기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Amazon EventBridge를 사용하여 Macie 조사 결과 처리
Amazon EventBridge(전 Amazon CloudWatch Events)는 서버리스 이벤트 버스 서비스입니다. EventBridge는 애플리케이션 및 서비스의 실시간 데이터 스트림을 제공한 다음, 해당 데이터를 AWS Lambda 함수, Amazon Simple Notification Service(SNS) 주제, Amazon Kinesis 스트림 등의 대상으로 라우팅합니다. EventBridge에 대해 자세히 알아보려면 [Amazon EventBridge 사용 설명서](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html)를 참조하세요.
EventBridge를 사용하면 특정 유형의 이벤트에 대한 모니터링 및 처리를 자동화할 수 있습니다. 여기에는 Amazon Macie가 새로운 정책 조사 결과 및 민감한 데이터 조사 결과에 대해 자동으로 게시하는 이벤트가 포함됩니다. 또한 Macie가 이후에 기존 정책 결과가 발생할 경우를 대비하여 자동으로 게시하는 이벤트도 포함됩니다. Macie가 이러한 이벤트를 게시하는 방법 및 시기에 대한 자세한 내용은 [조사 결과에 대한 게시 설정 구성](findings-publish-frequency.md) 섹션을 참조하세요.
EventBridge와 Macie가 조사 결과에 대해 게시하는 이벤트를 사용하면 거의 실시간으로 결과를 모니터링하고 처리할 수 있습니다. 그런 다음, 다른 애플리케이션과 서비스를 사용하여 결과에 따라 조치를 취할 수 있습니다. 예를 들어 EventBridge를 사용하여 특정 유형의 새로운 조사 결과를 AWS Lambda 함수에 보낼 수 있습니다. 그러면 Lambda 함수가 데이터를 처리하여 보안 인시던트 및 이벤트 관리(SIEM)시스템으로 전송할 수 있습니다. [Macie AWS User Notifications 와 통합](findings-monitor-events-uno.md)하는 경우 이벤트를 사용하여 지정한 전송 채널을 통해 결과를 자동으로 알릴 수도 있습니다.
자동 모니터링 및 처리 외에도 EventBridge를 사용하면 조사 결과 데이터를 장기간 보존할 수 있습니다. Macie는 조사 결과를 90일 동안 저장합니다. EventBridge를 사용하면 조사 결과 데이터를 선호하는 스토리지 플랫폼으로 보내고 원하는 기간 동안 데이터를 저장할 수 있습니다.
**참고**
장기 보존의 경우, 민감한 데이터 검색 결과를 S3 버킷에 저장하도록 Macie를 구성할 수있습니다. *민감한 데이터 검색 결과*는 객체에 민감한 데이터가 포함되어 있는지 여부를 확인하기 위해 Macie가 S3 객체에 대해 수행한 분석에 대한 세부 정보를 기록하는 레코드입니다. 자세한 내용은 [민감한 데이터 검색 결과 저장 및 유지](discovery-results-repository-s3.md)(을)를 참조하세요.
**Topics**
+ [EventBridge 작업](#findings-monitor-events-eventbridge-overview)
+ [조사 결과에 대한 EventBridge 규칙 생성](#findings-monitor-events-eventbridge-rule-cli)
## Amazon EventBridge 작업
Amazon EventBridge를 사용하면, 모니터링하려는 이벤트와 해당 이벤트에 대해 자동화된 작업을 수행하려는 대상을 지정하는 규칙을 생성할 수 있습니다. *대상*은 EventBridge가 이벤트를 보내는 대상입니다.
조사 결과에 대한 모니터링 및 처리 태스크를 자동화하려면 Amazon Macie 조사 결과 이벤트를 자동으로 감지하고 처리 또는 기타 태스크를 위해 이러한 이벤트를 다른 애플리케이션 또는 서비스로 보내는 EventBridge 규칙을 생성할 수 있습니다. 특정 기준을 충족하는 이벤트만 전송하도록 규칙을 조정할 수 있습니다. 이렇게 하려면 [Macie 조사 결과를 위한 Amazon EventBridge 이벤트 스키마](findings-publish-event-schemas.md)에서 파생된 기준을 지정하세요.
예를 들어, 특정 유형의 새 조사 결과를 AWS Lambda 함수에 보내는 규칙을 생성할 수 있습니다. 그러면 Lambda 함수는 데이터를 처리하여 SIEM 시스템으로 전송하거나, 특정 유형의 서버 측 암호화를 S3 객체에 자동으로 적용하거나, 객체의 액세스 제어 목록(ACL)을 변경하여 S3 객체에 대한 액세스를 제한하는 등의 태스크를 수행할 수 있습니다. 또는 심각도가 높은 새로운 조사 결과를 Amazon SNS 주제에 자동으로 보내는 규칙을 생성하여 인시던트 대응 팀에 결과를 알릴 수 있습니다.
