翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Macie の検出結果をモニタリングして処理する
モニタリングシステムやイベント管理システムなど、他のアプリケーション、サービス、およびシステムとの統合をサポートするために、Amazon Macie はポリシーと機密データの調査結果をイベントとして Amazon EventBridge に自動的に発行します。追加のサポートと組織のセキュリティ体制の広範な分析については、ポリシーと機密データの調査結果もAWS Security Hub CSPMに発行するように Macie を設定できます。
**Amazon EventBridge**
以前の Amazon CloudWatch Events である Amazon EventBridge は、アプリケーションとサービスからリアルタイムデータのストリームを配信し、そのデータをAWS Lambda関数、Amazon Simple Notification Service トピック、Amazon Kinesis ストリームなどのターゲットにルーティングするサーバーレスイベントバスサービスです。EventBridge を使用すると、Macie が調査結果について発行するイベントなど、特定のタイプのイベントのモニタリングと処理を自動化できます。詳細については[Amazon EventBridge を使用した検出結果の処理](findings-monitor-events-eventbridge.md)を参照してください。
Macie AWS User Notificationsと統合する場合、EventBridge イベントを使用して、Macie が検出結果用に発行するイベントに関する通知を自動的に生成することもできます。User Notificationsでは、関心のある EventBridge に関する通知を受信するためのカスタムルールを作成し、配信チャネルを設定します。配信チャネルには、E メール、チャットアプリケーションの Amazon Q Developer、 のプッシュ通知が含まれますAWS Console Mobile Application。また、 で通知を一元的に確認することもできますAWS マネジメントコンソール。詳細については[ AWS User Notificationsを使用した検出結果のモニタリング](findings-monitor-events-uno.md)を参照してください。
**AWS Security Hub CSPM**
AWS Security Hub CSPMは、AWS環境全体のセキュリティ状態を包括的に把握できるセキュリティサービスです。AWS のサービスおよびサポートされているセキュリティソリューションからAWS Partner Networkセキュリティデータを収集し、セキュリティ業界標準とベストプラクティスに照らして環境をチェックするのに役立ちます。また、セキュリティの傾向を分析し、優先度の高い問題を特定するのにも役立ちます。
Security Hub CSPM を使用すると、組織のセキュリティ体制のより広範な分析の一環として、Macie の検出結果を確認および評価できます。また、複数の から検出結果を集約しAWS リージョン、1 つのリージョンから集約された検出結果をモニタリングして処理することもできます。詳細については[ AWS Security Hub CSPMを使用して検出結果を評価する](securityhub-integration.md)を参照してください。
Macie が調査結果を作成すると、その調査結果を新しいイベントとして EventBridge に自動的に発行します。アカウントに選択した発行設定に応じて、Macie は結果を Security Hub CSPM に発行することもできます。Macie は、調査結果の処理が終了した直後に、新しい調査結果をそれぞれ発行します。Macie は、既存のポリシーの調査結果のその後の出現を検出すると、その調査結果の既存の EventBridge イベントに更新を発行します。公開設定に応じて、Macie は Security Hub CSPM に更新を発行することもできます。Macie は、アカウントの発行設定で指定した発行頻度を使用して、これらの更新を定期的に発行します。
上記のオプションに加えて、Amazon Macie API を使用して検出結果データを直接クエリおよび取得できます。Amazon Macie API は、データへの包括的でプログラムによるアクセスを提供します。データをクエリするには、HTTPS リクエストを Macie に直接送信するか、最新バージョンのAWS SDK またはAWSコマンドラインツールを使用できます。データをクエリすると、Macie は結果を JSON レスポンスで返します。その後、結果を別のサービスまたはアプリケーションに渡して、追加の処理、モニタリング、またはレポートを行うことができます。詳細については、[Amazon Macie API リファレンス](https://docs.aws.amazon.com/macie/latest/APIReference/welcome.html)を参照してください。
**Topics**
+ [調査結果の発行設定を設定する](findings-publish-frequency.md)
+ [Amazon EventBridge を使用した検出結果の処理](findings-monitor-events-eventbridge.md)
+ [AWS User Notificationsを使用した検出結果のモニタリング](findings-monitor-events-uno.md)
+ [AWS Security Hub CSPMを使用して検出結果を評価する](securityhub-integration.md)
+ [検出結果の Amazon EventBridge イベントスキーマ](findings-publish-event-schemas.md)
# Macie 検出結果の発行設定を設定する
他のアプリケーション、サービス、およびシステムとの統合をサポートするために、Amazon Macie はポリシーの調査結果と機密データの調査結果の両方をイベントとして Amazon EventBridge に自動的に発行します EventBridge を使用して調査結果のモニタリングと処理を行う方法の詳細については、[Amazon EventBridge を使用した検出結果の処理](findings-monitor-events-eventbridge.md)を参照してください。
アカウントの発行設定で指定した送信先オプションを使用して AWS Security Hub CSPM 、検出結果を自動的に発行するように Macie を設定できます。これらのオプションを使用すると、ポリシーの検出結果のみ、機密データの検出結果のみ、またはポリシーと機密データの検出結果の両方を Security Hub CSPM に発行するように Macie を設定できます。また、Security Hub CSPM への検出結果の発行を停止するように Macie を設定することもできます。Security Hub CSPM を使用して検出結果を評価および処理する方法については、「」を参照してください[ AWS Security Hub CSPMを使用して検出結果を評価する](securityhub-integration.md)。
ポリシーの調査結果では、Macie が別の AWS のサービス に調査結果を発行するタイミングは、調査結果が新規であるかどうか、およびアカウントに指定する発行頻度によって異なります。機密データの調査結果では、タイミングは常に即時です。Macie は、調査結果の処理が終了した直後に機密データの調査結果を発行します。ポリシーの検出結果とは異なり、すべての機密データの検出結果はすべて (一意) として処理されます。
Macie は、[suppression rule](findings-suppression.md) (抑制ルール) によって自動的にアーカイブされるポリシーや機密データの調査結果を発行しないことに注意してください。つまり、Macie は抑制された調査結果を他の AWS のサービスに発行しません。
**Topics**
+ [発行先を選択する](#findings-publish-destinations-change)
+ [発行頻度を変更する](#findings-publish-frequency-change)
## 調査結果の発行先を選択する
Amazon EventBridge AWS Security Hub CSPM に加えて、ポリシーと機密データの検出結果を に自動的に発行するように Amazon Macie を設定できます。デフォルトでは、Macie は新規および更新されたポリシーの検出結果のみを Security Hub CSPM に発行します。デフォルトの設定を変更または拡張するには、アカウントの発行先の設定を調整します。
送信先設定を調整するときは、Macie が Security Hub CSPM に発行する検出結果のカテゴリを選択します。ポリシーの検出結果のみ、機密データの検出結果のみ、またはポリシーと機密データの検出結果の両方を選択します。Security Hub CSPM への検出結果のカテゴリの発行を停止することもできます。
発行先の設定を変更した場合、変更は現在の AWS リージョンにのみ適用されます。ユーザーが組織の Macie 管理者である場合、変更は自分のアカウントにのみ適用されます。組織のメンバーアカウントには適用されません。詳細については、「[複数のアカウントの管理](macie-accounts.md)」を参照してください。
**調査結果の発行先を選択するには**
Amazon Macie コンソールを使用して発行先の設定を変更するには、次のステップに従います。プログラムでこれを行うには、Amazon Macie API の [PutFindingsPublicationConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/findings-publication-configuration.html) オペレーションを使用します。
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ナビゲーションペインで **設定** を選択します。
1. **Publication of findings** (調査結果の発行) セクションの **Destinations** (発行先) の下で、次のオプションから選択します。
+ **ポリシーの検出結果を Security Hub CSPM に**発行する – このチェックボックスをオンにすると、新規および更新されたポリシーの検出結果を Security Hub CSPM に自動的に発行し始めます。Security Hub CSPM への新規および更新されたポリシー検出結果の発行を停止するには、このチェックボックスをオフにします。
このチェックボックスをオンにして既存のポリシー検出結果がある場合、Macie は Security Hub CSPM に発行しません。代わりに、Macie は、変更を保存した後に作成または更新したポリシーの検出結果のみを発行します。
+ **機密データの検出結果を Security Hub CSPM に**発行 – このチェックボックスをオンにすると、新しい機密データの検出結果を Security Hub CSPM に自動的に発行し始めます。Security Hub CSPM への新しい機密データの検出結果の発行を停止するには、このチェックボックスをオフにします。
このチェックボックスをオンにして、既存の機密データの検出結果がある場合、Macie はそれらを Security Hub CSPM に発行しません。代わりに、Macie は、変更を保存した後に作成した機密データの検出結果のみを発行します。
1. **[保存]** を選択します。
Security Hub CSPM に検出結果のカテゴリを発行することを選択した場合は、現在のリージョンで Security Hub CSPM も有効にし、Macie からの検出結果を受け入れるように設定してください。そうしないと、Security Hub CSPM の結果にアクセスできなくなります。Security Hub CSPM で検出結果を受け入れる方法については、*AWS Security Hub 「 ユーザーガイド*」の[「Security Hub CSPM の統合](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-providers.html)について」を参照してください。
## 調査結果の発行頻度を変更する
Amazon Macie では、各調査結果に一意の識別子があります。Macie はこの識別子を使用して、別の AWS のサービスに調査結果をいつ公開するかを決定します。
