, choisissez **Utiliser le formulaire d’événement**.
+ Pour **Modèle d'événement**, entrez les paramètres suivants :
+ Pour **Event source (Source d’événement)**, choisissez **Services AWS**.
+ Pour **Service AWS**, choisissez **Macie**.
+ Pour **Type d'événement**, choisissez **Macie Finding**.
1. Lorsque vous avez terminé, choisissez **Suivant**.
1. Sur la page **Sélectionner des cibles**, procédez comme suit :
+ Pour **Target types** (Types de cibles), choisissez **Service AWS**.
+ Pour **Select a target** (Sélectionner une cible), choisissez **Lambda Function** (Fonction Lambda). Ensuite, pour **Function**, choisissez la fonction Lambda à laquelle vous souhaitez envoyer des événements de recherche.
+ Pour **Configurer la version/l'alias**, entrez les paramètres de version et d'alias pour la fonction Lambda cible.
+ (Facultatif) Pour **Paramètres supplémentaires**, entrez des paramètres personnalisés pour spécifier les données d'événement que vous souhaitez envoyer à la fonction Lambda. Vous pouvez également spécifier comment gérer les événements qui ne sont pas transmis correctement à la fonction.
1. Lorsque vous avez terminé, choisissez **Suivant**.
1. Sur la page **Configurer les balises**, entrez éventuellement une ou plusieurs balises à attribuer à la règle. Ensuite, sélectionnez **Suivant**.
1. Sur la page **Réviser et créer**, passez en revue les paramètres de la règle et vérifiez qu'ils sont corrects.
Pour modifier un paramètre, choisissez **Modifier** dans la section contenant le paramètre, puis entrez le paramètre correct. Vous pouvez également utiliser les onglets de navigation pour accéder à la page contenant un paramètre.
1. Lorsque vous avez terminé de vérifier les paramètres, choisissez **Create rule**.
------
#### [ AWS CLI ]
Procédez comme suit pour utiliser le AWS CLI afin de créer une EventBridge règle qui envoie tous les événements de recherche Macie à une fonction Lambda pour traitement. La règle utilise les paramètres par défaut pour les règles qui s'exécutent lorsque des événements spécifiques sont reçus. Dans cette procédure, les commandes sont formatées pour Microsoft Windows. Pour Linux, macOS ou Unix, remplacez le caractère de continuation de ligne (^) par une barre oblique inverse (\$1).
Avant de créer cette règle, créez la fonction Lambda que vous souhaitez que la règle utilise comme cible. Lorsque vous créez la fonction, notez son ARN (Amazon Resource Name). Vous devrez entrer cet ARN lors de la spécification de la cible de la règle.
**Pour créer une règle d'événement à l'aide du AWS CLI**
1. Créez une règle qui détecte les événements pour tous les résultats publiés par Macie. EventBridge Pour ce faire, exécutez la commande EventBridge [put-rule](https://docs.aws.amazon.com/cli/latest/reference/events/put-rule.html). Par exemple :
```
C:\> aws events put-rule ^
--name MacieFindings ^
--event-pattern "{\"source\":[\"aws.macie\"]}"
```
Où se *MacieFindings* trouve le nom que vous souhaitez donner à la règle ?
**Astuce**
Vous pouvez également créer une règle qui utilise un modèle personnalisé (`event-pattern`) pour détecter et agir uniquement sur un sous-ensemble d'événements de recherche Macie. Ce sous-ensemble peut être basé sur des champs spécifiques que Macie inclut dans un événement de recherche. Pour de plus amples informations sur les champs disponibles, veuillez consulter [Schéma EventBridge d'événement Amazon pour les résultats de Macie](findings-publish-event-schemas.md). Pour en savoir plus sur l'utilisation de modèles personnalisés dans les règles, consultez la section [Création de modèles d'événements](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-pattern.html) dans le *guide de EventBridge l'utilisateur Amazon*.
Si la commande s'exécute correctement, elle EventBridge répond avec l'ARN de la règle. Notez cet ARN. Vous devrez l'entrer au cours de l'étape 3.
1. Spécifiez la fonction Lambda à utiliser comme cible pour la règle. Pour ce faire, exécutez la commande EventBridge [put-targets](https://docs.aws.amazon.com/cli/latest/reference/events/put-targets.html). Par exemple :
```
C:\> aws events put-targets ^
--rule MacieFindings ^
--targets Id=1,Arn=arn:aws:lambda:regionalEndpoint:accountID:function:my-findings-function
```
Où se *MacieFindings* trouve le nom que vous avez spécifié pour la règle à l'étape 1, et la valeur du `Arn` paramètre est l'ARN de la fonction que vous souhaitez que la règle utilise comme cible.
1. Ajoutez des autorisations qui permettent à la règle d'appeler la fonction Lambda cible. Pour ce faire, exécutez la commande Lambda add permission[.](https://docs.aws.amazon.com/cli/latest/reference/lambda/add-permission.html) Par exemple :
```
C:\> aws lambda add-permission ^
--function-name my-findings-function ^
--statement-id Sid ^
--action lambda:InvokeFunction ^
--principal events.amazonaws.com ^
--source-arn arn:aws:events:regionalEndpoint:accountId:rule:MacieFindings
```
Où :
+ *my-findings-function*est le nom de la fonction Lambda que vous souhaitez que la règle utilise comme cible.
+ *Sid*est un identifiant d'instruction que vous définissez pour décrire l'instruction dans la politique de fonction Lambda.
+ `source-arn` est l'ARN de la règle EventBridge.
Si la commande s'exécute correctement, vous recevez un résultat similaire à ce qui suit :
```
{
"Statement": "{\"Sid\":\"sid\",
\"Effect\":\"Allow\",
\"Principal\":{\"Service\":\"events.amazonaws.com\"},
\"Action\":\"lambda:InvokeFunction\",
\"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:my-findings-function\",
\"Condition\":
{\"ArnLike\":
{\"AWS:SourceArn\":
\"arn:aws:events:us-east-1:111122223333:rule/MacieFindings\"}}}"
}
```
La valeur `Statement` est une version de la chaîne JSON correspondant à l’instruction ajoutée à la politique de la fonction Lambda.
------
# Surveiller les résultats de Macie avec Notifications des utilisateurs AWS
Notifications des utilisateurs AWS est un service qui agit comme un emplacement central pour vos AWS notifications sur le AWS Management Console. Cela inclut les notifications telles que les CloudWatch alarmes Amazon, AWS Support les cas et les communications provenant d'autres utilisateurs Services AWS. Vous pouvez ainsi configurer des règles et des canaux de diffusion personnalisés pour recevoir des notifications concernant certains types d' EventBridge événements Amazon. Notifications des utilisateurs Les canaux de diffusion incluent le courrier électronique, Amazon Q Developer dans les applications de chat et les notifications push dans le AWS Console Mobile Application. Vous pouvez également consulter les notifications sur la Notifications des utilisateurs AWS console. Pour en savoir plus Notifications des utilisateurs, consultez le [guide de Notifications des utilisateurs AWS l'utilisateur](https://docs.aws.amazon.com/notifications/latest/userguide/what-is-service.html).
