翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon EventBridge を使用して Macie の検出結果を処理する
以前の Amazon CloudWatch Events である Amazon EventBridge は、サーバーレスイベントバスサービスです。EventBridge は、アプリケーションとサービスからリアルタイムデータのストリームを配信し、そのデータを、 AWS Lambda 関数、Amazon Simple Notification Service (Amazon SNS) のトピック、および Amazon Kinesis ストリームなどのターゲットにルーティングします。EventBridge の詳細については、[Amazon EventBridge ユーザーガイド](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html)を参照してください。
EventBridge を使用すると、特定のタイプのイベントのモニタリングと処理を自動化できます。これには、新しいポリシーの調査結果と機密データの調査結果について Amazon Macie が自動的に発行するイベントが含まれます。これには、Macie が既存のポリシーの調査結果のその後の出現で自動的に発行するイベントも含まれます。Macie がこれらのイベントを発行する方法とタイミングの詳細については、[調査結果の発行設定を設定する](findings-publish-frequency.md)を参照してください。
EventBridge と、Macie が調査結果について発行するイベントを使用することで、ほぼリアルタイムで調査結果をモニタリングおよび処理できます。次に、他のアプリケーションやサービスを使用して、調査結果に対してアクションを取ることができます。例えば、EventBridge を使用して、特定のタイプの新しい調査結果を AWS Lambda 関数に送信することができます。次に、Lambda 関数は、データを処理し、セキュリティインシデントおよびイベント管理 (SIEM) システムに送信する場合があります。[Macie AWS User Notifications と統合](findings-monitor-events-uno.md)する場合、イベントを使用して、指定した配信チャネルを通じて結果を自動的に通知することもできます。
自動化されたモニタリングと処理に加えて、EventBridge を使用すると、調査結果データの長期保存が可能になります。Macie は 90 日間調査結果を保存します。EventBridge を使用すると、調査結果データを好みのストレージプラットフォームに送信し、データをいつまででも保存できます。
**注記**
長期の保持では、機密データの検出結果を S3 バケットに保存するように Macie を設定してください。*機密データの検出結果*は、Macie が S3 オブジェクトに対して実行した分析に関する詳細を記録するレコードです。詳細については、[機密データ検出結果の保存と保持](discovery-results-repository-s3.md)を参照してください。
**Topics**
+ [EventBridge スキーマの使用](#findings-monitor-events-eventbridge-overview)
+ [調査結果用の EventBridge ルールの作成](#findings-monitor-events-eventbridge-rule-cli)
## Amazon EventBridge スキーマの使用
Amazon EventBridge では、モニタリングするイベントを指定し、それらのイベントに対して自動アクションを実行するターゲットを指定するルールを作成します。*ターゲット* は、EventBridge がイベントを送信する送信先です。
調査結果のモニタリングと処理タスクを自動化するには、Amazon Macie 調査結果イベントを自動的に検出し、それらのイベントを処理またはその他のアクションのために別のアプリケーションまたはサービスに送信する EventBridge ルールを作成できます。特定の基準を満たすイベントのみを送信するようにルールを調整できます。そのためには、[Macie の検出結果の Amazon EventBridge イベントスキーマ](findings-publish-event-schemas.md)から導き出される基準を指定します。
例えば、特定のタイプの新しい調査結果を AWS Lambda 関数に送信するルールを作成できます。次に、Lambda 関数は、データを処理して SIEM システムへ送信する、S3 オブジェクトに自動的に特定のタイプのサーバー側の暗号化を適用する、オブジェクトのアクセスコントロールリスト (ACL) を変更して S3 オブジェクトへのアクセスを制限するなどのタスクを実行できます。あるいは、新しい高い重要度の調査結果を Amazon SNS トピックに自動的に送信するルールを作成します。これにより、インシデント対応チームに結果を通知することができます。
Lambda 関数の呼び出しと Amazon SNS トピックの通知に加えて、EventBridge は Amazon Kinesis ストリームへのイベントの中継、 AWS Step Functions ステートマシンのアクティブ化、 AWS Systems Manager 実行コマンドの呼び出しなど、他のタイプのターゲットとアクションをサポートしています。詳細については、「*Amazon EventBridge ユーザーガイド*」の「[イベントバスターゲット](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html)」を参照してください 。
## Macie の検出結果用の Amazon EventBridge ルールを作成する
次の手順では、Amazon EventBridge コンソールと [AWS Command Line InterfaceAWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) を使用して、Macie の調査結果の EventBridge ルールを作成する方法について説明します。このルールは、Macie の検出結果のイベントスキーマとパターンを使用する EventBridge イベントを検出し、それらのイベントを処理のために AWS Lambda 関数に送信します。