+ **New findings** (新しい調査結果) — Macie が新しいポリシーまたは機密データの調査結果を作成すると、調査結果の処理の一部として一意の識別子が調査結果に割り当てられます。Macie が検出結果の処理を完了した直後に、その検出結果を新しいイベントとして Amazon EventBridge に発行します。アカウントの発行設定に応じて、Macie はその調査結果を新しい調査結果として AWS Security Hub CSPMでも発行します。
+ **更新された調査結果** – Macie は、既存のポリシーの調査結果のその後の出現を検出すると、その後の出現に関する詳細を追加し、出現の数を増加させて、既存の調査結果を更新します。Macie は、これらの更新を既存の EventBridge イベントに発行し、アカウントの発行設定に応じて、既存の Security Hub CSPM の検出結果も発行します。デフォルトでは、Macie は定期的な発行サイクルの一部として 15 分ごとに更新を発行します。つまり、最新の発行サイクル後に更新されたポリシーの検出結果はすべて保持され、必要に応じて再度更新されて、次の発行サイクル (約 15 分後) の対象となります。
Macie が他の の既存のポリシー検出結果の更新を発行する頻度を変更できます AWS のサービス。例えば、1 時間ごとに更新を発行するように Macie を設定したとします。この場合、発行が 12:00 に実行される場合、12:00 以降に発生するすべての更新は 13:00 に発行されます。
頻度を変更すると、変更は現在の にのみ適用されます AWS リージョン。お客様が組織の Macie 管理者である場合、変更は組織内のすべてのメンバーアカウントにも適用されます。詳細については、「[複数のアカウントの管理](macie-accounts.md)」を参照してください。
**更新された調査結果の発行頻度を変更するには**
Amazon Macie コンソールを使用して発行頻度を変更するには、次のステップに従います。これをプログラムで行うには、Amazon Macie API の [UpdateMacieSession](https://docs.aws.amazon.com/macie/latest/APIReference/macie.html) オペレーションを使用します。
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ナビゲーションペインで **[設定]** を選択します。
1. **[検出結果の公開]** セクションの **[ポリシーの検出結果の更新頻度]** で、Macie が他の AWS のサービスのポリシー検出結果の更新を発行する頻度を選択します。
1. **[保存]** を選択します。
# Amazon EventBridge を使用して Macie の検出結果を処理する
以前の Amazon CloudWatch Events である Amazon EventBridge は、サーバーレスイベントバスサービスです。EventBridge は、アプリケーションとサービスからリアルタイムデータのストリームを配信し、そのデータを、 AWS Lambda 関数、Amazon Simple Notification Service (Amazon SNS) のトピック、および Amazon Kinesis ストリームなどのターゲットにルーティングします。EventBridge の詳細については、[Amazon EventBridge ユーザーガイド](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html)を参照してください。
EventBridge を使用すると、特定のタイプのイベントのモニタリングと処理を自動化できます。これには、新しいポリシーの調査結果と機密データの調査結果について Amazon Macie が自動的に発行するイベントが含まれます。これには、Macie が既存のポリシーの調査結果のその後の出現で自動的に発行するイベントも含まれます。Macie がこれらのイベントを発行する方法とタイミングの詳細については、[調査結果の発行設定を設定する](findings-publish-frequency.md)を参照してください。
EventBridge と、Macie が調査結果について発行するイベントを使用することで、ほぼリアルタイムで調査結果をモニタリングおよび処理できます。次に、他のアプリケーションやサービスを使用して、調査結果に対してアクションを取ることができます。例えば、EventBridge を使用して、特定のタイプの新しい調査結果を AWS Lambda 関数に送信することができます。次に、Lambda 関数は、データを処理し、セキュリティインシデントおよびイベント管理 (SIEM) システムに送信する場合があります。[Macie AWS User Notifications と統合](findings-monitor-events-uno.md)する場合、イベントを使用して、指定した配信チャネルを通じて結果を自動的に通知することもできます。
自動化されたモニタリングと処理に加えて、EventBridge を使用すると、調査結果データの長期保存が可能になります。Macie は 90 日間調査結果を保存します。EventBridge を使用すると、調査結果データを好みのストレージプラットフォームに送信し、データをいつまででも保存できます。
**注記**
長期の保持では、機密データの検出結果を S3 バケットに保存するように Macie を設定してください。*機密データの検出結果*は、Macie が S3 オブジェクトに対して実行した分析に関する詳細を記録するレコードです。詳細については、[機密データ検出結果の保存と保持](discovery-results-repository-s3.md)を参照してください。
**Topics**
+ [EventBridge スキーマの使用](#findings-monitor-events-eventbridge-overview)
+ [調査結果用の EventBridge ルールの作成](#findings-monitor-events-eventbridge-rule-cli)
## Amazon EventBridge スキーマの使用
Amazon EventBridge では、モニタリングするイベントを指定し、それらのイベントに対して自動アクションを実行するターゲットを指定するルールを作成します。*ターゲット* は、EventBridge がイベントを送信する送信先です。
調査結果のモニタリングと処理タスクを自動化するには、Amazon Macie 調査結果イベントを自動的に検出し、それらのイベントを処理またはその他のアクションのために別のアプリケーションまたはサービスに送信する EventBridge ルールを作成できます。特定の基準を満たすイベントのみを送信するようにルールを調整できます。そのためには、[Macie の検出結果の Amazon EventBridge イベントスキーマ](findings-publish-event-schemas.md)から導き出される基準を指定します。
例えば、特定のタイプの新しい調査結果を AWS Lambda 関数に送信するルールを作成できます。次に、Lambda 関数は、データを処理して SIEM システムへ送信する、S3 オブジェクトに自動的に特定のタイプのサーバー側の暗号化を適用する、オブジェクトのアクセスコントロールリスト (ACL) を変更して S3 オブジェクトへのアクセスを制限するなどのタスクを実行できます。あるいは、新しい高い重要度の調査結果を Amazon SNS トピックに自動的に送信するルールを作成します。これにより、インシデント対応チームに結果を通知することができます。
Lambda 関数の呼び出しと Amazon SNS トピックの通知に加えて、EventBridge は Amazon Kinesis ストリームへのイベントの中継、 AWS Step Functions ステートマシンのアクティブ化、 AWS Systems Manager 実行コマンドの呼び出しなど、他のタイプのターゲットとアクションをサポートしています。詳細については、「*Amazon EventBridge ユーザーガイド*」の「[イベントバスターゲット](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html)」を参照してください 。
## Macie の検出結果用の Amazon EventBridge ルールを作成する
次の手順では、Amazon EventBridge コンソールと [AWS Command Line InterfaceAWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) を使用して、Macie の調査結果の EventBridge ルールを作成する方法について説明します。このルールは、Macie の検出結果のイベントスキーマとパターンを使用する EventBridge イベントを検出し、それらのイベントを処理のために AWS Lambda 関数に送信します。
AWS Lambda は、サーバーのプロビジョニングや管理を行わずにコードを実行するために使用できるコンピューティングサービスです。コードをパッケージ化し、*Lambda 関数* AWS Lambda として にアップロードします。 AWS Lambda その後、 は関数が呼び出されたときに関数を実行します。関数は、ユーザーが手動で呼び出したり、イベントに応答して自動的に呼び出したり、またはアプリケーションやサービスからのリクエストに応答したりすることができます。Lambda 関数の作成および呼び出しについては、 [AWS Lambda 開発者ガイド](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)を参照してください。
------
#### [ Console ]
Amazon EventBridge コンソールを使用して、すべての Macie の検出結果イベントを Lambda 関数に自動的に送信して処理するルールを作成するには、次のステップに従います。このルールは、特定のイベントを受信したときに実行されるルールのデフォルト設定を使用します。ルール設定の詳細や、カスタム設定を使用するルールの作成方法については、*Amazon EventBridge ユーザーガイド*の[イベントに反応するルールの作成](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html)を参照してください。
**ヒント**
カスタムパターンを使用して、Macie 調査結果イベントのサブセットのみを検出して処理するルールを作成することもできます。このサブセットは、Macie が調査結果イベントに含める特定のフィールドに基づいて作成できます。使用可能なフィールドについては、[Macie の検出結果の Amazon EventBridge イベントスキーマ](findings-publish-event-schemas.md)を参照してください。ルールでのカスタムパターンの使用については、「*Amazon EventBridge ユーザーガイド*」の「[イベントパターンの作成](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-pattern.html)」を参照してください。
このルールを作成する前に、Lambda 関数を作成して、ルールがターゲットとして使用されるようにします。ルールを作成するときは、この関数をルールのターゲットとして指定する必要があります。
**コンソールを使用してイベントのルールを作成するには**
1. Amazon EventBridge コンソールの [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/) を開いてください。
1. ナビゲーションペインの **[バス]** で、**[ルール]** を選択します。
1. **** セクションで、**ルールの作成** を選択します。
1. **詳細のルール定義** で、次の操作を行います。
+ **名前** にルールの名前を入力します。
+ **説明** に、認可ルールの簡単な説明を入力します。
+ **イベントバスを選択** の下で、** デフォルトのイベントバス**が選択され、**選択したイベントバスのルールを有効にする**がオンになっていることを確認します。
+ **ルールタイプ** では、**イベントパターンを持つルール** を選択します。
1. 終了したら、**次へ** を選択します。
1. **イベントパターンの作成** で、次の操作を行います。
+ **[イベントソース]** で、**[AWS イベントまたは EventBridge パートナーイベント]** を選択してください。
+ (オプショナル) **サンプルイベント** については、Macie 用のサンプル検索イベントを確認して、イベントに含まれる可能性がある内容を確認してください。そのためには、[**AWS イベント**] を選択します。次に、[**サンプルイベント**] で [**Macie 検出結果**] を選択します。
+ **作成方法** では、**パターンフォームの使用** を選択します。