Amazon Macie s'intègre à Amazon Macie Notifications des utilisateurs AWS, ce qui signifie que vous pouvez le configurer Notifications des utilisateurs pour vous informer des événements sur lesquels Macie publie des informations sur les politiques et EventBridge les données sensibles. Si un événement de recherche correspond aux critères que vous spécifiez, Notifications des utilisateurs génère une notification. La notification inclut les principaux détails du résultat associé, tels que le type et la gravité du résultat, ainsi que le nom de la ressource affectée. Notifications des utilisateurs peut également envoyer la notification à un ou plusieurs canaux de diffusion que vous spécifiez. Vous pouvez adapter votre choix de canaux de diffusion en fonction de vos flux de travail en matière de sécurité et de conformité.
Par exemple, vous pouvez configurer Notifications des utilisateurs pour générer des notifications pour des types spécifiques de nouveaux résultats très graves. Vous pouvez également spécifier Amazon Q Developer dans les applications de chat comme canal de diffusion pour ces notifications. Notifications des utilisateurs détecte ensuite les EventBridge événements liés aux résultats, génère des notifications contenant des données issues des résultats et envoie les notifications à Amazon Q Developer dans des applications de chat. Dans les applications de chat, Amazon Q Developer peut ensuite rediriger les notifications vers un canal Slack ou un salon de discussion Amazon Chime pour informer votre équipe de réponse aux incidents.
**Topics**
+ [Utilisation de l’option Notifications des utilisateurs AWS](#findings-monitor-events-uno-overview)
+ [Activation et configuration des notifications pour les résultats](#findings-monitor-events-uno-configure)
+ [Associer les champs de notification aux champs de recherche](#findings-monitor-events-uno-schema)
+ [Modification des paramètres de notification pour les résultats](#findings-monitor-events-uno-change)
+ [Désactiver les notifications pour les résultats](#findings-monitor-events-uno-disable)
## Travailler avec Notifications des utilisateurs AWS
Avec Notifications des utilisateurs AWS, vous créez des règles pour spécifier les types d' EventBridge événements Amazon que vous souhaitez surveiller et pour lesquels vous souhaitez recevoir des notifications. Une règle définit les critères auxquels un EventBridge événement doit répondre pour générer une notification. Vous pouvez également choisir un ou plusieurs canaux de diffusion pour une règle. Les canaux de diffusion indiquent où vous souhaitez recevoir des notifications pour les événements qui répondent aux critères d'une règle.
S'il Notifications des utilisateurs détecte un EventBridge événement correspondant aux critères d'une règle, il exécute les tâches générales suivantes :
1. Extrait un sous-ensemble de données de l'événement.
1. Génère une notification contenant les données extraites.
1. Envoie la notification aux canaux de diffusion que vous spécifiez pour ce type d'événement.
La conception et la structure de la notification sont optimisées pour chaque canal de diffusion auquel elle est envoyée.
Pour contrôler la fréquence ou le nombre de notifications que vous recevez, vous pouvez configurer les paramètres d'agrégation pour une règle. Si vous activez ces paramètres, les Notifications des utilisateurs données relatives à plusieurs événements sont combinées dans une seule notification. Vous pouvez choisir d'envoyer des notifications d'événements agrégées rapidement et fréquemment, ce que vous pouvez faire pour détecter des événements très graves. Vous pouvez également les envoyer moins fréquemment pour recevoir moins de notifications, ce que vous pouvez faire pour détecter des événements de faible gravité. Si vous combinez des données d'événements, vous pouvez effectuer une analyse détaillée de chaque événement agrégé à l'aide de la Notifications des utilisateurs AWS console. De là, vous pouvez également accéder à chaque recherche associée sur la console Amazon Macie.
## Activation et configuration en fonction Notifications des utilisateurs AWS des résultats de Macie
Pour permettre Notifications des utilisateurs AWS de générer des notifications pour les résultats d'Amazon Macie, créez une configuration de notification pour Macie in. Notifications des utilisateurs Une *configuration de notification* définit les critères d'une règle. Il spécifie également les canaux de livraison et les autres paramètres de surveillance et d'envoi de notifications concernant les EventBridge événements Amazon qui répondent aux critères de la règle. Pour obtenir des informations détaillées sur la création d'une configuration de notification, voir [Getting started with Notifications des utilisateurs AWS](https://docs.aws.amazon.com/notifications/latest/userguide/getting-started.html) dans le *guide de Notifications des utilisateurs AWS l'utilisateur*.
Pour créer une configuration de notification pour les résultats de Macie, choisissez les options suivantes pour la règle d'événement :
+ Pour **Service AWS le nom**, choisissez **Macie**.
+ Pour **Type d'événement**, choisissez **Macie Finding**.
+ Pour **les régions**, sélectionnez chacune des régions Région AWS dans lesquelles vous utilisez Macie et souhaitez être informé des résultats.
Avec cette configuration, Notifications des utilisateurs surveille les EventBridge événements pour vous Compte AWS et génère des notifications pour tous les événements de recherche Macie dans les régions que vous avez sélectionnées. Les événements répondent aux critères suivants :
+ `source`est égal `aws.macie`
+ `detail-type`est égal `Macie Finding`
Le modèle JSON sous-jacent de la règle d'événement est le suivant :
```
{
"source": ["aws.macie"],
"detail-type": ["Macie Finding"]
}
```
Pour affiner la règle et générer des notifications uniquement pour un sous-ensemble de résultats, vous pouvez personnaliser le modèle JSON de la règle. Pour ce faire, spécifiez des critères supplémentaires dérivés du[Schéma EventBridge d'événement Amazon pour les résultats de Macie](findings-publish-event-schemas.md).
Si vous créez une règle qui utilise un modèle JSON personnalisé, vous pouvez créer plusieurs configurations de notification pour les résultats de Macie. Vous pouvez ensuite adapter les canaux de diffusion et les autres paramètres pour chaque configuration afin de les aligner sur vos flux de travail de sécurité et de conformité pour des types de résultats spécifiques.
Par exemple, vous pouvez créer une règle qui vous avertit si Macie génère ou met à jour un *Policy:IAMUser/S3BucketPublic*résultat. Dans ce cas, le modèle de la règle peut être le suivant :
```
{
"source": ["aws.macie"],
"detail-type": ["Macie Finding"],
"detail": {
"type": ["Policy:IAMUser/S3BucketPublic"]
}
}
```
Vous pouvez également créer une autre règle qui vous avertira si Macie génère une recherche de données sensibles pour un compartiment S3 accessible au public. Dans ce cas, le modèle de la règle peut être le suivant :
```
{
"source": ["aws.macie"],
"detail-type": ["Macie Finding"],
"detail": {
"type": [ { "prefix": "SensitiveData" } ],
"resourcesAffected": {
"effectivePermission": ["PUBLIC"]
}
}
}
```
Si vous créez plusieurs configurations de notification pour les résultats de Macie, il est conseillé de vous assurer que la règle de chaque configuration est unique. Dans le cas contraire, vous risquez de recevoir des notifications dupliquées pour des résultats individuels.