AWS Lambda は、サーバーのプロビジョニングや管理を行わずにコードを実行するために使用できるコンピューティングサービスです。コードをパッケージ化し、*Lambda 関数* AWS Lambda として にアップロードします。 AWS Lambda その後、 は関数が呼び出されたときに関数を実行します。関数は、ユーザーが手動で呼び出したり、イベントに応答して自動的に呼び出したり、またはアプリケーションやサービスからのリクエストに応答したりすることができます。Lambda 関数の作成および呼び出しについては、 [AWS Lambda 開発者ガイド](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)を参照してください。
------
#### [ Console ]
Amazon EventBridge コンソールを使用して、すべての Macie の検出結果イベントを Lambda 関数に自動的に送信して処理するルールを作成するには、次のステップに従います。このルールは、特定のイベントを受信したときに実行されるルールのデフォルト設定を使用します。ルール設定の詳細や、カスタム設定を使用するルールの作成方法については、*Amazon EventBridge ユーザーガイド*の[イベントに反応するルールの作成](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html)を参照してください。
**ヒント**
カスタムパターンを使用して、Macie 調査結果イベントのサブセットのみを検出して処理するルールを作成することもできます。このサブセットは、Macie が調査結果イベントに含める特定のフィールドに基づいて作成できます。使用可能なフィールドについては、[Macie の検出結果の Amazon EventBridge イベントスキーマ](findings-publish-event-schemas.md)を参照してください。ルールでのカスタムパターンの使用については、「*Amazon EventBridge ユーザーガイド*」の「[イベントパターンの作成](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-pattern.html)」を参照してください。
このルールを作成する前に、Lambda 関数を作成して、ルールがターゲットとして使用されるようにします。ルールを作成するときは、この関数をルールのターゲットとして指定する必要があります。
**コンソールを使用してイベントのルールを作成するには**
1. Amazon EventBridge コンソールの [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/) を開いてください。
1. ナビゲーションペインの **[バス]** で、**[ルール]** を選択します。
1. **** セクションで、**ルールの作成** を選択します。
1. **詳細のルール定義** で、次の操作を行います。
+ **名前** にルールの名前を入力します。
+ **説明** に、認可ルールの簡単な説明を入力します。
+ **イベントバスを選択** の下で、** デフォルトのイベントバス**が選択され、**選択したイベントバスのルールを有効にする**がオンになっていることを確認します。
+ **ルールタイプ** では、**イベントパターンを持つルール** を選択します。
1. 終了したら、**次へ** を選択します。
1. **イベントパターンの作成** で、次の操作を行います。
+ **[イベントソース]** で、**[AWS イベントまたは EventBridge パートナーイベント]** を選択してください。
+ (オプショナル) **サンプルイベント** については、Macie 用のサンプル検索イベントを確認して、イベントに含まれる可能性がある内容を確認してください。そのためには、[**AWS イベント**] を選択します。次に、[**サンプルイベント**] で [**Macie 検出結果**] を選択します。
+ **作成方法** では、**パターンフォームの使用** を選択します。
+ **[イベントパターン]** で以下の設定を入力します。
+ **イベントソース** で **AWS のサービス** を選択してください。
+ **[AWS のサービス]** で、**[Macie]** を選択します。
+ **イベントタイプ** では、**Macie の調査結果** を選択します。
1. 終了したら、**次へ** を選択します。
1. **ターゲットを選択** ページで、次の操作を行います。
+ ターゲットタイプ には、**AWS のサービス** を選択します。
+ **[Select a target]** (ターゲットを選択) では、**[Lambda function]** (Lambda 関数) を選択します。次に、**関数**で、結果イベントの送信先となる Lambda 関数を選択します。
+ (オプショナル) **バージョン/エイリアスを設定** で、ターゲットの Lambda 関数のバージョンとエイリアスの設定を入力します。
+ (オプショナル) [**追加設定**] で、Lambda 関数に送信するイベントデータを指定します。関数に正常に配信されないイベントを処理する方法を指定することもできます。
1. 終了したら、**次へ** を選択します。
1. **タグの設定** ページで、ルールに割り当てる 1 つ以上のタグをオプションで入力します。続いて、**次へ** を選択します。
1. **確認して作成する**ステップでは、ジョブの設定設定を確認し、それらが正しいことを検証します。
設定を変更するには、設定が含まれるセクションで **編集**を選択し、次に正しい設定を入力します。ナビゲーションタブを使用して、設定が含まれるページに移動することもできます。
