Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Memantau dan memproses temuan Macie
Untuk mendukung integrasi dengan aplikasi, layanan, dan sistem lain, seperti pemantauan atau sistem manajemen acara, Amazon Macie secara otomatis menerbitkan kebijakan dan temuan data sensitif ke Amazon EventBridge sebagai peristiwa. Untuk dukungan tambahan dan analisis yang lebih luas tentang postur keamanan organisasi Anda, Anda dapat mengonfigurasi Macie untuk juga mempublikasikan kebijakan dan temuan data sensitif.AWS Security Hub CSPM
**Amazon EventBridge**
Amazon EventBridge, sebelumnya Amazon CloudWatch Events, adalah layanan bus acara tanpa server yang mengirimkan aliran data real-time dari aplikasi dan layanan, dan merutekan data tersebut ke target seperti fungsi, topik Layanan Pemberitahuan Sederhana Amazon AWS Lambda, dan aliran Amazon Kinesis. Dengan EventBridge, Anda dapat mengotomatiskan pemantauan dan pemrosesan jenis peristiwa tertentu, termasuk peristiwa yang diterbitkan Macie untuk temuan. Untuk mempelajari selengkapnya, lihat [Memproses temuan dengan Amazon EventBridge](findings-monitor-events-eventbridge.md).
Jika Anda berintegrasi Notifikasi Pengguna AWS dengan Macie, Anda juga dapat menggunakan EventBridge acara untuk secara otomatis menghasilkan pemberitahuan tentang peristiwa yang diterbitkan Macie untuk temuan. Dengan Notifikasi Pengguna, Anda membuat aturan khusus dan mengonfigurasi saluran pengiriman untuk menerima pemberitahuan tentang EventBridge peristiwa yang menarik. Saluran pengiriman termasuk email, Pengembang Amazon Q dalam aplikasi obrolan, dan pemberitahuan push di AWS Console Mobile Application. Anda juga dapat meninjau notifikasi di lokasi pusat di Konsol Manajemen AWS. Untuk mempelajari selengkapnya, lihat [Memantau temuan dengan Notifikasi Pengguna AWS](findings-monitor-events-uno.md).
**AWS Security Hub CSPM**
AWS Security Hub CSPM adalah layanan keamanan yang memberi Anda pandangan komprehensif tentang keadaan keamanan Anda di seluruh AWS lingkungan Anda. Ini mengumpulkan data keamanan dari Layanan AWS dan mendukung solusi AWS Partner Network keamanan, dan membantu Anda memeriksa lingkungan Anda terhadap standar industri keamanan dan praktik terbaik. Ini juga membantu Anda menganalisis tren keamanan dan mengidentifikasi masalah prioritas tinggi.
Dengan Security Hub CSPM, Anda dapat meninjau dan mengevaluasi temuan Macie sebagai bagian dari analisis yang lebih luas tentang postur keamanan organisasi Anda. Anda juga dapat mengumpulkan temuan dari beberapa Wilayah AWS, dan memantau serta memproses data temuan agregat dari satu Wilayah. Untuk mempelajari selengkapnya, lihat [Mengevaluasi temuan dengan AWS Security Hub CSPM](securityhub-integration.md).
Ketika Macie membuat temuan, secara otomatis menerbitkan temuan tersebut EventBridge sebagai acara baru. Bergantung pada pengaturan publikasi yang Anda pilih untuk akun Anda, Macie juga dapat mempublikasikan temuan tersebut ke Security Hub CSPM. Macie menerbitkan setiap temuan baru secepatnya setelah selesai memproses temuan. Jika Macie mendeteksi kejadian berikutnya dari temuan kebijakan yang ada, ia menerbitkan pembaruan ke EventBridge acara yang ada untuk temuan tersebut. Bergantung pada pengaturan publikasi Anda, Macie juga dapat mempublikasikan pembaruan ke Security Hub CSPM. Macie menerbitkan pembaruan ini secara berulang, menggunakan frekuensi publikasi yang Anda tentukan dalam pengaturan publikasi untuk akun Anda.
Selain opsi sebelumnya, Anda dapat melakukan kueri dan mengambil data temuan secara langsung dengan menggunakan Amazon Macie API. Amazon Macie API memberi Anda akses terprogram yang komprehensif ke data. Untuk menanyakan data, Anda dapat mengirim permintaan HTTPS langsung ke Macie atau menggunakan versi AWS SDK atau alat baris AWS perintah saat ini. Jika Anda menanyakan data, Macie mengembalikan hasilnya dalam respons JSON. Anda kemudian dapat meneruskan hasilnya ke layanan atau aplikasi lain untuk pemrosesan, pemantauan, atau pelaporan tambahan. Untuk informasi selengkapnya, lihat [Referensi API Amazon Macie](https://docs.aws.amazon.com/macie/latest/APIReference/welcome.html).
**Topics**
+ [Mengonfigurasi pengaturan publikasi untuk temuan](findings-publish-frequency.md)
+ [Memproses temuan dengan Amazon EventBridge](findings-monitor-events-eventbridge.md)
+ [Memantau temuan dengan Notifikasi Pengguna AWS](findings-monitor-events-uno.md)
+ [Mengevaluasi temuan dengan AWS Security Hub CSPM](securityhub-integration.md)
+ [Skema EventBridge acara Amazon untuk temuan](findings-publish-event-schemas.md)
# Mengkonfigurasi pengaturan publikasi untuk temuan Macie
Untuk mendukung integrasi dengan aplikasi, layanan, dan sistem lain, Amazon Macie secara otomatis menerbitkan temuan kebijakan dan temuan data sensitif ke Amazon EventBridge sebagai peristiwa. Untuk informasi tentang bagaimana Anda dapat menggunakan EventBridge untuk memantau dan memproses temuan, lihat[Memproses temuan dengan Amazon EventBridge](findings-monitor-events-eventbridge.md).
Anda dapat mengonfigurasi Macie untuk mempublikasikan temuan secara otomatis AWS Security Hub CSPM juga, menggunakan opsi tujuan yang Anda tentukan dalam pengaturan publikasi untuk akun Anda. Dengan opsi ini, Anda dapat mengonfigurasi Macie untuk hanya mempublikasikan temuan kebijakan, hanya temuan data sensitif, atau temuan data kebijakan dan sensitif ke CSPM Security Hub. Anda juga dapat mengonfigurasi Macie untuk berhenti mempublikasikan temuan apa pun ke Security Hub CSPM. Untuk informasi tentang bagaimana Anda dapat menggunakan Security Hub CSPM untuk mengevaluasi dan memproses temuan, lihat. [Mengevaluasi temuan dengan AWS Security Hub CSPM](securityhub-integration.md)
Untuk temuan kebijakan, waktu Macie menerbitkan temuan ke yang lain Layanan AWS tergantung pada apakah temuan itu baru dan frekuensi publikasi yang Anda tentukan untuk akun Anda. Untuk temuan data sensitif, waktu temuan selalu berada pada status segera—Macie segera menerbitkan temuan data sensitif setelah selesai memproses temuan. Tidak seperti temuan kebijakan, Macie memperlakukan semua temuan data sensitif sebagai baru (unik).
Perhatikan bahwa Macie tidak memublikasikan kebijakan atau temuan data sensitif yang diarsipkan secara otomatis oleh [aturan penekanan](findings-suppression.md). Dengan kata lain, Macie tidak mempublikasikan temuan yang ditekan kepada orang lain. Layanan AWS
**Topics**
+ [Memilih tujuan publikasi](#findings-publish-destinations-change)
+ [Mengubah frekuensi publikasi](#findings-publish-frequency-change)
## Memilih tujuan publikasi untuk temuan
Anda dapat mengonfigurasi Amazon Macie untuk secara otomatis mempublikasikan kebijakan dan temuan data sensitif AWS Security Hub CSPM selain Amazon. EventBridge Secara default, Macie hanya menerbitkan temuan kebijakan baru dan yang diperbarui ke Security Hub CSPM. Untuk mengubah atau memperluas konfigurasi default, sesuaikan pengaturan tujuan publikasi untuk akun Anda.
Saat menyesuaikan setelan tujuan, Anda memilih kategori temuan yang ingin dipublikasikan oleh Macie ke Security Hub CSPM—hanya temuan kebijakan, hanya temuan data sensitif, atau temuan data sensitif dan kebijakan. Anda juga dapat memilih untuk berhenti menerbitkan kategori temuan apa pun ke Security Hub CSPM.
Jika Anda mengubah pengaturan tujuan, perubahan Anda hanya berlaku untuk saat ini Wilayah AWS. Jika Anda adalah administrator Macie untuk sebuah organisasi, perubahan yang Anda lakukan hanya berlaku untuk akun Anda. Ini tidak berlaku untuk akun anggota mana pun di organisasi Anda. Untuk informasi selengkapnya, lihat [Mengelola beberapa akun](macie-accounts.md).
**Untuk memilih tujuan publikasi untuk temuan**
Ikuti langkah-langkah ini untuk mengubah pengaturan tujuan Anda dengan menggunakan konsol Amazon Macie. Untuk melakukan ini secara terprogram, gunakan [PutFindingsPublicationConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/findings-publication-configuration.html)pengoperasian Amazon Macie API.
1. Buka konsol Amazon Macie di. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. Pada panel navigasi, silakan pilih **Pengaturan**.
1. Di bagian **Publikasi temuan**, di bagian bawah **Tujuan** pilih salah satu opsi berikut:
+ **Publikasikan temuan kebijakan ke Security Hub CSPM** — Pilih kotak centang ini untuk mulai menerbitkan temuan kebijakan baru dan yang diperbarui ke Security Hub CSPM secara otomatis. Untuk menghentikan penerbitan temuan kebijakan baru dan yang diperbarui ke Security Hub CSPM, kosongkan kotak centang ini.
Jika Anda memilih kotak centang ini dan memiliki temuan kebijakan yang ada, Macie tidak mempublikasikannya ke Security Hub CSPM. Sebagai gantinya, Macie hanya menerbitkan temuan kebijakan yang dibuatnya atau diperbarui setelah Anda menyimpan perubahan.