+ **[イベントパターン]** で以下の設定を入力します。
+ **イベントソース** で **AWS のサービス** を選択してください。
+ **[AWS のサービス]** で、**[Macie]** を選択します。
+ **イベントタイプ** では、**Macie の調査結果** を選択します。
1. 終了したら、**次へ** を選択します。
1. **ターゲットを選択** ページで、次の操作を行います。
+ ターゲットタイプ には、**AWS のサービス** を選択します。
+ **[Select a target]** (ターゲットを選択) では、**[Lambda function]** (Lambda 関数) を選択します。次に、**関数**で、結果イベントの送信先となる Lambda 関数を選択します。
+ (オプショナル) **バージョン/エイリアスを設定** で、ターゲットの Lambda 関数のバージョンとエイリアスの設定を入力します。
+ (オプショナル) [**追加設定**] で、Lambda 関数に送信するイベントデータを指定します。関数に正常に配信されないイベントを処理する方法を指定することもできます。
1. 終了したら、**次へ** を選択します。
1. **タグの設定** ページで、ルールに割り当てる 1 つ以上のタグをオプションで入力します。続いて、**次へ** を選択します。
1. **確認して作成する**ステップでは、ジョブの設定設定を確認し、それらが正しいことを検証します。
設定を変更するには、設定が含まれるセクションで **編集**を選択し、次に正しい設定を入力します。ナビゲーションタブを使用して、設定が含まれるページに移動することもできます。
1. 設定の確認が完了したら **Create rule** (ルールの作成) を選択します。
------
#### [ AWS CLI ]
を使用して、処理のためにすべての Macie 検出結果イベントを Lambda 関数に送信する EventBridge ルール AWS CLI を作成するには、次の手順に従います。このルールは、特定のイベントを受信したときに実行されるルールのデフォルト設定を使用します。この手順では、コマンドが Microsoft Windows 用にフォーマットされています。Linux、macOS、または Unix では、キャレット (^) 行連結文字をバックスラッシュ (\$1) に置き換えます。
このルールを作成する前に、Lambda 関数を作成して、ルールがターゲットとして使用されるようにします。関数を作成するときは、関数の Amazon リソースネーム (ARN) を書き留めておきます。ルールのターゲットを指定するときに、この ARN を入力する必要があります。
**を使用してイベントルールを作成するには AWS CLI**
1. Macie が EventBridge に公開するすべての調査結果のイベントを検出するルールを作成します。これを行うには、EventBridge の [put-rule](https://docs.aws.amazon.com/cli/latest/reference/events/put-rule.html) コマンドを実行します。例えば、次のようになります。
```
C:\> aws events put-rule ^
--name MacieFindings ^
--event-pattern "{\"source\":[\"aws.macie\"]}"
```
ここで、*Macie 検出結果*はルールに必要な名前です。
**ヒント**
カスタムパターン (`event-pattern`) を使用して、Macie の検出結果イベントのサブセットのみを検出して処理するルールを作成することもできます。このサブセットは、Macie が調査結果イベントに含める特定のフィールドに基づいて作成できます。使用可能なフィールドについては、[Macie の検出結果の Amazon EventBridge イベントスキーマ](findings-publish-event-schemas.md)を参照してください。ルールでのカスタムパターンの使用については、「*Amazon EventBridge ユーザーガイド*」の「[イベントパターンの作成](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-pattern.html)」を参照してください。
コマンドが正常に実行された場合は、ルールの ARN を使用して EventBridge が応答します。この ARN をメモします。それをステップ 3 で入力する必要があります。
1. ルールのターゲットとして使用する Lambda 関数を指定します。これを行うには、EventBridge の [put-targets](https://docs.aws.amazon.com/cli/latest/reference/events/put-targets.html) コマンドを実行します。例えば、次のようになります。
```
C:\> aws events put-targets ^
--rule MacieFindings ^
--targets Id=1,Arn=arn:aws:lambda:regionalEndpoint:accountID:function:my-findings-function
```
ここで、*MacieFindings* は、ステップ 1 でルールに指定した名前で、`Arn` パラメータの値は、ルールでターゲットとして使用する関数の ARN です。
1. ルールがターゲット Lambda 関数を呼び出すことを許可する権限を追加します。これを行うには、Lambda の [add-permission](https://docs.aws.amazon.com/cli/latest/reference/lambda/add-permission.html) コマンドを実行します。例えば、次のようになります。
```
C:\> aws lambda add-permission ^
--function-name my-findings-function ^
--statement-id Sid ^
--action lambda:InvokeFunction ^
--principal events.amazonaws.com ^
--source-arn arn:aws:events:regionalEndpoint:accountId:rule:MacieFindings
```
コードの説明は以下のとおりです。
+ *my-findings-function* は、ルールがターゲットとして使用する Lambda 関数の名前です。
+ *Sid* は、Lambda 関数ポリシーでステートメントを記述するために定義するステートメント識別子です。
+ `source-arn`は EventBridge ルールの ARN です。
コマンドが正常に実行された場合は、次のような出力が表示されます。
```
{
"Statement": "{\"Sid\":\"sid\",
\"Effect\":\"Allow\",
\"Principal\":{\"Service\":\"events.amazonaws.com\"},
\"Action\":\"lambda:InvokeFunction\",
\"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:my-findings-function\",
\"Condition\":
{\"ArnLike\":
{\"AWS:SourceArn\":
\"arn:aws:events:us-east-1:111122223333:rule/MacieFindings\"}}}"
}
```
`Statement` 値は、Lambda 関数ポリシーに追加されたステートメントの JSON 文字列バージョンです。
------
# を使用した Macie の検出結果のモニタリング AWS User Notifications
AWS User Notifications は、 AWS の通知の中心的な場所として機能するサービスです AWS マネジメントコンソール。これには、Amazon CloudWatch アラーム、 AWS サポート ケース、他の からの通信などの通知が含まれます AWS のサービス。を使用すると User Notifications、特定のタイプの Amazon EventBridge イベントに関する通知を受信するためのカスタムルールと配信チャネルを設定できます。配信チャネルには、E メール、チャットアプリケーションの Amazon Q Developer、 のプッシュ通知が含まれます AWS Console Mobile Application。 AWS User Notifications コンソールで通知を確認することもできます。詳細については User Notifications、 [AWS User Notifications ユーザーガイド](https://docs.aws.amazon.com/notifications/latest/userguide/what-is-service.html)を参照してください。
Amazon Macie は と統合されています。つまり AWS User Notifications、ポリシーと機密データの検出結果のために Macie が EventBridge に発行するイベントを通知する User Notifications ように を設定できます。検出結果イベントが指定した条件と一致する場合、 は通知 User Notifications を生成します。通知には、結果のタイプや重要度、影響を受けるリソースの名前など、関連する結果の主要な詳細が含まれます。 User Notifications は、指定した 1 つ以上の配信チャネルに通知を送信することもできます。セキュリティとコンプライアンスのワークフローに合わせて、選択した配信チャネルを調整できます。
たとえば、特定のタイプの新しい重要度の高い検出結果の通知を生成する User Notifications ように を設定できます。これらの通知の配信チャネルとして、チャットアプリケーションで Amazon Q Developer を指定することもできます。 User Notifications その後、 は検出結果の EventBridge イベントを検出し、検出結果のデータを含む通知を生成し、チャットアプリケーションで Amazon Q Developer に通知を送信します。チャットアプリケーションの Amazon Q Developer は、Slack チャネルまたは Amazon Chime チャットルームに通知をルーティングして、インシデント対応チームに通知する場合があります。
**Topics**
+ [「 AWS User Notifications」 の使用](#findings-monitor-events-uno-overview)
+ [検出結果の通知の有効化と設定](#findings-monitor-events-uno-configure)
+ [通知フィールドを検出結果フィールドへマッピング](#findings-monitor-events-uno-schema)
+ [検出結果の通知設定の変更](#findings-monitor-events-uno-change)
+ [検出結果の通知を無効にする](#findings-monitor-events-uno-disable)
## の使用 AWS User Notifications
では AWS User Notifications、モニタリングして通知を受信する Amazon EventBridge イベントのタイプを指定するルールを作成します。ルールは、通知を生成するために EventBridge イベントが一致しなければならない条件を定義します。ルールには 1 つ以上の配信チャネルを選択することもできます。配信チャネルでは、ルールの条件に一致するイベントの通知を受信する場所を指定します。
がルールの基準に一致する EventBridge イベント User Notifications を検出すると、次の一般的なタスクが実行されます。
1. イベントからデータのサブネットを抽出します。
1. 抽出されたデータを含む通知を生成します。
1. そのタイプのイベント用に指定した配信チャネルに通知を送信します。
通知のデザインと構造は、送信先の配信チャネルごとに最適化されます。
受信する通知の頻度や数を制御するには、ルールの集計設定を設定できます。これらの設定を有効にすると、 User Notifications は複数のイベントのデータを 1 つの通知に結合します。集約されたイベント通知を迅速かつ頻繁に送信するように選択できます。これは、重要度の高いイベントを検索する場合に便利です。または、送信頻度を減らして受け取る通知の数を減らすこともできます。これは、重要度が低い検出イベントに対して行うとよいでしょう。イベントデータを組み合わせる場合は、 AWS User Notifications コンソールを使用してドリルダウンし、各集計イベントの詳細を確認できます。そこから、Amazon Macie コンソール上の関連する検出結果に移動することもできます。