Pour en savoir plus sur la personnalisation des modèles d'événements pour les règles, consultez la section [Utilisation de modèles d'événements JSON personnalisés](https://docs.aws.amazon.com/notifications/latest/userguide/common-usecases.html) dans le *Guide de l'Notifications des utilisateurs AWS utilisateur*.
## Associer Notifications des utilisateurs AWS des champs à des champs de recherche Macie
Lorsqu'il Notifications des utilisateurs AWS génère une notification pour une découverte d'Amazon Macie, il la remplit avec les données d'un sous-ensemble de champs de l'événement Amazon correspondant. EventBridge Ces champs fournissent des informations clés sur le résultat associé, tels que le type et la gravité du résultat, ainsi que le nom de la ressource affectée.
Si vous consultez une notification sur la Notifications des utilisateurs AWS console, celle-ci inclut toutes les données de ce sous-ensemble de champs. Il fournit également un lien vers le résultat associé sur la console Amazon Macie. Si vous consultez une notification dans d'autres canaux de diffusion, il est possible qu'elle ne contienne des données que pour certains champs. Cela s'explique par le fait qu'il Notifications des utilisateurs adapte la conception et la structure de ses notifications à chaque type de canal de diffusion qu'il prend en charge.
Le tableau suivant répertorie les champs susceptibles d'être inclus dans une notification concernant une constatation. Dans le tableau, la colonne **Champ de notification** décrit (en *italique*) ou indique le nom d'un champ dans une notification. La colonne du **champ d'événement de recherche** utilise la notation par points pour indiquer le nom du champ JSON correspondant dans un EventBridge événement de recherche. La colonne **Description** décrit les données stockées dans le champ.
| Champ de notification | Recherche d'un champ d'événement | Description |
| --- | --- | --- |
| *Titre du message* | `detail.type` | Le type de découverte. Par exemple, `Policy:IAMUser/S3BucketPublic` ou `SensitiveData:S3Object/Financial`. |
| Récapitulatif | `detail.title` | Brève description de la découverte. Par exemple : `The S3 object contains financial information.` |
| Description | `detail.description` | Description complète de la découverte. Par exemple : `The S3 object contains financial information such as bank account numbers or credit card numbers.` |
| Sévérité | `detail.severity.description` | La représentation qualitative de la gravité du résultat : `Low``Medium`, ou`High`. |
| ID de résultat | `detail.id` | Identifiant unique de la recherche. |
| Créé | `detail.createdAt` | Date et heure auxquelles Macie a créé le résultat. |
| Mis à jour | `detail.updatedAt` | Date et heure auxquelles Macie a mis à jour le résultat pour la dernière fois. Pour les résultats de données sensibles, cette valeur est identique à celle du champ *Created* (`detail.createdAt`). Toutes les données sensibles découvertes sont considérées comme nouvelles (uniques). |
| Compartiment S3 concerné | `detail.resourcesAffected.s3Bucket.arn` | Le nom de ressource Amazon (ARN) du compartiment S3 concerné. |
| Objet S3 concerné | `detail.resourcesAffected.s3Object.path` | Le nom (*clé*) de l'objet S3 concerné, y compris le nom du compartiment qui stocke l'objet et, le cas échéant, le préfixe de l'objet. Ce champ n'est pas inclus dans les notifications relatives aux résultats des politiques. |
| *Détections de données sensibles* | `detail.classificationDetails.result.sensitiveData.detections...` Et/ou `detail.classificationDetails.result.customDataIdentifiers.detections...` | Il s'agit d'une concaténation de plusieurs champs dans un événement pour la recherche de données sensibles. Ce champ n'est pas inclus dans les notifications relatives aux résultats des politiques. Si un identifiant de données gérées a détecté les données sensibles, ce champ indique la catégorie, le type et le nombre (`count`) d'occurrences des données sensibles détectées. Par exemple : `PERSONAL_INFORMATION: USA_SOCIAL_SECURITY_NUMBER 100 occurrences`. Si un identifiant de données personnalisé a détecté les données sensibles, ce champ indique le nom de l'identifiant de données personnalisé et le nombre (`count`) d'occurrences des données sensibles détectées. Par exemple : `Employee ID 20 occurrences`. Si une découverte fait état de plusieurs types de données sensibles, la notification inclut des données pour un maximum de quatre types. Les données sont d'abord renseignées par tout identifiant de données personnalisé applicable, puis par tout identifiant de données gérées applicable. |
## Modification des Notifications des utilisateurs AWS paramètres pour les résultats de Macie
Vous pouvez modifier Notifications des utilisateurs AWS les paramètres relatifs aux résultats d'Amazon Macie à tout moment. Pour ce faire, modifiez la configuration des notifications dans Notifications des utilisateurs. Pour savoir comment procéder, consultez [la section Gestion des configurations de notifications](https://docs.aws.amazon.com/notifications/latest/userguide/managing-notifications.html) dans le *Guide de Notifications des utilisateurs AWS l'utilisateur*.
Si vous avez plusieurs configurations de notification pour les résultats de Macie, la modification des paramètres d'une configuration n'affecte pas les paramètres des autres configurations. Vous pouvez modifier toutes vos configurations ou uniquement certaines d'entre elles.
## Désactivation Notifications des utilisateurs AWS pour les résultats de Macie
Pour arrêter de générer et de recevoir des notifications concernant Notifications des utilisateurs AWS les résultats d'Amazon Macie, supprimez la configuration des notifications dans. Notifications des utilisateurs Pour savoir comment procéder, consultez [la section Gestion des configurations de notifications](https://docs.aws.amazon.com/notifications/latest/userguide/managing-notifications.html) dans le *Guide de Notifications des utilisateurs AWS l'utilisateur*.
Si vous avez plusieurs configurations de notification pour les résultats de Macie, la suppression d'une configuration n'affecte pas les autres configurations. Vous pouvez supprimer toutes vos configurations ou uniquement certaines d'entre elles.
# Évaluer les résultats de Macie avec AWS Security Hub CSPM
AWS Security Hub CSPM est un service qui vous fournit une vue complète de votre niveau de sécurité dans l'ensemble de votre AWS environnement et vous aide à vérifier que votre environnement est conforme aux normes et aux meilleures pratiques du secteur de la sécurité. Pour ce faire, il utilise, agrège, organise et hiérarchise les résultats issus de multiples solutions de AWS Partner Network sécurité prises Services AWS en charge. Security Hub CSPM vous aide à analyser vos tendances en matière de sécurité et à identifier les problèmes de sécurité les plus prioritaires. Avec Security Hub CSPM, vous pouvez également agréger les résultats de plusieurs Régions AWS, puis évaluer et traiter toutes les données de résultats agrégées provenant d'une seule région. Pour en savoir plus sur Security Hub CSPM, consultez le guide de l'[AWS Security Hub utilisateur](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html).