+ **Publikasikan temuan data sensitif ke Security Hub CSPM** — Pilih kotak centang ini untuk mulai mempublikasikan temuan data sensitif baru ke Security Hub CSPM secara otomatis. Untuk menghentikan penerbitan temuan data sensitif baru ke Security Hub CSPM, kosongkan kotak centang ini.
Jika Anda memilih kotak centang ini dan Anda memiliki temuan data sensitif yang ada, Macie tidak mempublikasikannya ke Security Hub CSPM. Sebagai gantinya, Macie hanya menerbitkan temuan data sensitif yang dibuatnya setelah Anda menyimpan perubahan Anda.
1. Pilih **Simpan**.
Jika Anda memilih untuk mempublikasikan kategori temuan apa pun ke Security Hub CSPM, pastikan Anda juga mengaktifkan CSPM Security Hub di Wilayah saat ini dan mengonfigurasinya untuk menerima temuan dari Macie. Jika tidak, Anda tidak akan dapat mengakses temuan di Security Hub CSPM. *Untuk mempelajari cara menerima temuan di Security Hub CSPM, lihat [Memahami integrasi di Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-providers.html) di Panduan Pengguna.AWS Security Hub *
## Mengubah frekuensi publikasi untuk temuan
Di Amazon Macie, setiap temuan memiliki pengenal unik. Macie menggunakan pengenal ini untuk menentukan kapan harus mempublikasikan temuan ke yang lain: Layanan AWS
+ **Temuan baru** — Ketika Macie membuat temuan kebijakan baru atau data sensitif, Macie memberikan pengenal yang unik untuk temuan sebagai bagian dari pengolahan temuan. Segera setelah Macie selesai memproses temuan tersebut, ia menerbitkan temuan tersebut ke Amazon EventBridge sebagai acara baru. Bergantung pada pengaturan publikasi untuk akun Anda, Macie juga menerbitkan temuan tersebut sebagai temuan baru. AWS Security Hub CSPM
+ **Memutakhirkan temuan** — Ketika Macie mendeteksi kejadian berikutnya dari temuan kebijakan yang sudah ada, Macie melakukan pembaruan pada temuan yang sudah ada dengan menambahkan detail tentang kejadian berikutnya dan tambahan hitungan dari kejadian. Macie juga menerbitkan pembaruan ini ke EventBridge acara yang ada dan, tergantung pada pengaturan publikasi untuk akun Anda, temuan CSPM Security Hub yang ada. Secara default, Macie menerbitkan pembaruan setiap 15 menit sebagai bagian dari siklus publikasi berulang. Ini berarti setiap temuan kebijakan yang diperbarui setelah siklus publikasi terbaru akan diadakan, diperbarui lagi seperlunya, dan dimasukkan dalam siklus publikasi berikutnya (sekitar 15 menit kemudian).
Anda dapat mengubah frekuensi Macie menerbitkan pembaruan untuk temuan kebijakan yang ada di lain. Layanan AWS Misalnya, Anda dapat mengonfigurasi Macie untuk mempublikasikan pembaruan setiap jam. Jika Anda melakukan ini dan publikasi terjadi pada pukul 12:00, pembaruan apa pun yang terjadi setelah pukul 12:00 diterbitkan pada pukul 13:00.
Jika Anda mengubah frekuensi, perubahan Anda hanya berlaku untuk arus Wilayah AWS. Jika Anda administrator Macie untuk suatu organisasi, perubahan Anda juga berlaku untuk semua akun anggota di organisasi Anda. Untuk informasi selengkapnya, lihat [Mengelola beberapa akun](macie-accounts.md).
**Untuk mengubah frekuensi publikasi untuk temuan terbaru**
Ikuti langkah-langkah ini untuk mengubah frekuensi publikasi dengan menggunakan konsol Amazon Macie. Untuk melakukan ini secara terprogram, gunakan [UpdateMacieSession](https://docs.aws.amazon.com/macie/latest/APIReference/macie.html)pengoperasian Amazon Macie API.
1. Buka konsol Amazon Macie di. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. Pada panel navigasi, silakan pilih **Pengaturan**.
1. Di **bagian Publikasi temuan**, di bawah **Frekuensi pembaruan untuk temuan kebijakan**, pilih seberapa sering Anda ingin Macie mempublikasikan pembaruan temuan kebijakan di tempat lain Layanan AWS.
1. Pilih **Simpan**.
# Memproses temuan Macie dengan Amazon EventBridge
Amazon EventBridge, sebelumnya Amazon CloudWatch Events, adalah layanan bus acara tanpa server. EventBridge mengirimkan aliran data real-time dari aplikasi dan layanan, dan merutekan data tersebut ke target seperti AWS Lambda fungsi, topik Amazon Simple Notification Service (Amazon SNS), dan aliran Amazon Kinesis. Untuk mempelajari selengkapnyaEventBridge, lihat [Panduan EventBridge Pengguna Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html).
Dengan EventBridge, Anda dapat mengotomatiskan pemantauan dan pemrosesan jenis acara tertentu. Ini termasuk peristiwa yang Amazon Macie publikasikan secara otomatis untuk temuan kebijakan baru dan temuan data sensitif. Ini juga mencakup peristiwa yang dipublikasikan oleh Macie secara otomatis untuk kejadian berikutnya dari temuan kebijakan yang ada. Untuk detail tentang cara dan waktu Macie memublikasikan peristiwa ini, lihat [Mengonfigurasi pengaturan publikasi untuk temuan](findings-publish-frequency.md).
Dengan menggunakan EventBridge dan peristiwa yang diterbitkan Macie untuk temuan, Anda dapat memantau dan memproses temuan dalam waktu dekat. Anda kemudian dapat bertindak berdasarkan temuan dengan menggunakan aplikasi dan layanan lain. Misalnya, Anda mungkin menggunakannya EventBridge untuk mengirim jenis temuan baru tertentu ke suatu AWS Lambda fungsi. Fungsi Lambda kemudian dapat memproses dan mengirim data ke sistem insiden keamanan dan manajemen kejadian (SIEM) Anda. Jika Anda [berintegrasi Notifikasi Pengguna AWS dengan Macie](findings-monitor-events-uno.md), Anda juga dapat menggunakan acara untuk diberitahu tentang temuan secara otomatis melalui saluran pengiriman yang Anda tentukan.
Selain pemantauan dan pemrosesan otomatis, penggunaan EventBridge memungkinkan retensi jangka panjang dari data temuan Anda. Macie menyimpan temuan selama 90 hari. Dengan EventBridge, Anda dapat mengirim data temuan ke platform penyimpanan pilihan Anda dan menyimpan data selama yang Anda suka.
**catatan**
Untuk retensi jangka panjang, konfigurasikan juga Macie untuk menyimpan hasil penemuan data sensitif Anda dalam bucket S3. *Hasil penemuan data sensitif* adalah catatan yang berisi log detail tentang analisis yang dilakukan oleh Macie pada objek S3 untuk menentukan apakah objek tersebut berisi data sensitif. Untuk mempelajari selengkapnya, lihat [Menyimpan dan mempertahankan hasil penemuan data sensitif](discovery-results-repository-s3.md).
**Topics**
+ [Bekerja dengan EventBridge](#findings-monitor-events-eventbridge-overview)
+ [Membuat EventBridge aturan untuk temuan](#findings-monitor-events-eventbridge-rule-cli)
## Bekerja dengan Amazon EventBridge
Dengan Amazon EventBridge, Anda membuat aturan untuk menentukan peristiwa mana yang ingin Anda pantau dan target mana yang ingin Anda lakukan tindakan otomatis untuk peristiwa tersebut. *Target* adalah tujuan yang EventBridge mengirimkan acara ke.
Untuk mengotomatiskan pemantauan dan pemrosesan tugas untuk temuan, Anda dapat membuat EventBridge aturan yang secara otomatis mendeteksi peristiwa pencarian Amazon Macie dan mengirimkan peristiwa tersebut ke aplikasi atau layanan lain untuk diproses atau tindakan lainnya. Anda dapat menyesuaikan aturan untuk mengirim hanya peristiwa yang memenuhi kriteria tertentu. Untuk melakukan ini, tentukan kriteria yang berasal dari. [Skema EventBridge acara Amazon untuk temuan Macie](findings-publish-event-schemas.md)
Misalnya, Anda dapat membuat aturan yang mengirimkan tipe temuan baru tertentu ke fungsi AWS Lambda . Fungsi Lambda kemudian dapat melakukan tugas-tugas seperti: memproses dan mengirim data ke sistem SIEM Anda; secara otomatis menerapkan jenis enkripsi sisi server tertentu ke objek S3; atau, membatasi akses ke objek S3 dengan mengubah daftar kontrol akses objek (ACL). Atau Anda dapat membuat aturan yang secara otomatis mengirimkan temuan tingkat kepelikan tinggi baru ke topik Amazon SNS, yang kemudian memberi tahu tim respons insiden Anda tentang temuan tersebut.
Selain menjalankan fungsi Lambda dan memberi tahu EventBridge topik Amazon SNS, mendukung jenis target dan tindakan lainnya, seperti menyampaikan peristiwa ke AWS Step Functions aliran Amazon Kinesis, mengaktifkan mesin status, dan menjalankan perintah run. AWS Systems Manager Untuk informasi tentang target yang didukung, lihat [Target bus acara](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html) di *Panduan EventBridge Pengguna Amazon*.
## Membuat EventBridge aturan Amazon untuk temuan Macie
Prosedur berikut menjelaskan cara menggunakan EventBridge konsol Amazon dan [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) untuk membuat EventBridge aturan untuk temuan Amazon Macie. Aturan mendeteksi EventBridge peristiwa yang menggunakan skema dan pola peristiwa untuk temuan Macie, dan mengirimkan peristiwa tersebut ke AWS Lambda fungsi untuk diproses.
AWS Lambda adalah layanan komputasi yang dapat Anda gunakan untuk menjalankan kode tanpa menyediakan atau mengelola server. Anda mengemas kode Anda dan mengunggahnya AWS Lambda sebagai fungsi *Lambda*. AWS Lambda kemudian menjalankan fungsi ketika fungsi dipanggil. Fungsi dapat dipanggil secara manual oleh Anda, secara otomatis dalam respons terhadap peristiwa, atau dalam merespons atas permintaan dari aplikasi atau layanan. Untuk informasi tentang membuat dan memanggil fungsi Lambda, lihat [Panduan Developer AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html).