## Macie の検出結果 AWS User Notifications の有効化と設定
AWS User Notifications が Amazon Macie の検出結果の通知を生成できるようにするには、 で Macie の通知設定を作成します User Notifications。通知設定はルールの基準を指定します。また、ルールの条件に一致する Amazon EventBridge イベントを監視して通知を送信するための配信チャネルやその他の設定も指定します。通知設定の作成の詳細については、「*AWS User Notifications ユーザーガイド*」の「[AWS User Notificationsの使用開始](https://docs.aws.amazon.com/notifications/latest/userguide/getting-started.html)」を参照してください。
Macie の結果の通知設定を作成するには、イベントルールで以下のオプションを選択します。
+ **AWS のサービス サービス名** では **Macie** を選択します。
+ **イベントタイプ** では、**Macie の調査結果** を選択します。
+ **リージョン**では、Macie AWS リージョン を使用して検出結果の通知を受け取る各 を選択します。
この設定では、 は の EventBridge イベント User Notifications を監視し AWS アカウント 、選択したリージョン内のすべての Macie 検出結果イベントの通知を生成します。イベントは、以下の条件に一致します。
+ `source`が`aws.macie`
+ `detail-type`が`Macie Finding`
イベントルールの基になる JSON パターンは次のとおりです。
```
{
"source": ["aws.macie"],
"detail-type": ["Macie Finding"]
}
```
ルールを絞り込み、検出結果のサブセットのみの通知を生成するには、ルールの JSON パターンをカスタマイズできます。そのためには、[Macie の検出結果の Amazon EventBridge イベントスキーマ](findings-publish-event-schemas.md)から導き出される追加基準を指定します。
カスタム JSON パターンを使用するルールを作成すると、Macie の結果に対して複数の通知設定を作成できます。その後、特定のタイプの調査結果のセキュリティとコンプライアンスのワークフローに合わせて、設定ごとに配信チャネルやその他の設定を調整できます。
例えば、Macie がPolicy:IAMUser/S3BucketPublic検出結果を生成または更新した場合に通知する 1 つのルールを作成できます。この場合、ルールのパターンは次のようになります。
```
{
"source": ["aws.macie"],
"detail-type": ["Macie Finding"],
"detail": {
"type": ["Policy:IAMUser/S3BucketPublic"]
}
}
```
また、Macie がパブリックにアクセス可能な S3 バケットの機密データ検出結果を生成した場合に通知する別のルールを作成することもできます。この場合、ルールのパターンは次のようになります。
```
{
"source": ["aws.macie"],
"detail-type": ["Macie Finding"],
"detail": {
"type": [ { "prefix": "SensitiveData" } ],
"resourcesAffected": {
"effectivePermission": ["PUBLIC"]
}
}
}
```
Macie の結果に対して複数の通知設定を作成する場合は、各設定のルールが固有であることを確認するとよいでしょう。それ以外の場合は、個別の検出結果の通知が重複する場合があります。
ルールのイベントパターンのカスタマイズについて詳しくは、「*AWS User Notifications ユーザーガイド*」の「[カスタマイズされた JSON イベントパターンの使用](https://docs.aws.amazon.com/notifications/latest/userguide/common-usecases.html)」を参照してください。
## Macie 検出結果 AWS User Notifications フィールドへのフィールドのマッピング
が Amazon Macie の検出結果の通知 AWS User Notifications を生成すると、対応する Amazon EventBridge イベントのフィールドのサブセットからのデータが通知に入力されます。これらのフィールドには、結果のタイプや重大度、影響を受けるリソースの名前など、関連する結果の重要な詳細が表示されます。
AWS User Notifications コンソールで通知を確認すると、通知にはこのフィールドのサブセットのすべてのデータが含まれます。Amazon Macie コンソール内の関連する調査結果へのリンクも提供します。他の配信チャネルの通知を確認すると、その通知には一部のフィールドのデータしか含まれていない可能性があります。これは、 がサポートする各タイプの配信チャネルで動作するように通知の設計と構造 User Notifications を調整するためです。
以下のテーブルには、結果の通知に含まれる可能性のあるフィールドが一覧表示されます。このテーブルには、**通知フィールド** 列には、通知に含まれるフィールドの説明 (イタリック体) または名前を示しています。**調査結果イベントフィールド** の列は、EventBridge イベント内の対応する JSON フィールドの名前を示すために、ドット表記を使用します。説明列には、フィールドに保存されているデータが説明されています。
| 通知フィールド | イベントフィールドの検索 | 説明 |
| --- | --- | --- |
| メッセージヘッドライン | `detail.type` | 結果のタイプ。 例えば、`Policy:IAMUser/S3BucketPublic`、`SensitiveData:S3Object/Financial` などです。 |
| 概要 | `detail.title` | 検出結果の簡単な説明。 例: `The S3 object contains financial information.` |
| 説明 | `detail.description` | 結果の詳細な説明 例: `The S3 object contains financial information such as bank account numbers or credit card numbers.` |
| 緊急度 | `detail.severity.description` | 調査結果の重要度の定性的表現: `Low`、`Medium`または`High`。 |
| 検出結果 ID | `detail.id` | フィルターの一意の識別子。 |
| 作成 | `detail.createdAt` | Macie が調査結果を作成した日時。 |
| 更新 | `detail.updatedAt` | Macie が検出結果を直近に更新した日時。 機密データの調査結果では、この値は作成`detail.createdAt`日時フィールドの値と同じです。機密データの検出結果は、新規 (一意) とみなされます。 |
| 影響を受ける S3 バケット | `detail.resourcesAffected.s3Bucket.arn` | 影響を受ける S3 バケットの Amazon リソースネーム (ARN)。 |
| 影響を受ける S3 オブジェクト | `detail.resourcesAffected.s3Object.path` | オブジェクトを格納するバケットの名前と、該当する場合はオブジェクトのプレフィックスが含む、影響を受けた S3 オブジェクトの名前キー。 このフィールドはポリシー検出結果の通知には含まれません。 |
| 機密データの検出 | `detail.classificationDetails.result.sensitiveData.detections...` And/Or `detail.classificationDetails.result.customDataIdentifiers.detections...` | これは、機密データが見つかった場合のイベント内の複数のフィールドを連結したものです。このフィールドはポリシー検出結果の通知には含まれません。 マネージドデータ識別子が機密データを検出した場合、このフィールドには検出された機密データのカテゴリ、タイプ、および出現回数`count` を指定します。例: `PERSONAL_INFORMATION: USA_SOCIAL_SECURITY_NUMBER 100 occurrences`。 カスタムデータ識別子が機密データを検出した場合、このフィールドにはカスタムデータ識別子の名前と検出された機密データの出現回数`count` を指定します。例: `Employee ID 20 occurrences`。 結果から複数のタイプの機密データが報告される場合、通知には最大 4 種類のデータが含まれます。データは最初に該当するカスタムデータ識別子によって入力され、次に該当するマネージドデータ識別子によって入力されます。 |
## Macie の検出結果 AWS User Notifications の設定の変更
Amazon Macie の検出結果 AWS User Notifications の設定はいつでも変更できます。そのためには、 User Notificationsで通知設定を編集します。方法については、「*AWS User Notifications ユーザーガイド*」の「[通知設定の管理](https://docs.aws.amazon.com/notifications/latest/userguide/managing-notifications.html)」を参照してください。
Macie の検出結果に対して複数の通知設定がある場合、1 つの設定を変更しても他の設定の設定には影響しません。すべての設定を編集することも、一部の設定のみを編集することもできます。
## Macie の検出結果 AWS User Notifications の無効化
Amazon Macie の検出結果 AWS User Notifications に関する からの通知の生成と受信を停止するには、 で通知設定を削除します User Notifications。方法については、「*AWS User Notifications ユーザーガイド*」の「[通知設定の管理](https://docs.aws.amazon.com/notifications/latest/userguide/managing-notifications.html)」を参照してください。
Macie の結果に対して複数の通知設定がある場合、1 つの設定を削除しても他の設定には影響しません。すべての設定を削除することも、一部の設定のみを削除することもできます。
# を使用した Macie の検出結果の評価 AWS Security Hub CSPM
AWS Security Hub CSPM は、 AWS 環境全体のセキュリティ体制を包括的に把握し、セキュリティ業界標準とベストプラクティスに照らして環境をチェックするのに役立つサービスです。これは部分的に、 AWS のサービス サポートされている複数の AWS Partner Network セキュリティソリューションからの結果を消費、集約、整理、優先順位付けすることによって行われます。Security Hub CSPM は、セキュリティの傾向を分析し、最も優先度の高いセキュリティ問題を特定するのに役立ちます。Security Hub CSPM を使用すると、複数の から検出結果を集約し AWS リージョン、1 つのリージョンから集約されたすべての検出結果データを評価して処理することもできます。Security Hub CSPM の詳細については、[AWS Security Hub 「 ユーザーガイド](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)」を参照してください。
Amazon Macie は Security Hub CSPM と統合されています。つまり、Macie から Security Hub CSPM に結果を自動的に発行できます。Security Hub CSPM は、これらの検出結果をセキュリティ体制の分析に含めることができます。さらに、Security Hub CSPM を使用して、 AWS 環境の検出結果データの大規模な集約セットの一部として、ポリシーと機密データの検出結果を評価および処理できます。つまり、組織のセキュリティ体制の広範な分析を実行しながら、Macie の検出結果を評価し、必要に応じて、その検出結果を修復できます。Security Hub CSPM は、複数のプロバイダーからの大量の検出結果に対処する複雑さを軽減します。さらに、これは Macie からの検出結果を含むすべての検出結果に標準形式を使用します。この形式、すなわち *AWS Security Finding 形式*を使用すると、時間のかかるデータ変換作業を実行する必要性を排除します。