Amazon Macie s'intègre à Security Hub CSPM, ce qui signifie que vous pouvez publier automatiquement les résultats de Macie vers Security Hub CSPM. Security Hub CSPM peut ensuite inclure ces résultats dans son analyse de votre posture de sécurité. En outre, vous pouvez utiliser Security Hub CSPM pour évaluer et traiter les conclusions relatives aux politiques et aux données sensibles dans le cadre d'un ensemble plus vaste et agrégé de données de résultats pour votre AWS environnement. En d'autres termes, vous pouvez évaluer les résultats de Macie tout en effectuant des analyses plus larges de la posture de sécurité de votre entreprise, et corriger les résultats si nécessaire. Security Hub CSPM simplifie le traitement d'importants volumes de résultats provenant de plusieurs fournisseurs. En outre, il utilise un format standard pour tous les résultats, y compris ceux de Macie. L'utilisation de ce format, le format *ASFF (AWS Security Finding Format)*, vous évite d'avoir à effectuer des efforts de conversion de données fastidieux.
**Topics**
+ [Comment Macie publie ses résultats sur Security Hub CSPM](#securityhub-integration-sending-findings)
+ [Exemples de conclusions de Macie dans Security Hub CSPM](#securityhub-integration-finding-example)
+ [Intégration de Macie à Security Hub CSPM](#securityhub-integration-enable)
+ [Arrêt de la publication des conclusions de Macie sur Security Hub CSPM](#securityhub-integration-disable)
## Comment Macie publie ses résultats pour AWS Security Hub CSPM
Dans AWS Security Hub CSPM, les problèmes de sécurité sont suivis sous forme de découvertes. Certains résultats proviennent de problèmes détectés par Amazon Macie Services AWS, par exemple, ou par des solutions de AWS Partner Network sécurité prises en charge. Security Hub CSPM dispose également d'un ensemble de règles qu'il utilise pour détecter les problèmes de sécurité et générer des résultats.
Security Hub CSPM fournit des outils pour gérer les résultats provenant de toutes ces sources. Vous pouvez consulter et filtrer les listes de résultats et examiner les détails des résultats individuels. Pour savoir comment procéder, consultez la section [Révision de l'historique et des détails](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-viewing.html) des recherches dans le *guide de AWS Security Hub l'utilisateur*. Vous pouvez également suivre le statut d'une analyse dans un résultat. Pour savoir comment procéder, voir [Configuration de l'état des résultats dans le flux de](https://docs.aws.amazon.com/securityhub/latest/userguide/findings-workflow-status.html) travail dans le *Guide de AWS Security Hub l'utilisateur*.
Tous les résultats dans Security Hub CSPM utilisent un format JSON standard appelé *format ASFF (AWS Security Finding Format)*. L'ASFF inclut des détails sur la source d'un problème, les ressources concernées et l'état actuel d'une découverte. Pour de plus amples informations, veuillez consulter [AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html) dans le *Guide de l'utilisateur AWS Security Hub *.
### Types de résultats publiés par Macie sur Security Hub (CSPM)
Selon les paramètres de publication que vous choisissez pour votre compte Macie, Macie peut publier toutes les conclusions qu'il crée sur Security Hub CSPM, qu'il s'agisse de données sensibles ou de conclusions relatives aux politiques. Pour plus d'informations sur ces paramètres et sur la façon de les modifier, consultez[Configuration des paramètres de publication pour les résultats](findings-publish-frequency.md). Par défaut, Macie publie uniquement les résultats politiques nouveaux et mis à jour sur Security Hub CSPM. Macie ne publie pas les résultats de données sensibles sur Security Hub CSPM.
#### Résultats de données sensibles
Si vous configurez Macie pour publier les [résultats de données sensibles](findings-types.md#findings-sensitive-data-types) sur Security Hub CSPM, Macie publie automatiquement chaque recherche de données sensibles créée pour votre compte, et ce immédiatement après avoir terminé de traiter le résultat. Macie le fait pour toutes les découvertes de données sensibles qui ne sont pas archivées automatiquement par une [règle de suppression](findings-suppression.md).
Si vous êtes l'administrateur Macie d'une organisation, la publication est limitée aux résultats des tâches de découverte de données sensibles que vous avez exécutées et aux activités automatisées de découverte de données sensibles effectuées par Macie pour votre organisation. Seul le compte qui crée une tâche peut publier les résultats des données sensibles produites par la tâche. Seul le compte administrateur Macie peut publier les résultats relatifs aux données sensibles produits par la découverte automatique de données sensibles pour son organisation.
Lorsque Macie publie des résultats de données sensibles sur Security Hub CSPM, il utilise le [AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html), qui est le format standard pour tous les résultats dans Security Hub CSPM. Dans l'ASFF, le `Types` champ indique le type de résultat. Ce champ utilise une taxonomie légèrement différente de la taxonomie des types de recherche dans Macie.
Le tableau suivant répertorie le type de recherche ASFF pour chaque type de recherche de données sensibles que Macie peut créer.
| Type de recherche Macie | Type de résultat ASFF |
| --- | --- |
| SensitiveData:S3Object/Credentials | Sensitive Data Identifications/Passwords/SensitiveData:S3Object-Credentials |
| SensitiveData:S3Object/CustomIdentifier | Sensitive Data Identifications/PII/SensitiveData:S3Object-CustomIdentifier |
| SensitiveData:S3Object/Financial | Sensitive Data Identifications/Financial/SensitiveData:S3Object-Financial |
| SensitiveData:S3Object/Multiple | Sensitive Data Identifications/PII/SensitiveData:S3Object-Multiple |
| SensitiveData:S3Object/Personal | Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal |
#### Résultats de la stratégie
Si vous configurez Macie pour publier [les résultats des politiques](findings-types.md#findings-policy-types) sur Security Hub CSPM, Macie publie automatiquement chaque nouvelle constatation de stratégie créée, et ce immédiatement après avoir terminé de traiter les résultats. Si Macie détecte une occurrence ultérieure d'une constatation de politique existante, il publie automatiquement une mise à jour de cette constatation dans Security Hub CSPM, en utilisant une fréquence de publication que vous spécifiez pour votre compte. Macie exécute ces tâches pour toutes les conclusions relatives aux politiques qui ne sont pas archivées automatiquement par une [règle de suppression](findings-suppression.md).