------
#### [ Console ]
Ikuti langkah-langkah berikut untuk menggunakan EventBridge konsol Amazon untuk membuat aturan yang secara otomatis mengirimkan semua peristiwa pencarian Macie ke fungsi Lambda untuk diproses. Aturan menggunakan pengaturan default untuk aturan yang berjalan saat peristiwa tertentu diterima. Untuk detail tentang setelan aturan atau mempelajari cara membuat aturan yang menggunakan setelan khusus, lihat [Membuat aturan yang bereaksi terhadap peristiwa](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) di *Panduan EventBridge Pengguna Amazon*.
**Tip**
Anda juga dapat membuat aturan yang menggunakan pola kustom untuk mendeteksi dan hanya bertindak atas subset dari peristiwa temuan Macie. Subset ini dapat didasarkan pada bidang tertentu yang Macie sertakan dalam peristiwa temuan. Untuk mempelajari bidang yang tersedia, lihat [Skema EventBridge acara Amazon untuk temuan Macie](findings-publish-event-schemas.md). Untuk mempelajari cara menggunakan pola kustom dalam aturan, lihat [Membuat pola peristiwa](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-pattern.html) di *Panduan EventBridge Pengguna Amazon*.
Sebelum Anda membuat aturan ini, buat fungsi Lambda yang Anda inginkan aturan tersebut digunakan sebagai target. Saat Anda membuat aturan tersebut, Anda harus menentukan fungsi ini sebagai target aturan.
**Untuk membuat aturan peristiwa dengan menggunakan konsol tersebut**
1. Buka EventBridge konsol Amazon di [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Di panel navigasi, di bawah **Bus**, pilih **Aturan**.
1. Di bagian **Aturan**, pilih **Buat aturan**.
1. Pada halaman **Define rule detail**, lakukan hal berikut:
+ Untuk **Nama**, masukkan nama untuk aturan.
+ (Opsional) Untuk **Deskripsi**, masukkan deskripsi singkat tentang aturan.
+ Untuk **bus Acara**, pastikan bahwa **default** dipilih dan **Aktifkan aturan pada bus acara yang dipilih** diaktifkan.
+ Untuk **Tipe aturan**, pilih **Aturan dengan pola peristiwa**.
1. Setelah selesai, pilih **Selanjutnya**.
1. Pada halaman **pola acara Build**, lakukan hal berikut:
+ Untuk **sumber Acara**, pilih **AWS acara atau acara EventBridge mitra**.
+ (Opsional) Untuk **acara Sampel**, tinjau peristiwa pencarian sampel untuk Macie untuk mempelajari apa yang mungkin terkandung dalam suatu peristiwa. Untuk melakukan ini, pilih **AWS acara**. Kemudian, untuk **acara Contoh**, pilih **Macie Finding**.
+ Untuk **metode Creation**, pilih **Gunakan formulir pola**.
+ Untuk **pola Acara**, masukkan pengaturan berikut:
+ Untuk **Sumber peristiwa**, pilih **Layanan AWS**.
+ Untuk **Layanan AWS**, pilih **Macie**.
+ Untuk **Tipe kejadian**, pilih **Temuan Macie**.
1. Setelah selesai, pilih **Selanjutnya**.
1. Pada halaman **Pilih target**, lakukan hal berikut:
+ Untuk **Tipe target**, pilih **Layanan AWS**.
+ Untuk **Pilih target**, pilih **Fungsi Lambda**. Kemudian, untuk **Fungsi**, pilih fungsi Lambda yang ingin Anda kirimi acara pencarian.
+ Untuk **Konfigurasi versi/alias**, masukkan pengaturan versi dan alias untuk fungsi Lambda target.
+ (Opsional) Untuk **Pengaturan tambahan**, masukkan pengaturan khusus untuk menentukan data peristiwa mana yang ingin Anda kirim ke fungsi Lambda. Anda juga dapat menentukan cara menangani peristiwa yang tidak berhasil dikirim ke fungsi.
1. Setelah selesai, pilih **Selanjutnya**.
1. Pada halaman **Konfigurasi tag**, secara opsional masukkan satu atau beberapa tag untuk ditetapkan ke aturan. Lalu pilih **Selanjutnya**.
1. Pada halaman **Tinjau dan buat**, tinjau setelan aturan dan verifikasi apakah sudah benar.
Untuk mengubah pengaturan, pilih **Edit** di bagian yang berisi pengaturan, lalu masukkan pengaturan yang benar. Anda juga dapat menggunakan tab navigasi untuk membuka halaman yang berisi pengaturan.
1. Setelah selesai memverifikasi pengaturan, pilih **Buat aturan**.
------
#### [ AWS CLI ]
Ikuti langkah-langkah ini untuk menggunakan aturan AWS CLI untuk membuat EventBridge aturan yang mengirimkan semua peristiwa pencarian Macie ke fungsi Lambda untuk diproses. Aturan menggunakan pengaturan default untuk aturan yang berjalan saat peristiwa tertentu diterima. Dalam prosedur ini, perintah diformat untuk Microsoft Windows. Untuk Linux, macOS, atau Unix, ganti karakter kelanjutan baris tanda sisipan (^) dengan garis miring terbalik (\$1).
Sebelum Anda membuat aturan ini, buat fungsi Lambda yang Anda inginkan aturannya untuk digunakan sebagai target. Ketika Anda membuat fungsi, perhatikan Amazon Resource Name (ARN) dari fungsi tersebut. Anda harus memasukkan ARN ini ketika Anda menentukan target untuk aturan.
**Untuk membuat aturan acara dengan menggunakan AWS CLI**
1. Buat aturan yang mendeteksi peristiwa untuk semua temuan yang diterbitkan Macie. EventBridge Untuk melakukan ini, jalankan perintah EventBridge [put-rule](https://docs.aws.amazon.com/cli/latest/reference/events/put-rule.html). Contoh:
```
C:\> aws events put-rule ^
--name MacieFindings ^
--event-pattern "{\"source\":[\"aws.macie\"]}"
```
Di *MacieFindings* mana nama yang Anda inginkan untuk aturan tersebut.
**Tip**
Anda juga dapat membuat aturan yang menggunakan pola kustom (`event-pattern`) untuk mendeteksi dan menindaklanjuti hanya sebagian dari peristiwa pencarian Macie. Subset ini dapat didasarkan pada bidang tertentu yang Macie sertakan dalam peristiwa temuan. Untuk mempelajari bidang yang tersedia, lihat [Skema EventBridge acara Amazon untuk temuan Macie](findings-publish-event-schemas.md). Untuk mempelajari cara menggunakan pola kustom dalam aturan, lihat [Membuat pola peristiwa](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-pattern.html) di *Panduan EventBridge Pengguna Amazon*.
Jika perintah berjalan dengan sukses, EventBridge merespons dengan ARN aturan. Perhatikan ARN ini. Anda harus memasukkannya pada langkah 3.
1. Tentukan fungsi Lambda yang akan digunakan sebagai target aturan. Untuk melakukan ini, jalankan perintah EventBridge [put-target](https://docs.aws.amazon.com/cli/latest/reference/events/put-targets.html). Contoh:
```
C:\> aws events put-targets ^
--rule MacieFindings ^
--targets Id=1,Arn=arn:aws:lambda:regionalEndpoint:accountID:function:my-findings-function
```
Di *MacieFindings* mana nama yang Anda tentukan untuk aturan di langkah 1, dan nilai untuk `Arn` parameter adalah ARN dari fungsi yang Anda inginkan aturan untuk digunakan sebagai target.
1. Tambahkan izin yang memungkinkan aturan untuk memanggil fungsi Lambda target. Untuk melakukan ini, jalankan perintah [add-permission](https://docs.aws.amazon.com/cli/latest/reference/lambda/add-permission.html) Lambda. Contoh:
```
C:\> aws lambda add-permission ^
--function-name my-findings-function ^
--statement-id Sid ^
--action lambda:InvokeFunction ^
--principal events.amazonaws.com ^
--source-arn arn:aws:events:regionalEndpoint:accountId:rule:MacieFindings
```
Di mana:
+ *my-findings-function*adalah nama fungsi Lambda yang Anda inginkan aturan untuk digunakan sebagai target.
+ *Sid*adalah pengidentifikasi pernyataan yang Anda definisikan untuk menggambarkan pernyataan dalam kebijakan fungsi Lambda.
+ `source-arn`adalah ARN dari aturan tersebut. EventBridge
Jika perintah berhasil berjalan, Anda akan menerima output yang sama dengan yang berikut ini:
```
{
"Statement": "{\"Sid\":\"sid\",
\"Effect\":\"Allow\",
\"Principal\":{\"Service\":\"events.amazonaws.com\"},
\"Action\":\"lambda:InvokeFunction\",
\"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:my-findings-function\",
\"Condition\":
{\"ArnLike\":
{\"AWS:SourceArn\":
\"arn:aws:events:us-east-1:111122223333:rule/MacieFindings\"}}}"
}
```
Nilai `Statement` adalah versi string JSON dari pernyataan yang ditambahkan ke kebijakan fungsi Lambda.
------
# Memantau temuan Macie dengan Notifikasi Pengguna AWS
Notifikasi Pengguna AWS adalah layanan yang bertindak sebagai lokasi pusat untuk AWS notifikasi Anda di Konsol Manajemen AWS. Ini termasuk pemberitahuan seperti CloudWatch alarm Amazon, AWS Dukungan kasing, dan komunikasi dari orang lain Layanan AWS. Dengan Notifikasi Pengguna, Anda dapat mengonfigurasi aturan khusus dan saluran pengiriman untuk menerima pemberitahuan tentang jenis EventBridge peristiwa Amazon tertentu. Saluran pengiriman termasuk email, Pengembang Amazon Q dalam aplikasi obrolan, dan pemberitahuan push di AWS Console Mobile Application. Anda juga dapat meninjau notifikasi di Notifikasi Pengguna AWS konsol. Untuk mempelajari selengkapnya Notifikasi Pengguna, lihat [Panduan Notifikasi Pengguna AWS Pengguna](https://docs.aws.amazon.com/notifications/latest/userguide/what-is-service.html).