**Topics**
+ [Macie が Security Hub CSPM に結果を発行する方法](#securityhub-integration-sending-findings)
+ [Security Hub CSPM での Macie の検出結果の例](#securityhub-integration-finding-example)
+ [Macie と Security Hub CSPM の統合](#securityhub-integration-enable)
+ [Security Hub CSPM への Macie の検出結果の発行の停止](#securityhub-integration-disable)
## Macie が検出結果を に発行する方法 AWS Security Hub CSPM
では AWS Security Hub CSPM、セキュリティの問題は検出結果として追跡されます。一部の検出結果は AWS のサービス、Amazon Macie やサポートされている AWS Partner Network セキュリティソリューションなど、 によって検出された問題に基づいています。Security Hub CSPM には、セキュリティの問題を検出し、検出結果を生成するために使用する一連のルールもあります。
Security Hub CSPM には、これらのすべてのソースの結果を管理するためのツールが用意されています。検出結果のリストを確認およびフィルタリングして、個々の検出結果の詳細をレビューできます。詳細については、「 *AWS Security Hub ユーザーガイド*[」の「検出結果の履歴と詳細の確認](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-viewing.html)」を参照してください。結果の調査状況を追跡することもできます。詳細については、「*AWS Security Hub ユーザーガイド*」の[「結果のワークフローステータスを設定する](https://docs.aws.amazon.com/securityhub/latest/userguide/findings-workflow-status.html)」を参照してください。
Security Hub CSPM のすべての調査結果で、*AWS Security Finding 形式 (ASFF)* と呼ばれる標準の JSON 形式が使用されます。ASFF には、問題のソース、影響を受けるリソース、および調査結果の現在のステータスに関する詳細が含まれます。詳細については、*AWS Security Hub ユーザーガイド*の [AWS Security Finding 形式 (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html)を参照してください。
### Macie が Security Hub CSPM に発行する検出結果のタイプ
Macie アカウントで選択したパブリケーション設定に応じて、Macie は機密データの検出結果とポリシーの検出結果の両方について、作成したすべての検出結果を Security Hub CSPM にパブリッシュできます。これらの設定とそれらの変更方法については、[調査結果の発行設定を設定する](findings-publish-frequency.md)を参照してください。デフォルトでは、Macie は新規および更新されたポリシーの検出結果のみを Security Hub CSPM に発行します。Macie は機密データの検出結果を Security Hub CSPM に公開しません。
#### 機密データの調査結果
[機密データの検出結果を](findings-types.md#findings-sensitive-data-types) Security Hub CSPM に発行するように Macie を設定すると、Macie はアカウント用に作成した各機密データの検出結果を自動的に発行し、検出結果の処理が完了した直後に発行します。Macie は、[抑制ルール](findings-suppression.md)によって自動的にアーカイブされないすべての機密データの調査結果に対してこれを行います。
ユーザーが組織の Macie 管理者である場合、出力は、Macie の所属組織の機密データ検出活動をユーザーが実行および自動化する機密データ検出ジョブからの検出結果に限定されます。ジョブを作成するアカウントのみが、ジョブが生成する機密データの結果を発行できます。Macie 管理者アカウントのみが、機密データ自動検出によって所属組織用に生成された機密データ検出結果を出力できます。
Macie が機密データの検出結果を Security Hub CSPM に発行すると、[AWS Security Hub CSPM のすべての検出結果の標準形式である Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html) が使用されます。ASFF では、`Types` フィールドは調査結果のタイプを示します。このフィールドでは、Macie での調査結果タイプの分類とは若干異なる分類を使用します。
次のテーブルに、Macie が作成できる機密データの調査結果の各タイプの ASFF 調査結果タイプを示します。
| Macie 調査結果タイプ | ASFF 調査結果タイプ |
| --- | --- |
| SensitiveData:S3Object/Credentials | Sensitive Data Identifications/Passwords/SensitiveData:S3Object-Credentials |
| SensitiveData:S3Object/CustomIdentifier | Sensitive Data Identifications/PII/SensitiveData:S3Object-CustomIdentifier |
| SensitiveData:S3Object/Financial | Sensitive Data Identifications/Financial/SensitiveData:S3Object-Financial |
| SensitiveData:S3Object/Multiple | Sensitive Data Identifications/PII/SensitiveData:S3Object-Multiple |
| SensitiveData:S3Object/Personal | Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal |
#### ポリシーの調査結果
[ポリシーの検出結果を](findings-types.md#findings-policy-types) Security Hub CSPM に発行するように Macie を設定すると、Macie は作成した新しいポリシーの検出結果を自動的に発行し、検出結果の処理が完了した直後に発行します。Macie が既存のポリシー検出結果のその後の出現を検出すると、アカウントで指定した発行頻度を使用して、Security Hub CSPM の既存の検出結果の更新を自動的に発行します。Macie は、[抑制ルール](findings-suppression.md)によって自動的にアーカイブされないすべてのポリシーの調査結果に対してこれらのタスクを実行します。
ユーザーが組織の Macie 管理者である場合、出力は、ユーザーのアカウントが直接所有する S3 バケットのポリシー検出結果に制限されます。Macie は、組織内のメンバーアカウントに対して作成または更新したポリシーの調査結果を発行しません。これにより、Security Hub CSPM に重複した検出結果データがないことを確認できます。
機密データの検出結果の場合と同様に、Macie は AWS Security Hub CSPM に新規および更新されたポリシーの検出結果を公開するときに Security Finding 形式 (ASFF) を使用します。ASFF では、`Types` フィールドは、Macie での調査結果タイプの分類とは若干異なる分類を使用します。
次のテーブルに、Macie が作成できるポリシーの調査結果の各タイプについて ASFF 調査結果タイプを示します。Macie が 2021 年 1 月 28 日以降に Security Hub CSPM でポリシー検出結果を作成または更新した場合、検出結果には Security Hub CSPM の ASFF `Types`フィールドの次のいずれかの値があります。
| Macie 調査結果タイプ | ASFF 調査結果タイプ |
| --- | --- |
| Policy:IAMUser/S3BlockPublicAccessDisabled | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled |
| Policy:IAMUser/S3BucketEncryptionDisabled | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketEncryptionDisabled |
| Policy:IAMUser/S3BucketPublic | Effects/Data Exposure/Policy:IAMUser-S3BucketPublic |
| Policy:IAMUser/S3BucketReplicatedExternally | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketReplicatedExternally |
| Policy:IAMUser/S3BucketSharedExternally | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedExternally |
| Policy:IAMUser/S3BucketSharedWithCloudFront | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedWithCloudFront |
Macie が 2021 年 1 月 28 日より前にポリシー検出結果を作成または最後に更新した場合、検出結果には Security Hub CSPM の ASFF `Types`フィールドの次のいずれかの値があります。
+ Policy:IAMUser/S3BlockPublicAccessDisabled
+ Policy:IAMUser/S3BucketEncryptionDisabled
+ Policy:IAMUser/S3BucketPublic
+ Policy:IAMUser/S3BucketReplicatedExternally
+ Policy:IAMUser/S3BucketSharedExternally
前のリストの値は、Macieの **調査結果タイプ**(`type`) フィールドの値に直接マッピングされます。
**注意事項**
Security Hub CSPM でポリシーの検出結果を確認して処理するときは、次の例外に注意してください。
確かに AWS リージョン、Macie は 2021 年 1 月 25 日に、新規および更新された検出結果に ASFF 検出結果タイプの使用を開始しました。
Macie が で ASFF 検出結果タイプを使用し始める前に Security Hub CSPM でポリシー検出結果を実行した場合 AWS リージョン、検出結果の ASFF `Types`フィールドの値は、前述のリストの Macie 検出結果タイプの 1 つです。それは、前のテーブルの ASFF 調査結果タイプのいずれかにはなりません。これは、 AWS Security Hub CSPM コンソールまたは API の AWS Security Hub CSPM `BatchUpdateFindings`オペレーションを使用して実行したポリシーの検出結果に当てはまります。
### Security Hub CSPM に結果を発行するレイテンシー
Amazon Macie は、新しいポリシーまたは機密データの検出結果を作成するとき、検出結果の処理が終了した直後に AWS Security Hub CSPM にその調査結果を発行します。
Macie は、既存のポリシー検出結果の後続の発生を検出すると、Security Hub CSPM の既存の検出結果の更新を発行します。更新のタイミングは、Macie アカウントで選択した発行頻度によって異なります。デフォルトでは、Macie は 15 分ごとに更新を発行します。アカウントの設定を変更する方法など、詳細については、[調査結果の発行設定を設定する](findings-publish-frequency.md)を参照してください。