Si vous êtes l'administrateur Macie d'une organisation, la publication se limite aux conclusions relatives aux politiques relatives aux compartiments S3 appartenant directement à votre compte. Macie ne publie pas les résultats des politiques qu'il crée ou met à jour pour les comptes des membres de votre organisation. Cela permet de s'assurer que vous n'avez pas de données de résultats dupliquées dans Security Hub CSPM.
Comme c'est le cas pour les découvertes relatives aux données sensibles, Macie utilise le format ASFF ( AWS Security Finding Format) lorsqu'il publie des conclusions politiques nouvelles et mises à jour sur le Security Hub CSPM. Dans l'ASFF, le `Types` champ utilise une taxonomie légèrement différente de la taxonomie des types de recherche dans Macie.
Le tableau suivant répertorie le type de recherche ASFF pour chaque type de recherche de politique que Macie peut créer. Si Macie a créé ou mis à jour un résultat de politique dans Security Hub CSPM le 28 janvier 2021 ou après cette date, le résultat possède l'une des valeurs suivantes pour le champ ASFF dans `Types` Security Hub CSPM.
| Type de recherche Macie | Type de résultat ASFF |
| --- | --- |
| Policy:IAMUser/S3BlockPublicAccessDisabled | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled |
| Policy:IAMUser/S3BucketEncryptionDisabled | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketEncryptionDisabled |
| Policy:IAMUser/S3BucketPublic | Effects/Data Exposure/Policy:IAMUser-S3BucketPublic |
| Policy:IAMUser/S3BucketReplicatedExternally | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketReplicatedExternally |
| Policy:IAMUser/S3BucketSharedExternally | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedExternally |
| Policy:IAMUser/S3BucketSharedWithCloudFront | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedWithCloudFront |
Si Macie a créé ou mis à jour pour la dernière fois une constatation de politique avant le 28 janvier 2021, la recherche possède l'une des valeurs suivantes pour le `Types` champ ASFF dans Security Hub CSPM :
+ Policy:IAMUser/S3BlockPublicAccessDisabled
+ Policy:IAMUser/S3BucketEncryptionDisabled
+ Policy:IAMUser/S3BucketPublic
+ Policy:IAMUser/S3BucketReplicatedExternally
+ Policy:IAMUser/S3BucketSharedExternally
Les valeurs de la liste précédente correspondent directement aux valeurs du champ **Type de recherche** (`type`) dans Macie.
**Remarques**
Lorsque vous examinez et traitez les conclusions relatives aux politiques dans Security Hub CSPM, notez les exceptions suivantes :
Dans certains cas Régions AWS, Macie a commencé à utiliser les types de résultats ASFF pour des découvertes nouvelles et mises à jour dès le 25 janvier 2021.
Si vous avez donné suite à une constatation de politique dans Security Hub CSPM avant que Macie ne commence à utiliser les types de recherche ASFF dans votre recherche Région AWS, la valeur du `Types` champ ASFF de la recherche sera l'un des types de recherche Macie de la liste précédente. Il ne s'agira pas de l'un des types de recherche ASFF du tableau précédent. Cela est vrai pour les conclusions de politique auxquelles vous avez donné suite à l'aide de la AWS Security Hub CSPM console ou du `BatchUpdateFindings` fonctionnement de l' AWS Security Hub CSPM API.
### Latence lors de la publication des résultats sur Security Hub CSPM
Lorsqu'Amazon Macie crée une nouvelle politique ou une nouvelle recherche de données sensibles, il publie la découverte AWS Security Hub CSPM immédiatement après avoir fini de la traiter.
Si Macie détecte une occurrence ultérieure d'une constatation de politique existante, il publie une mise à jour de cette constatation dans Security Hub CSPM. Le moment de la mise à jour dépend de la fréquence de publication que vous choisissez pour votre compte Macie. Par défaut, Macie publie des mises à jour toutes les 15 minutes. Pour plus d'informations, notamment pour savoir comment modifier les paramètres de votre compte, consultez[Configuration des paramètres de publication pour les résultats](findings-publish-frequency.md).
### Nouvelle tentative de publication lorsque Security Hub CSPM n'est pas disponible
Si AWS Security Hub CSPM ce n'est pas le cas, Amazon Macie crée une file de résultats qui n'ont pas été reçus par Security Hub CSPM. Lorsque le système est restauré, Macie tente à nouveau de publier jusqu'à ce que les résultats soient reçus par Security Hub CSPM.
### Mise à jour des résultats existants dans Security Hub CSPM
Une fois qu'Amazon Macie a publié une constatation de politique à AWS Security Hub CSPM, Macie la met à jour pour refléter toute occurrence supplémentaire de la recherche ou de l'activité de recherche. Macie le fait uniquement pour les conclusions relatives aux politiques. Macie ne met pas à jour les résultats relatifs aux données sensibles dans Security Hub CSPM. Contrairement aux conclusions relatives aux politiques, toutes les découvertes relatives aux données sensibles sont traitées comme nouvelles (uniques).
Lorsque Macie publie une mise à jour d'une constatation de politique, Macie met à jour la valeur du champ **Updated At** (`UpdatedAt`) de la constatation. Vous pouvez utiliser cette valeur pour déterminer à quel moment Macie a récemment détecté une occurrence ultérieure d'une violation potentielle de la politique ou du problème à l'origine de cette constatation.
Macie peut également mettre à jour la valeur du champ **Types** (`Types`) d'une recherche si la valeur existante du champ n'est pas un type de [recherche ASFF](#securityhub-integration-finding-types-policy). Cela dépend si vous avez donné suite à la constatation dans Security Hub CSPM. Si vous n'avez pas donné suite au résultat, Macie remplace la valeur du champ par le type de recherche ASFF approprié. Si vous avez donné suite au résultat, en utilisant la AWS Security Hub CSPM console ou en `BatchUpdateFindings` utilisant l' AWS Security Hub CSPM API, Macie ne modifie pas la valeur du champ.
## Exemples de découvertes de Macie dans AWS Security Hub CSPM
Lorsqu'Amazon Macie publie ses résultats sur AWS Security Hub CSPM, il utilise le format [ASFF (AWS Security Finding Format)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html). Il s'agit du format standard pour tous les résultats dans Security Hub CSPM. Les exemples suivants utilisent des exemples de données pour illustrer la structure et la nature des données de résultats que Macie publie sur Security Hub CSPM dans ce format :
+ [Exemple de découverte de données sensibles](#securityhub-integration-finding-example-sdf)
+ [Exemple de constatation relative à une politique](#securityhub-integration-finding-example-policy)
### Exemple de découverte de données sensibles dans Security Hub CSPM
Voici un exemple de découverte de données sensibles publiée par Macie sur Security Hub CSPM à l'aide de l'ASFF.