Amazon Macie terintegrasi dengan Notifikasi Pengguna AWS, yang berarti Anda dapat mengonfigurasi Notifikasi Pengguna untuk memberi tahu Anda tentang peristiwa yang dipublikasikan Macie EventBridge untuk kebijakan dan temuan data sensitif. Jika peristiwa temuan cocok dengan kriteria yang Anda tentukan, Notifikasi Pengguna buat notifikasi. Pemberitahuan mencakup detail kunci dari temuan terkait, seperti jenis dan tingkat keparahan temuan, dan nama sumber daya yang terpengaruh. Notifikasi Pengguna juga dapat mengirim notifikasi ke satu atau beberapa saluran pengiriman yang Anda tentukan. Anda dapat menyesuaikan pilihan saluran pengiriman agar selaras dengan alur kerja keamanan dan kepatuhan Anda.
Misalnya, Anda dapat mengonfigurasi Notifikasi Pengguna untuk menghasilkan notifikasi untuk jenis temuan baru dan tingkat keparahan tinggi tertentu. Anda juga dapat menentukan Pengembang Amazon Q di aplikasi obrolan sebagai saluran pengiriman untuk notifikasi tersebut. Notifikasi Pengguna kemudian mendeteksi EventBridge peristiwa untuk temuan, menghasilkan pemberitahuan yang menyertakan data dari temuan, dan mengirimkan pemberitahuan ke Pengembang Amazon Q di aplikasi obrolan. Pengembang Amazon Q dalam aplikasi obrolan kemudian dapat merutekan notifikasi ke saluran Slack atau ruang obrolan Amazon Chime untuk memberi tahu tim respons insiden Anda.
**Topics**
+ [Bekerja dengan Notifikasi Pengguna AWS](#findings-monitor-events-uno-overview)
+ [Mengaktifkan dan mengonfigurasi notifikasi untuk temuan](#findings-monitor-events-uno-configure)
+ [Memetakan bidang notifikasi untuk menemukan bidang](#findings-monitor-events-uno-schema)
+ [Mengubah setelan notifikasi untuk temuan](#findings-monitor-events-uno-change)
+ [Menonaktifkan notifikasi untuk temuan](#findings-monitor-events-uno-disable)
## Bekerja dengan Notifikasi Pengguna AWS
Dengan Notifikasi Pengguna AWS, Anda membuat aturan untuk menentukan jenis EventBridge acara Amazon yang ingin Anda pantau dan terima notifikasi. Aturan mendefinisikan kriteria bahwa suatu EventBridge peristiwa harus cocok untuk menghasilkan pemberitahuan. Anda juga dapat memilih satu atau lebih saluran pengiriman untuk suatu aturan. Saluran pengiriman menentukan tempat Anda ingin menerima pemberitahuan untuk acara yang sesuai dengan kriteria aturan.
Jika Notifikasi Pengguna mendeteksi EventBridge peristiwa yang cocok dengan kriteria aturan, ia melakukan tugas umum berikut:
1. Mengekstrak subset data dari acara tersebut.
1. Menghasilkan notifikasi yang berisi data yang diekstraksi.
1. Mengirim notifikasi ke saluran pengiriman yang Anda tentukan untuk jenis acara tersebut.
Desain dan struktur notifikasi dioptimalkan untuk setiap saluran pengiriman yang dikirimkan.
Untuk mengontrol frekuensi atau jumlah notifikasi yang Anda terima, Anda dapat mengonfigurasi pengaturan agregasi untuk suatu aturan. Jika Anda mengaktifkan pengaturan ini, Notifikasi Pengguna gabungkan data untuk beberapa acara menjadi satu pemberitahuan. Anda dapat memilih untuk mengirim pemberitahuan acara agregat dengan cepat dan sering, yang mungkin ingin Anda lakukan untuk menemukan acara dengan tingkat keparahan tinggi. Atau kirim mereka lebih jarang untuk menerima lebih sedikit pemberitahuan, yang mungkin ingin Anda lakukan untuk acara pencarian tingkat keparahan rendah. Jika Anda menggabungkan data peristiwa, Anda dapat menelusuri untuk meninjau detail setiap peristiwa gabungan menggunakan Notifikasi Pengguna AWS konsol. Dari sana, Anda juga dapat menavigasi ke setiap temuan terkait di konsol Amazon Macie.
## Mengaktifkan dan mengonfigurasi temuan Notifikasi Pengguna AWS Macie
Untuk mengaktifkan pemberitahuan Notifikasi Pengguna AWS untuk temuan Amazon Macie, buat konfigurasi notifikasi untuk Macie di. Notifikasi Pengguna*Konfigurasi notifikasi* menentukan kriteria untuk aturan. Ini juga menentukan saluran pengiriman dan pengaturan lain untuk memantau dan mengirim pemberitahuan tentang EventBridge peristiwa Amazon yang sesuai dengan kriteria aturan. Untuk informasi mendetail tentang membuat konfigurasi notifikasi, lihat [Memulai Notifikasi Pengguna AWS](https://docs.aws.amazon.com/notifications/latest/userguide/getting-started.html) di *Panduan Notifikasi Pengguna AWS Pengguna*.
Untuk membuat konfigurasi notifikasi untuk temuan Macie, pilih opsi berikut untuk aturan acara:
+ Untuk **Layanan AWS nama**, pilih **Macie**.
+ Untuk **Tipe kejadian**, pilih **Temuan Macie**.
+ Untuk **Wilayah**, pilih masing-masing Wilayah AWS di mana Anda menggunakan Macie dan ingin diberitahu tentang temuan.
Dengan konfigurasi ini, Notifikasi Pengguna memantau EventBridge peristiwa untuk Anda Akun AWS dan menghasilkan notifikasi untuk semua peristiwa pencarian Macie di Wilayah yang Anda pilih. Acara sesuai dengan kriteria berikut:
+ `source`sama `aws.macie`
+ `detail-type`sama `Macie Finding`
Pola JSON yang mendasari aturan event adalah:
```
{
"source": ["aws.macie"],
"detail-type": ["Macie Finding"]
}
```
Untuk menyempurnakan aturan dan menghasilkan notifikasi hanya untuk subset temuan, Anda dapat menyesuaikan pola JSON untuk aturan tersebut. Untuk melakukan ini, tentukan kriteria tambahan yang berasal dari. [Skema EventBridge acara Amazon untuk temuan Macie](findings-publish-event-schemas.md)
Jika Anda membuat aturan yang menggunakan pola JSON kustom, Anda dapat membuat beberapa konfigurasi notifikasi untuk temuan Macie. Anda kemudian dapat menyesuaikan saluran pengiriman dan pengaturan lainnya untuk setiap konfigurasi agar selaras dengan alur kerja keamanan dan kepatuhan Anda untuk jenis temuan tertentu.
Misalnya, Anda dapat membuat satu aturan yang memberi tahu Anda jika Macie membuat atau memperbarui temuan. *Policy:IAMUser/S3BucketPublic* Dalam hal ini, pola aturan mungkin:
```
{
"source": ["aws.macie"],
"detail-type": ["Macie Finding"],
"detail": {
"type": ["Policy:IAMUser/S3BucketPublic"]
}
}
```
Dan Anda dapat membuat aturan lain yang memberi tahu Anda jika Macie menghasilkan temuan data sensitif untuk bucket S3 yang dapat diakses publik. Dalam hal ini, pola aturan mungkin:
```
{
"source": ["aws.macie"],
"detail-type": ["Macie Finding"],
"detail": {
"type": [ { "prefix": "SensitiveData" } ],
"resourcesAffected": {
"effectivePermission": ["PUBLIC"]
}
}
}
```
Jika Anda membuat beberapa konfigurasi notifikasi untuk temuan Macie, sebaiknya pastikan aturan untuk setiap konfigurasi unik. Jika tidak, Anda mungkin menerima pemberitahuan duplikat untuk temuan individu.
Untuk mempelajari lebih lanjut tentang menyesuaikan pola peristiwa untuk aturan, lihat [Menggunakan pola peristiwa JSON yang disesuaikan](https://docs.aws.amazon.com/notifications/latest/userguide/common-usecases.html) di *Notifikasi Pengguna AWS Panduan Pengguna*.
## Memetakan Notifikasi Pengguna AWS bidang ke bidang pencarian Macie
Saat Notifikasi Pengguna AWS menghasilkan notifikasi untuk penemuan Amazon Macie, itu mengisi notifikasi dengan data dari subset bidang di acara Amazon yang sesuai. EventBridge Bidang ini memberikan rincian kunci dari temuan terkait, seperti jenis dan tingkat keparahan temuan, dan nama sumber daya yang terpengaruh.
Jika Anda meninjau notifikasi di Notifikasi Pengguna AWS konsol, notifikasi mencakup semua data untuk subset bidang ini. Ini juga menyediakan tautan ke temuan terkait di konsol Amazon Macie. Jika Anda meninjau notifikasi di saluran pengiriman lain, pemberitahuan tersebut mungkin berisi data hanya untuk beberapa bidang. Ini karena Notifikasi Pengguna menyesuaikan desain dan struktur notifikasinya agar berfungsi dengan setiap jenis saluran pengiriman yang didukungnya.