1. 設定の確認が完了したら **Create rule** (ルールの作成) を選択します。
------
#### [ AWS CLI ]
を使用して、処理のためにすべての Macie 検出結果イベントを Lambda 関数に送信する EventBridge ルール AWS CLI を作成するには、次の手順に従います。このルールは、特定のイベントを受信したときに実行されるルールのデフォルト設定を使用します。この手順では、コマンドが Microsoft Windows 用にフォーマットされています。Linux、macOS、または Unix では、キャレット (^) 行連結文字をバックスラッシュ (\\) に置き換えます。
このルールを作成する前に、Lambda 関数を作成して、ルールがターゲットとして使用されるようにします。関数を作成するときは、関数の Amazon リソースネーム (ARN) を書き留めておきます。ルールのターゲットを指定するときに、この ARN を入力する必要があります。
**を使用してイベントルールを作成するには AWS CLI**
1. Macie が EventBridge に公開するすべての調査結果のイベントを検出するルールを作成します。これを行うには、EventBridge の [put-rule](https://docs.aws.amazon.com/cli/latest/reference/events/put-rule.html) コマンドを実行します。例えば、次のようになります。
```
C:\> aws events put-rule ^
--name {{MacieFindings}} ^
--event-pattern "{\"source\":[\"aws.macie\"]}"
```
ここで、{{Macie 検出結果}}はルールに必要な名前です。
**ヒント**
カスタムパターン (`event-pattern`) を使用して、Macie の検出結果イベントのサブセットのみを検出して処理するルールを作成することもできます。このサブセットは、Macie が調査結果イベントに含める特定のフィールドに基づいて作成できます。使用可能なフィールドについては、[Macie の検出結果の Amazon EventBridge イベントスキーマ](findings-publish-event-schemas.md)を参照してください。ルールでのカスタムパターンの使用については、「*Amazon EventBridge ユーザーガイド*」の「[イベントパターンの作成](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-pattern.html)」を参照してください。
コマンドが正常に実行された場合は、ルールの ARN を使用して EventBridge が応答します。この ARN をメモします。それをステップ 3 で入力する必要があります。
1. ルールのターゲットとして使用する Lambda 関数を指定します。これを行うには、EventBridge の [put-targets](https://docs.aws.amazon.com/cli/latest/reference/events/put-targets.html) コマンドを実行します。例えば、次のようになります。
```
C:\> aws events put-targets ^
--rule {{MacieFindings}} ^
--targets Id=1,Arn={{arn:aws:lambda:regionalEndpoint:accountID:function:my-findings-function}}
```
ここで、{{MacieFindings}} は、ステップ 1 でルールに指定した名前で、`Arn` パラメータの値は、ルールでターゲットとして使用する関数の ARN です。
1. ルールがターゲット Lambda 関数を呼び出すことを許可する権限を追加します。これを行うには、Lambda の [add-permission](https://docs.aws.amazon.com/cli/latest/reference/lambda/add-permission.html) コマンドを実行します。例えば、次のようになります。
```
C:\> aws lambda add-permission ^
--function-name {{my-findings-function}} ^
--statement-id {{Sid}} ^
--action lambda:InvokeFunction ^
--principal events.amazonaws.com ^
--source-arn {{arn:aws:events:regionalEndpoint:accountId:rule:MacieFindings}}
```
コードの説明は以下のとおりです。
+ {{my-findings-function}} は、ルールがターゲットとして使用する Lambda 関数の名前です。
+ {{Sid}} は、Lambda 関数ポリシーでステートメントを記述するために定義するステートメント識別子です。
+ `source-arn`は EventBridge ルールの ARN です。
コマンドが正常に実行された場合は、次のような出力が表示されます。
```
{
"Statement": "{\"Sid\":\"sid\",
\"Effect\":\"Allow\",
\"Principal\":{\"Service\":\"events.amazonaws.com\"},
\"Action\":\"lambda:InvokeFunction\",
\"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:my-findings-function\",
\"Condition\":
{\"ArnLike\":
{\"AWS:SourceArn\":
\"arn:aws:events:us-east-1:111122223333:rule/MacieFindings\"}}}"
}
```
`Statement` 値は、Lambda 関数ポリシーに追加されたステートメントの JSON 文字列バージョンです。
------