```
{
"SchemaVersion": "2018-10-08",
"Id": "5be50fce24526e670df77bc00example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types":[
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
],
"CreatedAt": "2022-05-11T10:23:49.667Z",
"UpdatedAt": "2022-05-11T10:23:49.667Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "The S3 object contains personal information.",
"Description": "The object contains personal information such as first or last names, addresses, or identification numbers.",
"ProductFields": {
"JobArn": "arn:aws:macie2:us-east-1:111122223333:classification-job/698e99c283a255bb2c992feceexample",
"S3Object.Path": "amzn-s3-demo-bucket/2022 Sourcing.tsv",
"S3Object.Extension": "tsv",
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"OriginType": "SENSITIVE_DATA_DISCOVERY_JOB",
"S3Object.PublicAccess": "false",
"S3Object.Size": "14",
"S3Object.StorageClass": "STANDARD",
"S3Bucket.allowsUnencryptedObjectUploads": "TRUE",
"JobId": "698e99c283a255bb2c992feceexample",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/5be50fce24526e670df77bc00example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-12-30T18:16:25.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"BlockPublicPolicy": true,
"IgnorePublicAcls": true,
"RestrictPublicBuckets": true
}
}
}
},
{
"Type": "AwsS3Object",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket/2022 Sourcing.tsv",
"Partition": "aws",
"Region": "us-east-1",
"DataClassification": {
"DetailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/111122223333/Macie/us-east-1/
698e99c283a255bb2c992feceexample/111122223333/32b8485d-4f3a-3aa1-be33-aa3f0example.jsonl.gz",
"Result":{
"MimeType": "text/tsv",
"SizeClassified": 14,
"AdditionalOccurrences": false,
"Status": {
"Code": "COMPLETE"
},
"SensitiveData": [
{
"Category": "PERSONAL_INFORMATION",
"Detections": [
{
"Count": 1,
"Type": "USA_SOCIAL_SECURITY_NUMBER",
"Occurrences": {
"Cells": [
{
"Column": 10,
"Row": 1,
"ColumnName": "Other"
}
]
}
}
],
"TotalCount": 1
}
],
"CustomDataIdentifiers": {
"Detections": [
],
"TotalCount": 0
}
}
},
"Details": {
"AwsS3Object": {
"LastModified": "2022-04-22T18:16:46.000Z",
"ETag": "ebe1ca03ee8d006d457444445example",
"VersionId": "SlBC72z5hArgexOJifxw_IN57example",
"ServerSideEncryption": "aws:kms",
"SSEKMSKeyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
]
},
"Sample": false,
"ProcessedAt": "2022-05-11T10:23:49.667Z"
}
```
### Exemple de recherche de politique dans Security Hub CSPM
Voici un exemple d'une nouvelle constatation de politique publiée par Macie sur Security Hub CSPM dans le cadre de l'ASFF.
```
{
"SchemaVersion": "2018-10-08",
"Id": "36ca8ba0-caf1-4fee-875c-37760example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
],
"CreatedAt": "2022-04-24T09:27:43.313Z",
"UpdatedAt": "2022-04-24T09:27:43.313Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "Block Public Access settings are disabled for the S3 bucket",
"Description": "All Amazon S3 block public access settings are disabled for the Amazon S3 bucket. Access to the bucket is
controlled only by access control lists (ACLs) or bucket policies.",
"ProductFields": {
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"S3Bucket.allowsUnencryptedObjectUploads": "FALSE",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/36ca8ba0-caf1-4fee-875c-37760example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Tags": {
"Team": "Recruiting",
"Division": "HR"
},
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-11-25T18:24:38.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": false,
"BlockPublicPolicy": false,
"IgnorePublicAcls": false,
"RestrictPublicBuckets": false
}
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
]
},
"Sample": false
}
```
## Intégrer Macie à AWS Security Hub CSPM
Pour intégrer Amazon Macie à AWS Security Hub CSPM, activez Security Hub CSPM pour votre. Compte AWS Pour savoir comment procéder, consultez la section [Enabling Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html) dans le guide de l'*AWS Security Hub utilisateur*.
Lorsque vous activez Macie et Security Hub CSPM, l'intégration est automatiquement activée. Par défaut, Macie commence à publier automatiquement les nouvelles conclusions relatives aux politiques mises à jour sur Security Hub CSPM. Il n'est pas nécessaire de prendre des mesures supplémentaires pour configurer l'intégration. Si vous avez des conclusions relatives aux politiques existantes lorsque l'intégration est activée, Macie ne les publie pas sur Security Hub CSPM. Macie publie plutôt uniquement les résultats des politiques qu'il crée ou met à jour une fois l'intégration activée.
Vous pouvez éventuellement personnaliser votre configuration en choisissant la fréquence à laquelle Macie publie les mises à jour des conclusions relatives aux politiques dans Security Hub CSPM. Vous pouvez également choisir de publier les résultats relatifs aux données sensibles sur Security Hub CSPM. Pour savoir comment procéder, consultez [Configuration des paramètres de publication pour les résultats](findings-publish-frequency.md).
## Arrêt de la publication des résultats de Macie à AWS Security Hub CSPM
Pour arrêter de publier les résultats d'Amazon Macie sur AWS Security Hub CSPM, vous pouvez modifier les paramètres de publication de votre compte Macie. Pour savoir comment procéder, consultez [Choix des destinations de publication pour les résultats](findings-publish-frequency.md#findings-publish-destinations-change). Vous pouvez également le faire en utilisant Security Hub CSPM. Pour savoir comment procéder, consultez la section [Désactivation du flux de résultats d'une intégration](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integration-disable.html) dans le *guide de l'AWS Security Hub utilisateur*.
# Schéma EventBridge d'événement Amazon pour les résultats de Macie
Pour faciliter l'intégration avec d'autres applications, services et systèmes, tels que les systèmes de surveillance ou de gestion des événements, Amazon Macie publie automatiquement les résultats sur Amazon EventBridge sous forme d'événements. EventBridge, anciennement Amazon CloudWatch Events, est un service de bus d'événements sans serveur qui fournit un flux de données en temps réel provenant d'applications et d'autres entités Services AWS à des cibles telles que AWS Lambda les fonctions, les rubriques Amazon Simple Notification Service et les flux Amazon Kinesis. Pour en savoir plus EventBridge, consultez le [guide de EventBridge l'utilisateur Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html).
**Note**
Si vous utilisez actuellement CloudWatch Events, notez que EventBridge et CloudWatch Events sont le même service sous-jacent et la même API. Cependant, il EventBridge inclut des fonctionnalités supplémentaires qui vous permettent de recevoir des événements provenant d'applications SaaS (Software as a Service) et de vos propres applications. Le service sous-jacent et l'API étant identiques, le schéma des événements pour les résultats de Macie est également le même.