Tabel berikut mencantumkan bidang yang mungkin disertakan dalam pemberitahuan untuk temuan. Dalam tabel, kolom **bidang Pemberitahuan** menjelaskan (dalam *huruf miring*) atau menunjukkan nama bidang dalam pemberitahuan. Kolom **bidang Finding event** menggunakan notasi titik untuk menunjukkan nama bidang JSON yang sesuai dalam suatu EventBridge peristiwa untuk temuan. Kolom **Deskripsi** menjelaskan data yang disimpan di bidang.
| Bidang pemberitahuan | Menemukan bidang acara | Deskripsi |
| --- | --- | --- |
| *Judul pesan* | `detail.type` | Jenis temuannya. Misalnya: `Policy:IAMUser/S3BucketPublic` atau `SensitiveData:S3Object/Financial`. |
| Ringkasan | `detail.title` | Deskripsi singkat dari temuan tersebut. Misalnya: `The S3 object contains financial information.` |
| Deskripsi | `detail.description` | Deskripsi lengkap dari temuan tersebut. Misalnya: `The S3 object contains financial information such as bank account numbers or credit card numbers.` |
| Kepelikan | `detail.severity.description` | Representasi kualitatif dari tingkat keparahan temuan:`Low`,`Medium`, atau`High`. |
| ID Temuan | `detail.id` | Pengenal unik untuk temuan. |
| Dibuat | `detail.createdAt` | Tanggal dan waktu ketika Macie menciptakan temuan. |
| Diperbarui | `detail.updatedAt` | Tanggal dan waktu ketika Macie baru-baru ini memperbarui temuan. Untuk temuan data sensitif, nilai ini sama dengan nilai untuk bidang *Created* (`detail.createdAt`). Semua temuan data sensitif dianggap baru (unik). |
| Ember S3 yang terpengaruh | `detail.resourcesAffected.s3Bucket.arn` | Nama Sumber Daya Amazon (ARN) dari bucket S3 yang terpengaruh. |
| Objek S3 yang terpengaruh | `detail.resourcesAffected.s3Object.path` | Nama (*kunci*) objek S3 yang terpengaruh, termasuk nama bucket yang menyimpan objek dan, jika berlaku, awalan objek. Bidang ini tidak termasuk dalam pemberitahuan untuk temuan kebijakan. |
| *Deteksi data sensitif* | `detail.classificationDetails.result.sensitiveData.detections...` Dan/atau `detail.classificationDetails.result.customDataIdentifiers.detections...` | Ini adalah gabungan dari beberapa bidang dalam suatu peristiwa untuk penemuan data sensitif. Bidang ini tidak termasuk dalam pemberitahuan untuk temuan kebijakan. Jika pengenal data terkelola mendeteksi data sensitif, bidang ini menentukan kategori, tipe, dan nomor (`count`) kemunculan data sensitif yang terdeteksi. Sebagai contoh: `PERSONAL_INFORMATION: USA_SOCIAL_SECURITY_NUMBER 100 occurrences`. Jika pengidentifikasi data kustom mendeteksi data sensitif, bidang ini menentukan nama pengenal data kustom dan nomor (`count`) kemunculan data sensitif yang terdeteksi. Sebagai contoh: `Employee ID 20 occurrences`. Jika temuan melaporkan beberapa jenis data sensitif, notifikasi mencakup data hingga empat jenis. Data diisi terlebih dahulu oleh pengidentifikasi data kustom yang berlaku dan kemudian oleh pengidentifikasi data terkelola yang berlaku. |
## Mengubah Notifikasi Pengguna AWS pengaturan untuk temuan Macie
Anda dapat mengubah Notifikasi Pengguna AWS pengaturan untuk temuan Amazon Macie kapan saja. Untuk melakukan ini, edit konfigurasi notifikasi di Notifikasi Pengguna. Untuk mempelajari caranya, lihat [Mengelola konfigurasi notifikasi](https://docs.aws.amazon.com/notifications/latest/userguide/managing-notifications.html) di *Panduan Notifikasi Pengguna AWS Pengguna*.
Jika Anda memiliki beberapa konfigurasi notifikasi untuk temuan Macie, mengubah pengaturan untuk satu konfigurasi tidak memengaruhi pengaturan untuk konfigurasi Anda yang lain. Anda dapat mengedit semua atau hanya beberapa konfigurasi Anda.
## Menonaktifkan temuan Notifikasi Pengguna AWS Macie
Untuk berhenti membuat dan menerima notifikasi dari Notifikasi Pengguna AWS temuan Amazon Macie, hapus konfigurasi notifikasi di. Notifikasi Pengguna Untuk mempelajari caranya, lihat [Mengelola konfigurasi notifikasi](https://docs.aws.amazon.com/notifications/latest/userguide/managing-notifications.html) di *Panduan Notifikasi Pengguna AWS Pengguna*.
Jika Anda memiliki beberapa konfigurasi notifikasi untuk temuan Macie, penghapusan satu konfigurasi tidak memengaruhi konfigurasi Anda yang lain. Anda dapat menghapus semua atau hanya beberapa konfigurasi Anda.
# Mengevaluasi temuan Macie dengan AWS Security Hub CSPM
AWS Security Hub CSPM adalah layanan yang memberi Anda pandangan komprehensif tentang postur keamanan Anda di seluruh AWS lingkungan Anda dan membantu Anda memeriksa lingkungan Anda terhadap standar industri keamanan dan praktik terbaik. Hal ini dilakukan sebagian dengan mengkonsumsi, menggabungkan, mengatur, dan memprioritaskan temuan dari berbagai Layanan AWS solusi keamanan yang didukung. AWS Partner Network Security Hub CSPM membantu Anda menganalisis tren keamanan dan mengidentifikasi masalah keamanan prioritas tertinggi. Dengan Security Hub CSPM, Anda juga dapat mengumpulkan temuan dari beberapa Wilayah AWS, lalu mengevaluasi dan memproses semua data temuan agregat dari satu Wilayah. Untuk mempelajari CSPM Security Hub selengkapnya, lihat [AWS Security Hub Panduan Pengguna](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html).
Amazon Macie terintegrasi dengan Security Hub CSPM, yang berarti Anda dapat mempublikasikan temuan dari Macie ke Security Hub CSPM secara otomatis. Security Hub CSPM kemudian dapat memasukkan temuan-temuan tersebut dalam analisisnya tentang postur keamanan Anda. Selain itu, Anda dapat menggunakan Security Hub CSPM untuk mengevaluasi dan memproses kebijakan dan temuan data sensitif sebagai bagian dari kumpulan data temuan yang lebih besar dan teragregat untuk lingkungan Anda. AWS Dengan kata lain, Anda dapat mengevaluasi temuan Macie sambil melakukan analisis yang lebih luas tentang postur keamanan organisasi Anda, dan memulihkan temuan seperlunya. Security Hub CSPM mengurangi kompleksitas menangani sejumlah besar temuan dari beberapa penyedia. Selain itu, ia menggunakan format standar untuk semua temuan, termasuk temuan dari Macie. Penggunaan format ini, *AWS Security Finding Format (ASFF)*, menghilangkan kebutuhan Anda untuk melakukan konversi data yang memakan waktu.
**Topics**
+ [Bagaimana Macie mempublikasikan temuan ke Security Hub CSPM](#securityhub-integration-sending-findings)
+ [Contoh temuan Macie di Security Hub CSPM](#securityhub-integration-finding-example)
+ [Mengintegrasikan Macie dengan Security Hub CSPM](#securityhub-integration-enable)
+ [Menghentikan publikasi temuan Macie ke Security Hub CSPM](#securityhub-integration-disable)
## Bagaimana Macie menerbitkan temuan untuk AWS Security Hub CSPM
Pada tahun AWS Security Hub CSPM, masalah keamanan dilacak sebagai temuan. Beberapa temuan berasal dari masalah yang terdeteksi oleh Layanan AWS, seperti Amazon Macie, atau dengan solusi AWS Partner Network keamanan yang didukung. Security Hub CSPM juga memiliki seperangkat aturan yang digunakan untuk mendeteksi masalah keamanan dan menghasilkan temuan.
Security Hub CSPM menyediakan alat untuk mengelola temuan dari semua sumber ini. Anda dapat meninjau dan memfilter daftar temuan dan meninjau detail temuan individu. Untuk mempelajari caranya, lihat [Meninjau riwayat pencarian dan detail](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-viewing.html) di *Panduan AWS Security Hub Pengguna*. Anda juga dapat melacak status penyelidikan ke temuan. Untuk mempelajari caranya, lihat [Menyetel status alur kerja temuan](https://docs.aws.amazon.com/securityhub/latest/userguide/findings-workflow-status.html) di *Panduan AWS Security Hub Pengguna*.
Semua temuan di Security Hub CSPM menggunakan format JSON standar yang disebut *AWS Security Finding Format (*ASFF). ASFF mencakup detail tentang sumber masalah, sumber daya yang terpengaruh, dan status temuan saat ini. Untuk informasi selengkapnya, lihat [AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html) di *Panduan Pengguna AWS Security Hub *.
### Jenis temuan yang dipublikasikan Macie ke Security Hub CSPM
Bergantung pada pengaturan publikasi yang Anda pilih untuk akun Macie Anda, Macie dapat mempublikasikan semua temuan yang dibuatnya ke Security Hub CSPM, baik temuan data sensitif maupun temuan kebijakan. Untuk informasi tentang pengaturan ini dan cara mengubahnya, lihat [Mengonfigurasi pengaturan publikasi untuk temuan](findings-publish-frequency.md). Secara default, Macie hanya menerbitkan temuan kebijakan baru dan yang diperbarui ke Security Hub CSPM. Macie tidak mempublikasikan temuan data sensitif ke Security Hub CSPM.
#### Temuan data sensitif
Jika Anda mengonfigurasi Macie untuk mempublikasikan [temuan data sensitif](findings-types.md#findings-sensitive-data-types) ke Security Hub CSPM, Macie secara otomatis menerbitkan setiap temuan data sensitif yang dibuatnya untuk akun Anda, dan segera melakukannya setelah selesai memproses temuan. Macie melakukan ini untuk semua temuan data sensitif yang tidak diarsipkan secara otomatis oleh [Aturan penekan](findings-suppression.md).
Jika Anda administrator Macie untuk suatu organisasi, publikasi terbatas pada temuan dari pekerjaan penemuan data sensitif yang Anda jalankan dan aktivitas penemuan data sensitif otomatis yang dilakukan Macie untuk organisasi Anda. Hanya akun yang membuat tugas dapat memublikasikan temuan data sensitif yang dihasilkan oleh tugas. Hanya akun administrator Macie yang dapat mempublikasikan temuan data sensitif yang dihasilkan oleh penemuan data sensitif otomatis untuk organisasi mereka.