### Security Hub CSPM が利用できない場合の発行の再試行
AWS Security Hub CSPM が使用できない場合、Amazon Macie は Security Hub CSPM によって受信されていない検出結果のキューを作成します。システムが復元されると、Macie は Security Hub CSPM が検出結果を受信するまで発行を再試行します。
### Security Hub CSPM の既存の検出結果を更新する
Amazon Macie がポリシー検出結果を に発行すると AWS Security Hub CSPM、Macie は検出結果または検出結果アクティビティの追加の発生を反映するように検出結果を更新します。Macie は、ポリシーの調査結果についてのみこれを行います。Macie は Security Hub CSPM で機密データの検出結果を更新しません。ポリシー検出結果とは異なり、機密データ検捨結果はすべて、新規 (一意) として処理されます。
Macie がポリシー結果への更新を発行するときに、Macie は、調査結果の **更新時刻**`UpdatedAt`のフィールド値を更新します。この値を使用して、検出結果を生成した潜在的なポリシー違反または問題のその後の出現を Macie が最後に検出したタイミングを判断できます。
Macie は、フィールドの既存の値が [ASFF 調査結果タイプ](#securityhub-integration-finding-types-policy)ではない場合、調査結果の **タイプ**`Types`フィールドの値も更新する場合があります。これは、Security Hub CSPM での検出結果に基づいて行動したかどうかによって異なります。調査結果を処理していない場合、Macie はフィールドの値を適切な ASFF 調査結果タイプに変更します。 AWS Security Hub CSPM コンソールまたは AWS Security Hub CSPM API の `BatchUpdateFindings`オペレーションを使用して検出結果を処理した場合、Macie はフィールドの値を変更しません。
## での Macie の検出結果の例 AWS Security Hub CSPM
Amazon Macie が検出結果を に発行するときは AWS Security Hub CSPM、[AWS Security Finding 形式 (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html) を使用します。これは、Security Hub CSPM のすべての検出結果の標準形式です。次の例では、サンプルデータを使用して、Macie がこの形式で Security Hub CSPM に発行する検出結果データの構造と性質を示します。
+ [機密データの調査結果の例](#securityhub-integration-finding-example-sdf)
+ [ポリシーの調査結果の例](#securityhub-integration-finding-example-policy)
### Security Hub CSPM での機密データの検出結果の例
以下は、Macie が ASFF を使用して Security Hub CSPM に公開した機密データの検出結果の例です。
```
{
"SchemaVersion": "2018-10-08",
"Id": "5be50fce24526e670df77bc00example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types":[
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
],
"CreatedAt": "2022-05-11T10:23:49.667Z",
"UpdatedAt": "2022-05-11T10:23:49.667Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "The S3 object contains personal information.",
"Description": "The object contains personal information such as first or last names, addresses, or identification numbers.",
"ProductFields": {
"JobArn": "arn:aws:macie2:us-east-1:111122223333:classification-job/698e99c283a255bb2c992feceexample",
"S3Object.Path": "amzn-s3-demo-bucket/2022 Sourcing.tsv",
"S3Object.Extension": "tsv",
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"OriginType": "SENSITIVE_DATA_DISCOVERY_JOB",
"S3Object.PublicAccess": "false",
"S3Object.Size": "14",
"S3Object.StorageClass": "STANDARD",
"S3Bucket.allowsUnencryptedObjectUploads": "TRUE",
"JobId": "698e99c283a255bb2c992feceexample",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/5be50fce24526e670df77bc00example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-12-30T18:16:25.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"BlockPublicPolicy": true,
"IgnorePublicAcls": true,
"RestrictPublicBuckets": true
}
}
}
},
{
"Type": "AwsS3Object",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket/2022 Sourcing.tsv",
"Partition": "aws",
"Region": "us-east-1",
"DataClassification": {
"DetailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/111122223333/Macie/us-east-1/
698e99c283a255bb2c992feceexample/111122223333/32b8485d-4f3a-3aa1-be33-aa3f0example.jsonl.gz",
"Result":{
"MimeType": "text/tsv",
"SizeClassified": 14,
"AdditionalOccurrences": false,
"Status": {
"Code": "COMPLETE"
},
"SensitiveData": [
{
"Category": "PERSONAL_INFORMATION",
"Detections": [
{
"Count": 1,
"Type": "USA_SOCIAL_SECURITY_NUMBER",
"Occurrences": {
"Cells": [
{
"Column": 10,
"Row": 1,
"ColumnName": "Other"
}
]
}
}
],
"TotalCount": 1
}
],
"CustomDataIdentifiers": {
"Detections": [
],
"TotalCount": 0
}
}
},
"Details": {
"AwsS3Object": {
"LastModified": "2022-04-22T18:16:46.000Z",
"ETag": "ebe1ca03ee8d006d457444445example",
"VersionId": "SlBC72z5hArgexOJifxw_IN57example",
"ServerSideEncryption": "aws:kms",
"SSEKMSKeyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
]
},
"Sample": false,
"ProcessedAt": "2022-05-11T10:23:49.667Z"
}
```
### Security Hub CSPM のポリシー検出結果の例
Macie が ASFF の Security Hub CSPM に公開した新しいポリシー検出結果の例を次に示します。
```
{
"SchemaVersion": "2018-10-08",
"Id": "36ca8ba0-caf1-4fee-875c-37760example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
],
"CreatedAt": "2022-04-24T09:27:43.313Z",
"UpdatedAt": "2022-04-24T09:27:43.313Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "Block Public Access settings are disabled for the S3 bucket",
"Description": "All Amazon S3 block public access settings are disabled for the Amazon S3 bucket. Access to the bucket is
controlled only by access control lists (ACLs) or bucket policies.",
"ProductFields": {
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"S3Bucket.allowsUnencryptedObjectUploads": "FALSE",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/36ca8ba0-caf1-4fee-875c-37760example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Tags": {
"Team": "Recruiting",
"Division": "HR"
},
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-11-25T18:24:38.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": false,
"BlockPublicPolicy": false,
"IgnorePublicAcls": false,
"RestrictPublicBuckets": false
}
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
]
},
"Sample": false
}
```
## Macie と の統合 AWS Security Hub CSPM
Amazon Macie を と統合するには AWS Security Hub CSPM、 の Security Hub CSPM を有効にします AWS アカウント。詳細については、「 *AWS Security Hub ユーザーガイド*」の[「Security Hub CSPM の有効化](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html)」を参照してください。
Macie と Security Hub CSPM の両方を有効にすると、統合は自動的に有効になります。デフォルトでは、Macie は新規および更新されたポリシーの検出結果を Security Hub CSPM に自動的に発行し始めます。統合を設定するために、追加のステップを実行する必要はありません。統合が有効になっているときに既存のポリシー検出結果がある場合、Macie は Security Hub CSPM に発行しません。代わりに、Macie は統合が有効になった後に作成または更新されたポリシー検出結果のみを発行します。
オプションで、Macie が Security Hub CSPM でポリシー検出結果の更新を発行する頻度を選択することで、設定をカスタマイズできます。機密データの検出結果を Security Hub CSPM に発行することもできます。この方法の詳細は、「[調査結果の発行設定を設定する](findings-publish-frequency.md)」を参照してください。