EventBridge는 Lambda 함수를 호출하고 Amazon SNS 주제에 알리는 것 외에도 Amazon Kinesis 스트림에 이벤트 릴레이, AWS Step Functions 상태 시스템 활성화, AWS Systems Manager 실행 명령 호출과 같은 다른 유형의 대상 및 작업을 지원합니다. 지원되는 대상에 대한 자세한 설명은 **Amazon EventBridge 사용자 가이드의 [이벤트 버스 대상](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html)을 참조하세요.
## Macie 조사 결과에 대한 Amazon EventBridge 규칙 생성
다음 절차에서는 Amazon EventBridge 콘솔 및 [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)를 사용하여 Amazon Macie 조사 결과에 대한 EventBridge 규칙을 생성하는 방법에 대해 설명합니다. 규칙은 Macie 조사 결과에 대해 이벤트 스키마 및 패턴을 사용하는 EventBridge 이벤트를 감지하고 처리를 위해 해당 이벤트를 AWS Lambda 함수로 보냅니다.
AWS Lambda 는 서버를 프로비저닝하거나 관리하지 않고도 코드를 실행하는 데 사용할 수 있는 컴퓨팅 서비스입니다. 코드를 패키징하여에 *Lambda 함수* AWS Lambda 로 업로드합니다. AWS Lambda 그런 다음 함수가 호출될 때 함수를 실행합니다. 함수는 이벤트에 대한 응답으로 또는 애플리케이션 또는 서비스의 요청에 대한 응답으로 사용자가 수동으로 또는 자동으로 호출할 수 있습니다. Lambda 함수에 대한 자세한 내용은 [AWS Lambda 개발자 가이드](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)를 참조하세요.
------
#### [ Console ]
이 단계에 따라 Amazon EventBridge 콘솔을 사용하여 모든 Macie 조사 결과 이벤트를 Lambda 함수로 자동 전송하여 처리하는 규칙을 생성합니다. 규칙은 특정 이벤트가 수신될 때 실행되는 규칙의 기본 설정을 사용합니다. 규칙 설정에 대한 자세한 내용이나 사용자 지정 설정을 사용하는 규칙을 생성하는 방법을 알아보려면 *Amazon EventBridge 사용 설명서*의 [Creating rules that react to events](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) 섹션을 참조하세요.
**작은 정보**
또한 사용자 지정 이벤트 패턴을 사용하여 Macie 조사 결과 이벤트의 하위 세트만 감지하고 이에 따라 동작하는 규칙을 생성할 수 있습니다. 이 하위 세트는 Macie가 해당 이벤트에 포함하는 특정 필드를 기반으로 할 수 있습니다. 사용 가능한 필드에 대한 자세한 내용은 [Macie 조사 결과를 위한 Amazon EventBridge 이벤트 스키마](findings-publish-event-schemas.md) 섹션을 참조하세요. 규칙에 사용자 지정 패턴을 사용하는 방법에 대한 자세한 내용은 **Amazon EventBridge 사용 설명서의 [이벤트 패턴 생성을](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-pattern.html) 참조하세요.
규칙을 생성하려면 규칙에서 대상으로 사용하도록 하려는 Lambda 함수를 생성합니다. 규칙을 생성할 때 이 함수를 규칙의 대상으로 지정해야 합니다.
**콘솔을 사용하여 이벤트 규칙을 생성하려면**
1. Amazon EventBridge 콘솔([https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/))을 엽니다.
1. 탐색 창의 **버스** 아래에서 **규칙**을 선택합니다.
1. **Rules(규칙)** 섹션에서 **Create rule(규칙 생성)**을 선택합니다.
1. **규칙 세부 정보 정의** 페이지에서 다음을 수행합니다.
+ **Name(이름)**에 규칙 이름을 입력합니다.
+ (선택 사항) **설명**에 규칙에 대한 간략한 설명을 입력합니다.
+ **이벤트 버스**의 경우 **기본값**이 선택되어 있고 **선택한 이벤트 버스에 대해 규칙 활성화**가 켜져 있는지 확인하세요.
+ **규칙 유형**에서 **이벤트 패턴이 있는 규칙**을 생성합니다.
1. 마쳤으면 **다음**을 선택합니다.
1. **이벤트 패턴 빌드** 페이지에서 다음을 수행합니다.
+ **이벤트 소스**에서 **AWS 이벤트 또는 EventBridge 파트너 이벤트**를 선택합니다.
+ (선택 사항) **샘플 이벤트**의 경우 Macie의 샘플 조사 결과 이벤트를 검토하여 이벤트에 포함될 수 있는 항목을 알아보세요. 이렇게 하려면 **AWS 이벤트**를 선택하세요. 그런 다음 **샘플 이벤트**에서 **Macie 조사 결과**를 선택합니다.
+ **생성 방법**에서 **패턴 양식 사용**을 선택합니다.
+ **이벤트 패턴**에 다음 설정을 입력합니다.
+ **이벤트 소스**에서 **AWS 서비스**를 선택합니다.
+ **AWS 서비스**에서 **Macie**를 선택합니다.
+ **이벤트 유형**으로 **Macie 조사 결과**를 선택합니다.
1. 마쳤으면 **다음**을 선택합니다.