Ketika Macie menerbitkan temuan data sensitif ke Security Hub CSPM, ia menggunakan [AWS Security Finding Format (ASFF), yang merupakan format standar untuk semua temuan](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html) di Security Hub CSPM. Dalam ASFF, bidang `Types` menunjukkan tipe temuan. Bidang ini menggunakan taksonomi yang sedikit berbeda dari tipe temuan taksonomi di Macie.
Tabel berikut mencantumkan daftar tipe temuan ASFF untuk setiap tipe temuan data sensitif ketika Macie dapat membuatnya.
| Tipe temuan Macie | Tipe temuan ASFF |
| --- | --- |
| SensitiveData:S3Object/Credentials | Sensitive Data Identifications/Passwords/SensitiveData:S3Object-Credentials |
| SensitiveData:S3Object/CustomIdentifier | Sensitive Data Identifications/PII/SensitiveData:S3Object-CustomIdentifier |
| SensitiveData:S3Object/Financial | Sensitive Data Identifications/Financial/SensitiveData:S3Object-Financial |
| SensitiveData:S3Object/Multiple | Sensitive Data Identifications/PII/SensitiveData:S3Object-Multiple |
| SensitiveData:S3Object/Personal | Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal |
#### Temuan kebijakan
Jika Anda mengonfigurasi Macie untuk mempublikasikan [temuan kebijakan](findings-types.md#findings-policy-types) ke Security Hub CSPM, Macie secara otomatis menerbitkan setiap temuan kebijakan baru yang dibuatnya, dan segera melakukannya setelah selesai memproses temuan. Jika Macie mendeteksi kejadian berikutnya dari temuan kebijakan yang ada, ia secara otomatis menerbitkan pembaruan ke temuan yang ada di Security Hub CSPM, menggunakan frekuensi publikasi yang Anda tentukan untuk akun Anda. Macie melakukan tugas ini untuk semua temuan kebijakan yang tidak diarsipkan secara otomatis oleh [Aturan penekan](findings-suppression.md).
Jika Anda administrator Macie untuk suatu organisasi, publikasi terbatas pada temuan kebijakan untuk bucket S3 yang dimiliki langsung oleh akun Anda. Macie tidak memublikasikan temuan kebijakan yang dibuat atau diperbarui untuk akun anggota di organisasi Anda. Ini membantu memastikan bahwa Anda tidak memiliki data temuan duplikat di Security Hub CSPM.
Seperti halnya temuan data sensitif, Macie menggunakan AWS Security Finding Format (ASFF) ketika menerbitkan temuan kebijakan baru dan diperbarui ke Security Hub CSPM. Dalam ASFF, bidang `Types` menggunakan taksonomi yang sedikit berbeda dari tipe temuan taksonomi di Macie.
Tabel berikut mencantumkan tipe temuan ASFF untuk setiap tipe temuan kebijakan ketika Macie dapat membuatnya. Jika Macie membuat atau memperbarui temuan kebijakan di Security Hub CSPM pada atau setelah 28 Januari 2021, temuan tersebut memiliki salah satu nilai berikut untuk bidang ASFF di `Types` Security Hub CSPM.
| Tipe temuan Macie | Tipe temuan ASFF |
| --- | --- |
| Policy:IAMUser/S3BlockPublicAccessDisabled | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled |
| Policy:IAMUser/S3BucketEncryptionDisabled | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketEncryptionDisabled |
| Policy:IAMUser/S3BucketPublic | Effects/Data Exposure/Policy:IAMUser-S3BucketPublic |
| Policy:IAMUser/S3BucketReplicatedExternally | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketReplicatedExternally |
| Policy:IAMUser/S3BucketSharedExternally | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedExternally |
| Policy:IAMUser/S3BucketSharedWithCloudFront | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedWithCloudFront |
Jika Macie membuat atau terakhir memperbarui temuan kebijakan sebelum 28 Januari 2021, temuan tersebut memiliki salah satu nilai berikut untuk `Types` bidang ASFF di CSPM Security Hub:
+ Policy:IAMUser/S3BlockPublicAccessDisabled
+ Policy:IAMUser/S3BucketEncryptionDisabled
+ Policy:IAMUser/S3BucketPublic
+ Policy:IAMUser/S3BucketReplicatedExternally
+ Policy:IAMUser/S3BucketSharedExternally
Nilai-nilai dalam daftar peta langsung sebelumnya ke nilai-nilai untuk bidang **Tipe temuan** (`type`) di Macie.
**Catatan**
Saat Anda meninjau dan memproses temuan kebijakan di Security Hub CSPM, perhatikan pengecualian berikut:
Secara pasti Wilayah AWS, Macie mulai menggunakan tipe temuan ASFF untuk temuan baru dan yang diperbarui pada awal 25 Januari 2021.
Jika Anda menindaklanjuti temuan kebijakan di Security Hub CSPM sebelum Macie mulai menggunakan tipe pencarian ASFF di Anda Wilayah AWS, nilai untuk `Types` bidang ASFF dari temuan tersebut akan menjadi salah satu jenis temuan Macie di daftar sebelumnya. Hal ini tidak akan menjadi salah satu tipe temuan ASFF pada tabel sebelumnya. Hal ini berlaku untuk temuan kebijakan yang Anda lakukan saat menggunakan AWS Security Hub CSPM konsol atau `BatchUpdateFindings` pengoperasian AWS Security Hub CSPM API.
### Latensi untuk mempublikasikan temuan ke Security Hub CSPM
Saat Amazon Macie membuat kebijakan baru atau penemuan data sensitif, Amazon Macie menerbitkan temuan tersebut AWS Security Hub CSPM segera setelah selesai memproses temuan.
Jika Macie mendeteksi kejadian berikutnya dari temuan kebijakan yang ada, Macie menerbitkan pembaruan untuk temuan yang ada di Security Hub CSPM. Waktu pembaruan tergantung pada frekuensi publikasi yang Anda pilih untuk akun Macie Anda. Secara default, Macie memublikasikan pembaruan setiap 15 menit. Untuk informasi selengkapnya, termasuk bagaimana mengubah pengaturan akun, lihat [Mengonfigurasi pengaturan publikasi untuk temuan](findings-publish-frequency.md).
### Mencoba lagi publikasi saat CSPM Security Hub tidak tersedia
Jika AWS Security Hub CSPM tidak tersedia, Amazon Macie membuat antrian temuan yang belum diterima oleh Security Hub CSPM. Ketika sistem dipulihkan, Macie mencoba kembali publikasi sampai temuan diterima oleh Security Hub CSPM.
### Memperbarui temuan yang ada di Security Hub CSPM
Setelah Amazon Macie menerbitkan temuan kebijakan AWS Security Hub CSPM, Macie memperbarui temuan tersebut untuk mencerminkan kejadian tambahan apa pun dari aktivitas temuan atau pencarian. Macie melakukan ini hanya demi temuan kebijakan. Macie tidak memperbarui temuan data sensitif di Security Hub CSPM. Tidak seperti temuan kebijakan, semua temuan data sensitif diperlakukan sebagai baru (unik).
Ketika Macie mempublikasikan pembaruan untuk temuan kebijakan, Macie memperbarui nilai untuk bidang temuan **Diperbarui Pada** (`UpdatedAt`). Anda dapat menggunakan nilai ini untuk menentukan kapan Macie baru-baru ini mendeteksi terjadinya potensi pelanggaran kebijakan atau masalah berikutnya yang menghasilkan temuan tersebut.
Macie mungkin juga memperbarui nilai untuk bidang temuan **Tipe** (`Types`) jika nilai yang ada untuk bidang tersebut bukan merupakan [Tipe temuan ASFF](#securityhub-integration-finding-types-policy). Ini tergantung pada apakah Anda telah bertindak atas temuan di Security Hub CSPM. Jika Anda belum bertindak berdasarkan temuan, Macie mengubah nilai bidang untuk tipe temuan ASFF yang sesuai. Jika Anda telah menindaklanjuti temuan tersebut, menggunakan AWS Security Hub CSPM konsol atau `BatchUpdateFindings` pengoperasian AWS Security Hub CSPM API, Macie tidak mengubah nilai bidang.
## Contoh temuan Macie di AWS Security Hub CSPM
Saat Amazon Macie menerbitkan temuannya AWS Security Hub CSPM, Amazon Macie menggunakan [AWS Security Finding Format (](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html)ASFF). Ini adalah format standar untuk semua temuan di Security Hub CSPM. Contoh berikut menggunakan data sampel untuk menunjukkan struktur dan sifat data temuan yang dipublikasikan Macie ke Security Hub CSPM dalam format ini:
+ [Contoh penemuan data sensitif](#securityhub-integration-finding-example-sdf)
+ [Contoh temuan kebijakan](#securityhub-integration-finding-example-policy)
### Contoh temuan data sensitif di Security Hub CSPM
Berikut adalah contoh temuan data sensitif yang dipublikasikan Macie ke Security Hub CSPM menggunakan ASFF.