## Macie の検出結果の への発行の停止 AWS Security Hub CSPM
Amazon Macie の検出結果の への発行を停止するには AWS Security Hub CSPM、Macie アカウントの発行設定を変更できます。この方法の詳細は、「[調査結果の発行先を選択する](findings-publish-frequency.md#findings-publish-destinations-change)」を参照してください。これを行うには、Security Hub CSPM を使用します。方法については、「*AWS Security Hub ユーザーガイド*」の「[統合先からの結果のフローの無効化](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integration-disable.html)」を参照してください。
# Macie の検出結果の Amazon EventBridge イベントスキーマ
モニタリングやイベント管理システムなど、他のアプリケーション、サービス、およびシステムとの統合をサポートするために、Amazon Macie は調査結果をイベントとして Amazon EventBridge に自動的に発行します。以前の Amazon CloudWatch Events である EventBridge は、アプリケーションやその他の から 関数、Amazon Simple Notification Service トピック、Amazon Kinesis ストリームなどの AWS Lambda ターゲット AWS のサービス にリアルタイムデータのストリームを配信するサーバーレスイベントバスサービスです。EventBridge の詳細については、[Amazon EventBridge ユーザーガイド](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html)を参照してください。
**注記**
CloudWatch Events を現在使用している場合は、EventBridge イベントと CloudWatch イベントは同じ基盤となるサービスと API であることに注意してください。ただし、EventBridge には、SaaS (software as a service) アプリケーションやユーザー独自のアプリケーションからイベントを受け取ることができる追加機能が含まれています。基盤となるサービスと API が同じであるため、Macie の調査結果のイベントスキーマも同じです。
Macie は、新しい検出結果と既存のポリシーの検出結果のその後の出現に関するイベントを自動的に発行しますが、[抑制ルール](findings-suppression.md)を使用して自動的にアーカイブされた検出結果は含まれません。イベントは、 AWS イベントの EventBridge スキーマに準拠する JSON オブジェクトです。各イベントには、特定の検出結果の JSON 表現が含まれます。データは EventBridge イベントとして設定されているため、他のアプリケーション、サービス、およびツールを使用して、より簡単に検出結果をモニタリングおよび処理し、その検出結果に基づいて対応できます。Macie が検出結果についてのイベントを発行する方法とタイミングの詳細については、「[調査結果の発行設定を設定する](findings-publish-frequency.md)」を参照してください。
**Topics**
+ [Macie の検出結果のイベントスキーマ](#findings-publish-event-schema)
+ [ポリシーの検出結果のイベント例](#findings-publish-event-example-policy)
+ [機密データの検出結果のイベント例](#findings-publish-event-example-classification)
## Macie の検出結果のイベントスキーマ
次の例は、Macie の調査結果について、[EventBridge イベント](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html) のスキーマを示します。調査結果イベントに含めることができるフィールドの詳細な説明については、Amazon Macie API リファレンスの[調査結果](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html)を参照してください。検出結果イベントの構造とフィールドは、Amazon Macie API の `Finding` オブジェクトの近くにマッピングされます。
```
{
"version": "0",
"id": "event ID",
"detail-type": "Macie Finding",
"source": "aws.macie",
"account": "AWS アカウント ID (string)",
"time": "event timestamp (string)",
"region": "AWS リージョン (string)",
"resources": [
<-- ARNs of the resources involved in the event -->
],
"detail": {
<-- Details of a policy or sensitive data finding -->
},
"policyDetails": null, <-- Additional details of a policy finding or null for a sensitive data finding -->
"sample": Boolean,
"archived": Boolean
}
```
## ポリシーの検出結果のイベント例
次の例では、サンプルデータを使用して、[ポリシーの検出結果](findings-types.md#findings-policy-types)の Amazon EventBridge イベント内のオブジェクトとフィールドの構造と性質を示します。この例では、イベントは既存のポリシー検出結果の後続の出現をレポートします。Amazon Macie は、S3 バケットでブロックパブリックアクセス設定が無効になっていることを検出しました。次のフィールドと値は、これが当てはまるかどうかを判断するのに役立ちます。
+ `type` フィールドは `Policy:IAMUser/S3BlockPublicAccessDisabled` に設定されます。
+ `createdAt` と `updatedAt` フィールドは異なる値を持ちます。これは、イベントが既存のポリシーの調査結果のその後の出現をレポートする指標の 1 つです。イベントで新しい調査結果がレポートされた場合、これらのフィールドの値は同じになります。
+ `count` フィールドは `2` に設定されます。これは、それが調査結果の 2 回目の出現であることを示しています。
+ `category` フィールドは `POLICY` に設定されます。
+ `classificationDetails` フィールドの値は `null` です。これは、ポリシーの調査結果のこのイベントと、機密データの調査結果のイベントを区別するのに役立ちます。機密データの調査結果では、この値は、機密データを見つけた方法と種類に関する情報を提供するオブジェクトとフィールドのセットになります。
`sample` フィールドの値は `true` であることにも注意してください。この値は、これがドキュメントで使用するイベント例であることを強調しています。
```
{
"version": "0",
"id": "0948ba87-d3b8-c6d4-f2da-732a1example",
"detail-type": "Macie Finding",
"source": "aws.macie",
"account": "123456789012",
"time": "2024-04-30T23:12:15Z",
"region":"us-east-1",
"resources": [],
"detail": {
"schemaVersion": "1.0",
"id": "64b917aa-3843-014c-91d8-937ffexample",
"accountId": "123456789012",
"partition": "aws",
"region": "us-east-1",
"type": "Policy:IAMUser/S3BlockPublicAccessDisabled",
"title": "Block public access settings are disabled for the S3 bucket",
"description": "All bucket-level block public access settings were disabled for the S3 bucket. Access to the bucket is controlled by account-level block public access settings, access control lists (ACLs), and the bucket’s bucket policy.",
"severity": {
"score": 3,
"description": "High"
},
"createdAt": "2024-04-29T15:46:02Z",
"updatedAt": "2024-04-30T23:12:15Z",
"count": 2,
"resourcesAffected": {
"s3Bucket": {
"arn": "arn:aws:s3:::amzn-s3-demo-bucket1",
"name": "amzn-s3-demo-bucket1",
"createdAt": "2020-04-03T20:46:56.000Z",
"owner":{
"displayName": "johndoe",
"id": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example"
},
"tags": [
{
"key": "Division",
"value": "HR"
},
{
"key": "Team",
"value": "Recruiting"
}
],
"defaultServerSideEncryption": {
"encryptionType": "aws:kms",
"kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"publicAccess": {
"permissionConfiguration": {
"bucketLevelPermissions": {
"accessControlList": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"bucketPolicy": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"blockPublicAccess": {
"ignorePublicAcls": false,
"restrictPublicBuckets": false,
"blockPublicAcls": false,
"blockPublicPolicy": false
}
},
"accountLevelPermissions": {
"blockPublicAccess": {
"ignorePublicAcls": true,
"restrictPublicBuckets": true,
"blockPublicAcls": true,
"blockPublicPolicy": true
}
}
},
"effectivePermission": "NOT_PUBLIC"
},
"allowsUnencryptedObjectUploads": "FALSE"
},
"s3Object": null
},
"category": "POLICY",
"classificationDetails": null,
"policyDetails": {
"action": {
"actionType": "AWS_API_CALL",
"apiCallDetails": {
"api": "PutBucketPublicAccessBlock",
"apiServiceName": "s3.amazonaws.com",
"firstSeen": "2024-04-29T15:46:02.401Z",
"lastSeen": "2024-04-30T23:12:15.401Z"
}
},
"actor": {
"userIdentity": {
"type": "AssumedRole",
"assumedRole": {
"principalId": "AROA1234567890EXAMPLE:AssumedRoleSessionName",