Macie publie automatiquement des événements pour toutes les nouvelles découvertes et les occurrences ultérieures de conclusions de politiques existantes, à l'exception des conclusions qui sont archivées automatiquement par une [règle de suppression](findings-suppression.md). Les événements sont des objets JSON conformes au EventBridge schéma des AWS événements. Chaque événement contient une représentation JSON d'une découverte particulière. Les données étant structurées sous la forme d'un EventBridge événement, vous pouvez plus facilement surveiller, traiter et agir en fonction d'une découverte en utilisant d'autres applications, services et outils. Pour plus de détails sur comment et quand Macie publie des événements pour obtenir des résultats, voir[Configuration des paramètres de publication pour les résultats](findings-publish-frequency.md).
**Topics**
+ [Schéma d'événements pour les résultats de Macie](#findings-publish-event-schema)
+ [Exemple d'événement pour une constatation de politique](#findings-publish-event-example-policy)
+ [Exemple d'événement lié à la découverte de données sensibles](#findings-publish-event-example-classification)
## Schéma d'événements pour les résultats de Macie
L'exemple suivant montre le schéma d'un [ EventBridge événement Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html) pour une découverte Amazon Macie. Pour obtenir une description détaillée des champs qui peuvent être inclus dans un événement de recherche, consultez la section [Conclusions](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html) du manuel de référence des *API Amazon Macie*. La structure et les champs d'un événement de recherche correspondent étroitement à l'`Finding`objet de l'API Amazon Macie.
```
{
"version": "0",
"id": "event ID",
"detail-type": "Macie Finding",
"source": "aws.macie",
"account": "Compte AWS ID (string)",
"time": "event timestamp (string)",
"region": "Région AWS (string)",
"resources": [
<-- ARNs of the resources involved in the event -->
],
"detail": {
<-- Details of a policy or sensitive data finding -->
},
"policyDetails": null, <-- Additional details of a policy finding or null for a sensitive data finding -->
"sample": Boolean,
"archived": Boolean
}
```
## Exemple d'événement pour une constatation de politique
L'exemple suivant utilise des exemples de données pour démontrer la structure et la nature des objets et des champs lors d'un EventBridge événement Amazon afin de [déterminer une politique](findings-types.md#findings-policy-types). Dans cet exemple, l'événement signale une occurrence ultérieure d'une constatation de politique existante : Amazon Macie a détecté que les paramètres de blocage de l'accès public étaient désactivés pour un compartiment S3. Les champs et valeurs suivants peuvent vous aider à déterminer si tel est le cas :
+ Le champ `type` est défini sur `Policy:IAMUser/S3BlockPublicAccessDisabled`.
+ Les champs `updatedAt` et `createdAt` ont des valeurs différentes. Cela indique que l'événement signale une occurrence ultérieure d'une constatation de politique existante. Les valeurs de ces champs seraient identiques si l'événement signalait un nouveau résultat.
+ Le `count` champ est défini sur`2`, ce qui indique qu'il s'agit de la deuxième occurrence du résultat.
+ Le champ `category` est défini sur `POLICY`.
+ La valeur du champ `classificationDetails` est `null`, ce qui permet de différencier cet événement pour un résultat de stratégie d'un événement pour un résultat de données sensibles. Pour un résultat de données sensibles, cette valeur serait un ensemble d'objets et de champs fournissant des informations sur les données sensibles et sur la manière dont elles ont été trouvées.
Notez également que la valeur du champ `sample` est `true`. Cette valeur indique qu'il s'agit d'un exemple d'événement utilisé dans la documentation.
```
{
"version": "0",
"id": "0948ba87-d3b8-c6d4-f2da-732a1example",
"detail-type": "Macie Finding",
"source": "aws.macie",
"account": "123456789012",
"time": "2024-04-30T23:12:15Z",
"region":"us-east-1",
"resources": [],
"detail": {
"schemaVersion": "1.0",
"id": "64b917aa-3843-014c-91d8-937ffexample",
"accountId": "123456789012",
"partition": "aws",
"region": "us-east-1",
"type": "Policy:IAMUser/S3BlockPublicAccessDisabled",
"title": "Block public access settings are disabled for the S3 bucket",
"description": "All bucket-level block public access settings were disabled for the S3 bucket. Access to the bucket is controlled by account-level block public access settings, access control lists (ACLs), and the bucket’s bucket policy.",
"severity": {
"score": 3,
"description": "High"
},
"createdAt": "2024-04-29T15:46:02Z",
"updatedAt": "2024-04-30T23:12:15Z",
"count": 2,
"resourcesAffected": {
"s3Bucket": {
"arn": "arn:aws:s3:::amzn-s3-demo-bucket1",
"name": "amzn-s3-demo-bucket1",
"createdAt": "2020-04-03T20:46:56.000Z",
"owner":{
"displayName": "johndoe",
"id": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example"
},
"tags": [
{
"key": "Division",
"value": "HR"
},
{
"key": "Team",
"value": "Recruiting"
}
],
"defaultServerSideEncryption": {
"encryptionType": "aws:kms",
"kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"publicAccess": {
"permissionConfiguration": {
"bucketLevelPermissions": {
"accessControlList": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"bucketPolicy": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"blockPublicAccess": {
"ignorePublicAcls": false,
"restrictPublicBuckets": false,
"blockPublicAcls": false,
"blockPublicPolicy": false
}
},
"accountLevelPermissions": {
"blockPublicAccess": {
"ignorePublicAcls": true,
"restrictPublicBuckets": true,
"blockPublicAcls": true,
"blockPublicPolicy": true
}
}
},
"effectivePermission": "NOT_PUBLIC"
},
"allowsUnencryptedObjectUploads": "FALSE"
},
"s3Object": null
},
"category": "POLICY",
"classificationDetails": null,
"policyDetails": {
"action": {
"actionType": "AWS_API_CALL",
"apiCallDetails": {
"api": "PutBucketPublicAccessBlock",
"apiServiceName": "s3.amazonaws.com",
"firstSeen": "2024-04-29T15:46:02.401Z",
"lastSeen": "2024-04-30T23:12:15.401Z"
}
},
"actor": {
"userIdentity": {
"type": "AssumedRole",
"assumedRole": {
"principalId": "AROA1234567890EXAMPLE:AssumedRoleSessionName",
"arn": "arn:aws:sts::123456789012:assumed-role/RoleToBeAssumed/MySessionName",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": false,
"creationDate": "2024-04-29T10:25:43.511Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AROA1234567890EXAMPLE",
"arn": "arn:aws:iam::123456789012:role/RoleToBeAssumed",
"accountId": "123456789012",
"userName": "RoleToBeAssumed"
}
}
},
"root": null,
"iamUser": null,
"federatedUser": null,
"awsAccount": null,
"awsService": null
},
"ipAddressDetails":{
"ipAddressV4": "192.0.2.0",
"ipOwner": {
"asn": "-1",
"asnOrg": "ExampleFindingASNOrg",
"isp": "ExampleFindingISP",
"org": "ExampleFindingORG"
},
"ipCountry": {
"code": "US",
"name": "United States"
},
"ipCity": {
"name": "Ashburn"
},
"ipGeoLocation": {
"lat": 39.0481,
"lon": -77.4728
}
},
"domainDetails": null
}
},
"sample": true,
"archived": false
}
}
```
## Exemple d'événement lié à la découverte de données sensibles
L'exemple suivant utilise des exemples de données pour démontrer la structure et la nature des objets et des champs dans un EventBridge événement Amazon afin de [trouver des données sensibles](findings-types.md#findings-sensitive-data-types). Dans cet exemple, l'événement signale une nouvelle découverte de données sensibles : Amazon Macie a détecté plusieurs catégories et types de données sensibles dans un objet S3. Les champs et valeurs suivants peuvent vous aider à déterminer que c'est le cas :
+ Le champ `type` est défini sur `SensitiveData:S3Object/Multiple`.