```
{
"SchemaVersion": "2018-10-08",
"Id": "5be50fce24526e670df77bc00example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types":[
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
],
"CreatedAt": "2022-05-11T10:23:49.667Z",
"UpdatedAt": "2022-05-11T10:23:49.667Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "The S3 object contains personal information.",
"Description": "The object contains personal information such as first or last names, addresses, or identification numbers.",
"ProductFields": {
"JobArn": "arn:aws:macie2:us-east-1:111122223333:classification-job/698e99c283a255bb2c992feceexample",
"S3Object.Path": "amzn-s3-demo-bucket/2022 Sourcing.tsv",
"S3Object.Extension": "tsv",
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"OriginType": "SENSITIVE_DATA_DISCOVERY_JOB",
"S3Object.PublicAccess": "false",
"S3Object.Size": "14",
"S3Object.StorageClass": "STANDARD",
"S3Bucket.allowsUnencryptedObjectUploads": "TRUE",
"JobId": "698e99c283a255bb2c992feceexample",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/5be50fce24526e670df77bc00example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-12-30T18:16:25.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"BlockPublicPolicy": true,
"IgnorePublicAcls": true,
"RestrictPublicBuckets": true
}
}
}
},
{
"Type": "AwsS3Object",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket/2022 Sourcing.tsv",
"Partition": "aws",
"Region": "us-east-1",
"DataClassification": {
"DetailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/111122223333/Macie/us-east-1/
698e99c283a255bb2c992feceexample/111122223333/32b8485d-4f3a-3aa1-be33-aa3f0example.jsonl.gz",
"Result":{
"MimeType": "text/tsv",
"SizeClassified": 14,
"AdditionalOccurrences": false,
"Status": {
"Code": "COMPLETE"
},
"SensitiveData": [
{
"Category": "PERSONAL_INFORMATION",
"Detections": [
{
"Count": 1,
"Type": "USA_SOCIAL_SECURITY_NUMBER",
"Occurrences": {
"Cells": [
{
"Column": 10,
"Row": 1,
"ColumnName": "Other"
}
]
}
}
],
"TotalCount": 1
}
],
"CustomDataIdentifiers": {
"Detections": [
],
"TotalCount": 0
}
}
},
"Details": {
"AwsS3Object": {
"LastModified": "2022-04-22T18:16:46.000Z",
"ETag": "ebe1ca03ee8d006d457444445example",
"VersionId": "SlBC72z5hArgexOJifxw_IN57example",
"ServerSideEncryption": "aws:kms",
"SSEKMSKeyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
]
},
"Sample": false,
"ProcessedAt": "2022-05-11T10:23:49.667Z"
}
```
### Contoh temuan kebijakan di Security Hub CSPM
Berikut adalah contoh temuan kebijakan baru yang diterbitkan Macie ke Security Hub CSPM di ASFF.
```
{
"SchemaVersion": "2018-10-08",
"Id": "36ca8ba0-caf1-4fee-875c-37760example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
],
"CreatedAt": "2022-04-24T09:27:43.313Z",
"UpdatedAt": "2022-04-24T09:27:43.313Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "Block Public Access settings are disabled for the S3 bucket",
"Description": "All Amazon S3 block public access settings are disabled for the Amazon S3 bucket. Access to the bucket is
controlled only by access control lists (ACLs) or bucket policies.",
"ProductFields": {
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"S3Bucket.allowsUnencryptedObjectUploads": "FALSE",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/36ca8ba0-caf1-4fee-875c-37760example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Tags": {
"Team": "Recruiting",
"Division": "HR"
},
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-11-25T18:24:38.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": false,
"BlockPublicPolicy": false,
"IgnorePublicAcls": false,
"RestrictPublicBuckets": false
}
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
]
},
"Sample": false
}
```
## Mengintegrasikan Macie dengan AWS Security Hub CSPM
Untuk mengintegrasikan Amazon Macie dengan AWS Security Hub CSPM, aktifkan CSPM Security Hub untuk Anda. Akun AWS*Untuk mempelajari caranya, lihat [Mengaktifkan CSPM Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html) di Panduan Pengguna.AWS Security Hub *
Saat Anda mengaktifkan CSPM Macie dan Security Hub, integrasi diaktifkan secara otomatis. Secara default, Macie mulai mempublikasikan temuan kebijakan baru dan diperbarui ke Security Hub CSPM secara otomatis. Anda tidak perlu mengambil langkah tambahan untuk mengonfigurasi integrasi. Jika Anda memiliki temuan kebijakan saat integrasi diaktifkan, Macie tidak mempublikasikannya ke Security Hub CSPM. Sebagai gantinya, Macie hanya menerbitkan temuan kebijakan yang dibuat atau diperbarui setelah integrasi diaktifkan.
Anda dapat menyesuaikan konfigurasi secara opsional dengan memilih frekuensi yang digunakan Macie untuk menerbitkan pembaruan temuan kebijakan di Security Hub CSPM. Anda juga dapat memilih untuk mempublikasikan temuan data sensitif ke Security Hub CSPM. Untuk mempelajari caranya, lihat [Mengonfigurasi pengaturan publikasi untuk temuan](findings-publish-frequency.md).
## Menghentikan publikasi temuan Macie ke AWS Security Hub CSPM
Untuk berhenti mempublikasikan temuan Amazon Macie ke AWS Security Hub CSPM, Anda dapat mengubah pengaturan publikasi untuk akun Macie Anda. Untuk mempelajari caranya, lihat [Memilih tujuan publikasi untuk temuan](findings-publish-frequency.md#findings-publish-destinations-change). Anda juga dapat melakukan ini dengan menggunakan Security Hub CSPM. Untuk mempelajari caranya, lihat [Menonaktifkan aliran temuan dari integrasi](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integration-disable.html) dalam *AWS Security Hub Panduan Pengguna*.
# Skema EventBridge acara Amazon untuk temuan Macie
Untuk mendukung integrasi dengan aplikasi, layanan, dan sistem lain, seperti pemantauan atau sistem manajemen acara, Amazon Macie secara otomatis menerbitkan temuan ke Amazon EventBridge sebagai peristiwa. EventBridge, sebelumnya Amazon CloudWatch Events, adalah layanan bus acara tanpa server yang mengirimkan aliran data real-time dari aplikasi dan lainnya Layanan AWS ke target seperti fungsi AWS Lambda , topik Layanan Pemberitahuan Sederhana Amazon, dan aliran Amazon Kinesis. Untuk mempelajari selengkapnya EventBridge, lihat [Panduan EventBridge Pengguna Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html).
**catatan**
Jika saat ini Anda menggunakan CloudWatch Peristiwa, perhatikan bahwa EventBridge dan CloudWatch Peristiwa adalah layanan dan API dasar yang sama. Namun, EventBridge termasuk fitur tambahan yang memungkinkan Anda menerima acara dari aplikasi perangkat lunak sebagai layanan (SaaS) dan aplikasi Anda sendiri. Karena dasar layanan dan API adalah sama, skema peristiwa untuk temuan Macie juga sama.
[Macie secara otomatis menerbitkan peristiwa untuk semua temuan baru dan kejadian berikutnya dari temuan kebijakan yang ada, kecuali temuan yang diarsipkan secara otomatis oleh aturan penindasan.](findings-suppression.md) Peristiwa adalah objek JSON yang sesuai dengan EventBridge skema untuk acara. AWS Setiap acara berisi representasi JSON dari temuan tertentu. Karena data terstruktur sebagai suatu EventBridge peristiwa, Anda dapat lebih mudah memantau, memproses, dan bertindak berdasarkan temuan dengan menggunakan aplikasi, layanan, dan alat lain. Untuk detail tentang bagaimana dan kapan Macie menerbitkan acara untuk temuan, lihat. [Mengonfigurasi pengaturan publikasi untuk temuan](findings-publish-frequency.md)
**Topics**
+ [Skema acara untuk temuan Macie](#findings-publish-event-schema)
+ [Contoh peristiwa untuk temuan kebijakan](#findings-publish-event-example-policy)
+ [Contoh peristiwa untuk penemuan data sensitif](#findings-publish-event-example-classification)
## Skema acara untuk temuan Macie
Contoh berikut menunjukkan skema [ EventBridge acara Amazon untuk temuan Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html) Macie. Untuk deskripsi terperinci tentang bidang yang dapat disertakan dalam peristiwa temuan, lihat [Temuan](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html) di Referensi API *Amazon Macie*. Struktur dan bidang peta peristiwa temuan dekat dengan `Finding` objek API Amazon Macie.
```
{
"version": "0",
"id": "event ID",
"detail-type": "Macie Finding",
"source": "aws.macie",
"account": "Akun AWS ID (string)",
"time": "event timestamp (string)",
"region": "Wilayah AWS (string)",
"resources": [
<-- ARNs of the resources involved in the event -->
],
"detail": {
<-- Details of a policy or sensitive data finding -->
},
"policyDetails": null, <-- Additional details of a policy finding or null for a sensitive data finding -->
"sample": Boolean,
"archived": Boolean
}
```
## Contoh peristiwa untuk temuan kebijakan
Contoh berikut menggunakan data sampel untuk mendemonstrasikan struktur dan sifat objek dan bidang dalam EventBridge acara Amazon untuk [penemuan kebijakan](findings-types.md#findings-policy-types). Dalam contoh ini, peristiwa melaporkan kejadian berikutnya dari temuan kebijakan yang ada: Amazon Macie mendeteksi bahwa setelan blokir akses publik dinonaktifkan untuk bucket S3. Bidang dan nilai berikut dapat membantu Anda menentukan bahwa memang hal ini terjadi:
+ Bidang `type` diatur ke `Policy:IAMUser/S3BlockPublicAccessDisabled`.
+ Bidang `createdAt` dan `updatedAt` memiliki nilai yang berbeda. Ini adalah salah satu indikator bahwa peristiwa tersebut melaporkan kejadian berikutnya dari temuan kebijakan yang ada. Nilai-nilai untuk bidang ini akan sama jika peristiwa melaporkan temuan baru.
+ Bidang `count` diatur ke `2`, yang menunjukkan bahwa ini merupakan peristiwa kedua dari temuan tersebut.
+ Bidang `category` diatur ke `POLICY`.
+ Nilai untuk bidang `classificationDetails` adalah `null`, yang membantu membedakan peristiwa ini untuk menemukan kebijakan dari peristiwa yang diperlukan penemuan data sensitif. Untuk temuan data sensitif, nilai ini akan menjadi sekumpulan objek dan bidang yang memberikan informasi bagaimana dan apa yang ditemukan pada data sensitif.
Perhatikan juga bahwa nilai untuk bidang `sample` adalah `true`. Nilai ini menekankan bahwa ini adalah contoh peristiwa yang digunakan dalam dokumentasi.