"arn": "arn:aws:sts::123456789012:assumed-role/RoleToBeAssumed/MySessionName",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": false,
"creationDate": "2024-04-29T10:25:43.511Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AROA1234567890EXAMPLE",
"arn": "arn:aws:iam::123456789012:role/RoleToBeAssumed",
"accountId": "123456789012",
"userName": "RoleToBeAssumed"
}
}
},
"root": null,
"iamUser": null,
"federatedUser": null,
"awsAccount": null,
"awsService": null
},
"ipAddressDetails":{
"ipAddressV4": "192.0.2.0",
"ipOwner": {
"asn": "-1",
"asnOrg": "ExampleFindingASNOrg",
"isp": "ExampleFindingISP",
"org": "ExampleFindingORG"
},
"ipCountry": {
"code": "US",
"name": "United States"
},
"ipCity": {
"name": "Ashburn"
},
"ipGeoLocation": {
"lat": 39.0481,
"lon": -77.4728
}
},
"domainDetails": null
}
},
"sample": true,
"archived": false
}
}
```
## 機密データの検出結果のイベント例
次の例では、サンプルデータを使用して、[機密データの検出結果](findings-types.md#findings-sensitive-data-types)の Amazon EventBridge イベント内のオブジェクトとフィールドの構造と性質を示します。この例では、イベントは、Amazon Macie が S3 オブジェクト内で複数のカテゴリとタイプの機密データを見つけたという新しい機密データの検出結果をレポートします。次のフィールドと値は、これが当てはまるかどうかを判断するのに役立ちます。
+ `type` フィールドは `SensitiveData:S3Object/Multiple` に設定されます。
+ `createdAt` と `updatedAt` フィールドは同じ値を持ちます。ポリシーの調査結果とは異なり、機密データの調査結果では常にこれが当てはまります。すべての機密データの検出結果は、新規とみなされます。
+ `count` フィールドは `1` に設定されます。これは、それが新しい調査結果であることを示しています。ポリシーの調査結果とは異なり、機密データの調査結果では常にこれが当てはまります。すべての機密データの検出結果は、一意 (新規) とみなされます。
+ `category` フィールドは `CLASSIFICATION` に設定されます。
+ `policyDetails` フィールドの値は `null` です。これは、機密データの調査結果のこのイベントと、ポリシーの調査結果のイベントを区別するのに役立ちます。ポリシーの調査結果では、この値は、S3 バケットのセキュリティまたはプライバシーに関するポリシー違反やポリシーの問題の可能性に関する情報を提供するオブジェクトとフィールドのセットになります。
`sample` フィールドの値は `true` であることにも注意してください。この値は、これがドキュメントで使用するイベント例であることを強調しています。
```
{
"version": "0",
"id": "14ddd0b1-7c90-b9e3-8a68-6a408example",
"detail-type": "Macie Finding",
"source": "aws.macie",
"account": "123456789012",
"time": "2024-04-20T08:19:10Z",
"region": "us-east-1",
"resources": [],
"detail": {
"schemaVersion": "1.0",
"id": "4ed45d06-c9b9-4506-ab7f-18a57example",
"accountId": "123456789012",
"partition": "aws",
"region": "us-east-1",
"type": "SensitiveData:S3Object/Multiple",
"title": "The S3 object contains multiple categories of sensitive data",
"description": "The S3 object contains more than one category of sensitive data.",
"severity": {
"score": 3,
"description": "High"
},
"createdAt": "2024-04-20T18:19:10Z",
"updatedAt": "2024-04-20T18:19:10Z",
"count": 1,
"resourcesAffected": {
"s3Bucket": {
"arn": "arn:aws:s3:::amzn-s3-demo-bucket2",
"name": "amzn-s3-demo-bucket2",
"createdAt": "2020-05-15T20:46:56.000Z",
"owner": {
"displayName": "johndoe",
"id": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example"
},
"tags":[
{
"key":"Division",
"value":"HR"
},
{
"key":"Team",
"value":"Recruiting"
}
],
"defaultServerSideEncryption": {
"encryptionType": "aws:kms",
"kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"publicAccess": {
"permissionConfiguration": {
"bucketLevelPermissions": {
"accessControlList": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"bucketPolicy":{
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"blockPublicAccess": {
"ignorePublicAcls": true,
"restrictPublicBuckets": true,
"blockPublicAcls": true,
"blockPublicPolicy": true
}
},
"accountLevelPermissions": {
"blockPublicAccess": {
"ignorePublicAcls": false,
"restrictPublicBuckets": false,
"blockPublicAcls": false,
"blockPublicPolicy": false
}
}
},
"effectivePermission": "NOT_PUBLIC"
},
"allowsUnencryptedObjectUploads": "TRUE"
},
"s3Object":{
"bucketArn": "arn:aws:s3:::amzn-s3-demo-bucket2",
"key": "2024 Sourcing.csv",
"path": "amzn-s3-demo-bucket2/2024 Sourcing.csv",
"extension": "csv",
"lastModified": "2024-04-19T22:08:25.000Z",
"versionId": "",
"serverSideEncryption": {
"encryptionType": "aws:kms",
"kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"size": 4750,
"storageClass": "STANDARD",
"tags":[
{
"key":"Division",
"value":"HR"
},
{
"key":"Team",
"value":"Recruiting"
}
],
"publicAccess": false,
"etag": "6bb7fd4fa9d36d6b8fb8882caexample"
}
},
"category": "CLASSIFICATION",
"classificationDetails": {
"jobArn": "arn:aws:macie2:us-east-1:123456789012:classification-job/3ce05dbb7ec5505def334104bexample",
"jobId": "3ce05dbb7ec5505def334104bexample",
"result": {
"status": {
"code": "COMPLETE",
"reason": null
},
"sizeClassified": 4750,
"mimeType": "text/csv",
"additionalOccurrences": true,
"sensitiveData": [
{
"category": "PERSONAL_INFORMATION",
"totalCount": 65,
"detections": [
{
"type": "USA_SOCIAL_SECURITY_NUMBER",
"count": 30,
"occurrences": {
"lineRanges": null,
"offsetRanges": null,
"pages": null,
"records": null,
"cells": [
{
"row": 2,
"column": 1,
"columnName": "SSN",
"cellReference": null
},
{
"row": 3,
"column": 1,
"columnName": "SSN",
"cellReference": null
},
{
"row": 4,
"column": 1,
"columnName": "SSN",
"cellReference": null
}
]
}
},
{
"type": "NAME",
"count": 35,
"occurrences": {
"lineRanges": null,
"offsetRanges": null,
"pages": null,
"records": null,
"cells": [
{
"row": 2,
"column": 3,
"columnName": "Name",
"cellReference": null
},
{
"row": 3,
"column": 3,
"columnName": "Name",
"cellReference": null
}
]
}
}
]
},
{
"category": "FINANCIAL_INFORMATION",
"totalCount": 30,
"detections": [
{
"type": "CREDIT_CARD_NUMBER",
"count": 30,
"occurrences": {
"lineRanges": null,
"offsetRanges": null,
"pages": null,
"records": null,
"cells": [
{
"row": 2,
"column": 14,
"columnName": "CCN",
"cellReference": null
},
{
"row": 3,
"column": 14,
"columnName": "CCN",
"cellReference": null
}
]
}
}
]
}
],
"customDataIdentifiers": {
"totalCount": 0,
"detections": []
}
},
"detailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/123456789012/Macie/us-east-1/3ce05dbb7ec5505def334104bexample/d48bf16d-0deb-3e49-9d8c-d407cexample.jsonl.gz",
"originType": "SENSITIVE_DATA_DISCOVERY_JOB"
},
"policyDetails": null,
"sample": true,
"archived": false
}
}
```