+ Les champs `updatedAt` et `createdAt` ont les mêmes valeurs. Contrairement aux résultats de stratégie, c'est toujours le cas pour les résultats de données sensibles. Toutes les découvertes relatives à des données sensibles sont considérées comme nouvelles.
+ Le champ `count` est défini sur `1`, ce qui indique qu'il s'agit d'un nouveau résultat. Contrairement aux résultats de stratégie, c'est toujours le cas pour les résultats de données sensibles. Toutes les données sensibles découvertes sont considérées comme uniques (nouvelles).
+ Le champ `category` est défini sur `CLASSIFICATION`.
+ La valeur du champ `policyDetails` est `null`, ce qui permet de différencier cet événement pour un résultat de données sensibles d'un événement pour un résultat de stratégie. Pour une constatation de politique, cette valeur serait un ensemble d'objets et de champs fournissant des informations sur une violation potentielle des politiques ou un problème de sécurité ou de confidentialité d'un compartiment S3.
Notez également que la valeur du champ `sample` est `true`. Cette valeur indique qu'il s'agit d'un exemple d'événement utilisé dans la documentation.
```
{
"version": "0",
"id": "14ddd0b1-7c90-b9e3-8a68-6a408example",
"detail-type": "Macie Finding",
"source": "aws.macie",
"account": "123456789012",
"time": "2024-04-20T08:19:10Z",
"region": "us-east-1",
"resources": [],
"detail": {
"schemaVersion": "1.0",
"id": "4ed45d06-c9b9-4506-ab7f-18a57example",
"accountId": "123456789012",
"partition": "aws",
"region": "us-east-1",
"type": "SensitiveData:S3Object/Multiple",
"title": "The S3 object contains multiple categories of sensitive data",
"description": "The S3 object contains more than one category of sensitive data.",
"severity": {
"score": 3,
"description": "High"
},
"createdAt": "2024-04-20T18:19:10Z",
"updatedAt": "2024-04-20T18:19:10Z",
"count": 1,
"resourcesAffected": {
"s3Bucket": {
"arn": "arn:aws:s3:::amzn-s3-demo-bucket2",
"name": "amzn-s3-demo-bucket2",
"createdAt": "2020-05-15T20:46:56.000Z",
"owner": {
"displayName": "johndoe",
"id": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example"
},
"tags":[
{
"key":"Division",
"value":"HR"
},
{
"key":"Team",
"value":"Recruiting"
}
],
"defaultServerSideEncryption": {
"encryptionType": "aws:kms",
"kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"publicAccess": {
"permissionConfiguration": {
"bucketLevelPermissions": {
"accessControlList": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"bucketPolicy":{
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"blockPublicAccess": {
"ignorePublicAcls": true,
"restrictPublicBuckets": true,
"blockPublicAcls": true,
"blockPublicPolicy": true
}
},
"accountLevelPermissions": {
"blockPublicAccess": {
"ignorePublicAcls": false,
"restrictPublicBuckets": false,
"blockPublicAcls": false,
"blockPublicPolicy": false
}
}
},
"effectivePermission": "NOT_PUBLIC"
},
"allowsUnencryptedObjectUploads": "TRUE"
},
"s3Object":{
"bucketArn": "arn:aws:s3:::amzn-s3-demo-bucket2",
"key": "2024 Sourcing.csv",
"path": "amzn-s3-demo-bucket2/2024 Sourcing.csv",
"extension": "csv",
"lastModified": "2024-04-19T22:08:25.000Z",
"versionId": "",
"serverSideEncryption": {
"encryptionType": "aws:kms",
"kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"size": 4750,
"storageClass": "STANDARD",
"tags":[
{
"key":"Division",
"value":"HR"
},
{
"key":"Team",
"value":"Recruiting"
}
],
"publicAccess": false,
"etag": "6bb7fd4fa9d36d6b8fb8882caexample"
}
},
"category": "CLASSIFICATION",
"classificationDetails": {
"jobArn": "arn:aws:macie2:us-east-1:123456789012:classification-job/3ce05dbb7ec5505def334104bexample",
"jobId": "3ce05dbb7ec5505def334104bexample",
"result": {
"status": {
"code": "COMPLETE",
"reason": null
},
"sizeClassified": 4750,
"mimeType": "text/csv",
"additionalOccurrences": true,
"sensitiveData": [
{
"category": "PERSONAL_INFORMATION",
"totalCount": 65,
"detections": [
{
"type": "USA_SOCIAL_SECURITY_NUMBER",
"count": 30,
"occurrences": {
"lineRanges": null,
"offsetRanges": null,
"pages": null,
"records": null,
"cells": [
{
"row": 2,
"column": 1,
"columnName": "SSN",
"cellReference": null
},
{
"row": 3,
"column": 1,
"columnName": "SSN",
"cellReference": null
},
{
"row": 4,
"column": 1,
"columnName": "SSN",
"cellReference": null
}
]
}
},
{
"type": "NAME",
"count": 35,
"occurrences": {
"lineRanges": null,
"offsetRanges": null,
"pages": null,
"records": null,
"cells": [
{
"row": 2,
"column": 3,
"columnName": "Name",
"cellReference": null
},
{
"row": 3,
"column": 3,
"columnName": "Name",
"cellReference": null
}
]
}
}
]
},
{
"category": "FINANCIAL_INFORMATION",
"totalCount": 30,
"detections": [
{
"type": "CREDIT_CARD_NUMBER",
"count": 30,
"occurrences": {
"lineRanges": null,
"offsetRanges": null,
"pages": null,
"records": null,
"cells": [
{
"row": 2,
"column": 14,
"columnName": "CCN",
"cellReference": null
},
{
"row": 3,
"column": 14,
"columnName": "CCN",
"cellReference": null
}
]
}
}
]
}
],
"customDataIdentifiers": {
"totalCount": 0,
"detections": []
}
},
"detailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/123456789012/Macie/us-east-1/3ce05dbb7ec5505def334104bexample/d48bf16d-0deb-3e49-9d8c-d407cexample.jsonl.gz",
"originType": "SENSITIVE_DATA_DISCOVERY_JOB"
},
"policyDetails": null,
"sample": true,
"archived": false
}
}
```