```
{
"version": "0",
"id": "0948ba87-d3b8-c6d4-f2da-732a1example",
"detail-type": "Macie Finding",
"source": "aws.macie",
"account": "123456789012",
"time": "2024-04-30T23:12:15Z",
"region":"us-east-1",
"resources": [],
"detail": {
"schemaVersion": "1.0",
"id": "64b917aa-3843-014c-91d8-937ffexample",
"accountId": "123456789012",
"partition": "aws",
"region": "us-east-1",
"type": "Policy:IAMUser/S3BlockPublicAccessDisabled",
"title": "Block public access settings are disabled for the S3 bucket",
"description": "All bucket-level block public access settings were disabled for the S3 bucket. Access to the bucket is controlled by account-level block public access settings, access control lists (ACLs), and the bucket’s bucket policy.",
"severity": {
"score": 3,
"description": "High"
},
"createdAt": "2024-04-29T15:46:02Z",
"updatedAt": "2024-04-30T23:12:15Z",
"count": 2,
"resourcesAffected": {
"s3Bucket": {
"arn": "arn:aws:s3:::amzn-s3-demo-bucket1",
"name": "amzn-s3-demo-bucket1",
"createdAt": "2020-04-03T20:46:56.000Z",
"owner":{
"displayName": "johndoe",
"id": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example"
},
"tags": [
{
"key": "Division",
"value": "HR"
},
{
"key": "Team",
"value": "Recruiting"
}
],
"defaultServerSideEncryption": {
"encryptionType": "aws:kms",
"kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"publicAccess": {
"permissionConfiguration": {
"bucketLevelPermissions": {
"accessControlList": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"bucketPolicy": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"blockPublicAccess": {
"ignorePublicAcls": false,
"restrictPublicBuckets": false,
"blockPublicAcls": false,
"blockPublicPolicy": false
}
},
"accountLevelPermissions": {
"blockPublicAccess": {
"ignorePublicAcls": true,
"restrictPublicBuckets": true,
"blockPublicAcls": true,
"blockPublicPolicy": true
}
}
},
"effectivePermission": "NOT_PUBLIC"
},
"allowsUnencryptedObjectUploads": "FALSE"
},
"s3Object": null
},
"category": "POLICY",
"classificationDetails": null,
"policyDetails": {
"action": {
"actionType": "AWS_API_CALL",
"apiCallDetails": {
"api": "PutBucketPublicAccessBlock",
"apiServiceName": "s3.amazonaws.com",
"firstSeen": "2024-04-29T15:46:02.401Z",
"lastSeen": "2024-04-30T23:12:15.401Z"
}
},
"actor": {
"userIdentity": {
"type": "AssumedRole",
"assumedRole": {
"principalId": "AROA1234567890EXAMPLE:AssumedRoleSessionName",
"arn": "arn:aws:sts::123456789012:assumed-role/RoleToBeAssumed/MySessionName",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": false,
"creationDate": "2024-04-29T10:25:43.511Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AROA1234567890EXAMPLE",
"arn": "arn:aws:iam::123456789012:role/RoleToBeAssumed",
"accountId": "123456789012",
"userName": "RoleToBeAssumed"
}
}
},
"root": null,
"iamUser": null,
"federatedUser": null,
"awsAccount": null,
"awsService": null
},
"ipAddressDetails":{
"ipAddressV4": "192.0.2.0",
"ipOwner": {
"asn": "-1",
"asnOrg": "ExampleFindingASNOrg",
"isp": "ExampleFindingISP",
"org": "ExampleFindingORG"
},
"ipCountry": {
"code": "US",
"name": "United States"
},
"ipCity": {
"name": "Ashburn"
},
"ipGeoLocation": {
"lat": 39.0481,
"lon": -77.4728
}
},
"domainDetails": null
}
},
"sample": true,
"archived": false
}
}
```
## Contoh peristiwa untuk penemuan data sensitif
Contoh berikut menggunakan data sampel untuk mendemonstrasikan struktur dan sifat objek dan bidang dalam EventBridge acara Amazon untuk [menemukan data sensitif](findings-types.md#findings-sensitive-data-types). Dalam contoh ini, acara melaporkan temuan data sensitif baru: Amazon Macie menemukan beberapa kategori dan jenis data sensitif dalam objek S3. Bidang dan nilai-nilai berikut dapat membantu Anda untuk menentukan bahwa hal ini memang terjadi:
+ Bidang `type` diatur ke `SensitiveData:S3Object/Multiple`.
+ Bidang `createdAt` dan `updatedAt` memiliki nilai yang sama. Tidak seperti temuan kebijakan, hal ini memang terjadi untuk temuan data sensitif. Semua temuan data sensitif dianggap baru.
+ Bidang `count` diatur ke `1`, yang menunjukkan bahwa ini adalah temuan baru. Tidak seperti temuan kebijakan, hal ini memang terjadi untuk temuan data sensitif. Semua temuan data sensitif dianggap unik (baru).
+ Bidang `category` diatur ke `CLASSIFICATION`.
+ Nilai untuk bidang `policyDetails` adalah `null`, yang membantu membedakan peristiwa ini untuk menemukan data sensitif dari suatu peristiwa untuk temuan kebijakan. Untuk temuan kebijakan, nilai ini akan berupa sekumpulan objek dan bidang yang memberikan informasi tentang potensi pelanggaran kebijakan atau masalah dengan keamanan atau privasi bucket S3.
Perhatikan juga bahwa nilai untuk bidang `sample` adalah `true`. Nilai ini menekankan bahwa nilai tersebut adalah contoh peristiwa yang digunakan dalam dokumentasi.
```
{
"version": "0",
"id": "14ddd0b1-7c90-b9e3-8a68-6a408example",
"detail-type": "Macie Finding",
"source": "aws.macie",
"account": "123456789012",
"time": "2024-04-20T08:19:10Z",
"region": "us-east-1",
"resources": [],
"detail": {
"schemaVersion": "1.0",
"id": "4ed45d06-c9b9-4506-ab7f-18a57example",
"accountId": "123456789012",
"partition": "aws",
"region": "us-east-1",
"type": "SensitiveData:S3Object/Multiple",
"title": "The S3 object contains multiple categories of sensitive data",
"description": "The S3 object contains more than one category of sensitive data.",
"severity": {
"score": 3,
"description": "High"
},
"createdAt": "2024-04-20T18:19:10Z",
"updatedAt": "2024-04-20T18:19:10Z",
"count": 1,
"resourcesAffected": {
"s3Bucket": {
"arn": "arn:aws:s3:::amzn-s3-demo-bucket2",
"name": "amzn-s3-demo-bucket2",
"createdAt": "2020-05-15T20:46:56.000Z",
"owner": {
"displayName": "johndoe",
"id": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example"
},
"tags":[
{
"key":"Division",
"value":"HR"
},
{
"key":"Team",
"value":"Recruiting"
}
],
"defaultServerSideEncryption": {
"encryptionType": "aws:kms",
"kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"publicAccess": {
"permissionConfiguration": {
"bucketLevelPermissions": {
"accessControlList": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"bucketPolicy":{
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"blockPublicAccess": {
"ignorePublicAcls": true,
"restrictPublicBuckets": true,
"blockPublicAcls": true,
"blockPublicPolicy": true
}
},
"accountLevelPermissions": {
"blockPublicAccess": {
"ignorePublicAcls": false,
"restrictPublicBuckets": false,
"blockPublicAcls": false,
"blockPublicPolicy": false
}
}
},
"effectivePermission": "NOT_PUBLIC"
},
"allowsUnencryptedObjectUploads": "TRUE"
},
"s3Object":{
"bucketArn": "arn:aws:s3:::amzn-s3-demo-bucket2",
"key": "2024 Sourcing.csv",
"path": "amzn-s3-demo-bucket2/2024 Sourcing.csv",
"extension": "csv",
"lastModified": "2024-04-19T22:08:25.000Z",
"versionId": "",
"serverSideEncryption": {
"encryptionType": "aws:kms",
"kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"size": 4750,
"storageClass": "STANDARD",
"tags":[
{
"key":"Division",
"value":"HR"
},
{
"key":"Team",
"value":"Recruiting"
}
],
"publicAccess": false,
"etag": "6bb7fd4fa9d36d6b8fb8882caexample"
}
},
"category": "CLASSIFICATION",
"classificationDetails": {
"jobArn": "arn:aws:macie2:us-east-1:123456789012:classification-job/3ce05dbb7ec5505def334104bexample",
"jobId": "3ce05dbb7ec5505def334104bexample",
"result": {
"status": {
"code": "COMPLETE",
"reason": null
},
"sizeClassified": 4750,
"mimeType": "text/csv",
"additionalOccurrences": true,
"sensitiveData": [
{
"category": "PERSONAL_INFORMATION",
"totalCount": 65,
"detections": [
{
"type": "USA_SOCIAL_SECURITY_NUMBER",
"count": 30,
"occurrences": {
"lineRanges": null,
"offsetRanges": null,
"pages": null,
"records": null,
"cells": [
{
"row": 2,
"column": 1,
"columnName": "SSN",
"cellReference": null
},
{
"row": 3,
"column": 1,
"columnName": "SSN",
"cellReference": null
},
{
"row": 4,
"column": 1,
"columnName": "SSN",
"cellReference": null
}
]
}
},
{
"type": "NAME",
"count": 35,
"occurrences": {
"lineRanges": null,
"offsetRanges": null,
"pages": null,
"records": null,
"cells": [
{
"row": 2,
"column": 3,
"columnName": "Name",
"cellReference": null
},
{
"row": 3,
"column": 3,
"columnName": "Name",
"cellReference": null
}
]
}
}
]
},
{
"category": "FINANCIAL_INFORMATION",
"totalCount": 30,
"detections": [
{
"type": "CREDIT_CARD_NUMBER",
"count": 30,
"occurrences": {
"lineRanges": null,
"offsetRanges": null,
"pages": null,
"records": null,
"cells": [
{
"row": 2,
"column": 14,
"columnName": "CCN",
"cellReference": null
},
{
"row": 3,
"column": 14,
"columnName": "CCN",
"cellReference": null
}
]
}
}
]
}
],
"customDataIdentifiers": {
"totalCount": 0,
"detections": []
}
},
"detailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/123456789012/Macie/us-east-1/3ce05dbb7ec5505def334104bexample/d48bf16d-0deb-3e49-9d8c-d407cexample.jsonl.gz",
"originType": "SENSITIVE_DATA_DISCOVERY_JOB"
},
"policyDetails": null,
"sample": true,
"archived": false
}
}
```