1. **대상 선택** 페이지에서 다음을 수행합니다.
+ **대상 유형(Target types**)에서 **AWS 서비스**를 선택합니다.
+ **대상 선택(Select a target)**에서 **Lambda 함수(Lambda function)**를 선택합니다. 그런 다음 **함수**에서 이벤트를 보낼 함수를 선택합니다.
+ **버전/별칭 구성**에 대상 Lambda 함수의 버전 및 별칭 설정을 입력합니다.
+ (선택 사항) **추가 설정**의 경우 사용자 지정 설정을 입력하여 Lambda 함수로 전송할 이벤트 데이터를 지정합니다. 함수에 성공적으로 전달되지 않은 이벤트를 처리하는 방법도 지정할 수 있습니다.
1. 마쳤으면 **다음**을 선택합니다.
1. **태그 구성** 페이지에서 규칙에 할당할 하나 이상의 태그를 선택적으로 입력합니다. 그리고 **다음**을 선택합니다.
1. **검토 및 생성** 페이지에서 규칙의 설정을 검토하고 올바른지 확인합니다.
설정을 변경하려면, 설정이 포함된 섹션에서 **편집**을 선택한 다음, 올바른 설정을 입력합니다. 탐색 탭을 사용하여 설정이 포함된 페이지로 이동할 수도 있습니다.
1. 설정 검증을 마치면 **생성**를 선택합니다.
------
#### [ AWS CLI ]
다음 단계에 따라를 사용하여 처리를 AWS CLI 위해 모든 Macie 결과 이벤트를 Lambda 함수로 보내는 EventBridge 규칙을 생성합니다. 규칙은 특정 이벤트가 수신될 때 실행되는 규칙의 기본 설정을 사용합니다. 이 절차에서 명령은 Microsoft Windows용으로 형식이 지정됩니다. Linux, macOS 또는 Linux의 경우 캐럿(^) 행 연속 문자를 백슬래시(\$1)로 바꿉니다.
규칙을 생성하려면 규칙에서 대상으로 사용하도록 하려는 Lambda 함수를 생성합니다. 함수를 생성할 때 함수의 Amazon 리소스 이름(ARN) 을 기록하세요. 규칙에 대한 대상을 지정할 때 이 ARN을 입력해야 합니다.
**를 사용하여 이벤트 규칙을 생성하려면 AWS CLI**
1. Macie가 EventBridge에 게시한 모든 결과에 대한 이벤트를 감지하는 규칙을 만드세요. 이 작업을 수행하려면 EventBridge [put-rule](https://docs.aws.amazon.com/cli/latest/reference/events/put-rule.html) 명령을 실행합니다. 예제:
```
C:\> aws events put-rule ^
--name MacieFindings ^
--event-pattern "{\"source\":[\"aws.macie\"]}"
```
여기서 *MacieFindings*는 원하는 규칙 이름입니다.
**작은 정보**
또한 사용자 지정 이벤트 패턴(`event-pattern`)을 사용하여 Macie 조사 결과 이벤트의 하위 세트만 감지하고 이에 따라 동작하는 규칙을 생성할 수 있습니다. 이 하위 세트는 Macie가 해당 이벤트에 포함하는 특정 필드를 기반으로 할 수 있습니다. 사용 가능한 필드에 대한 자세한 내용은 [Macie 조사 결과를 위한 Amazon EventBridge 이벤트 스키마](findings-publish-event-schemas.md) 섹션을 참조하세요. 규칙에 사용자 지정 패턴을 사용하는 방법에 대한 자세한 내용은 **Amazon EventBridge 사용 설명서의 [이벤트 패턴 생성을](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-pattern.html) 참조하세요.
이 명령이 성공적으로 실행되면 EventBridge는 규칙의 ARN을 사용하여 응답합니다. ARN을 적어 두세요. 3단계에서 이 정보가 필요합니다.
1. 규칙의 대상으로 사용할 Lambda 함수를 지정합니다. 이 작업을 수행하려면 EventBridge [put-targets](https://docs.aws.amazon.com/cli/latest/reference/events/put-targets.html) 명령을 실행합니다. 예제:
```
C:\> aws events put-targets ^
--rule MacieFindings ^
--targets Id=1,Arn=arn:aws:lambda:regionalEndpoint:accountID:function:my-findings-function
```
위의 명령에서 *MacieFindings*는 1단계에서 규칙에 대해 지정한 이름이고, `Arn` 파라미터 값은 규칙에서 대상으로 사용하도록 할 함수의 ARN입니다.
1. 규칙이 대상 Lambda 함수를 호출하도록 허용하는 권한을 추가합니다. 이렇게 하려면 Lambda [add-permission](https://docs.aws.amazon.com/cli/latest/reference/lambda/add-permission.html) 명령을 실행합니다. 예제:
```
C:\> aws lambda add-permission ^
--function-name my-findings-function ^
--statement-id Sid ^
--action lambda:InvokeFunction ^
--principal events.amazonaws.com ^
--source-arn arn:aws:events:regionalEndpoint:accountId:rule:MacieFindings
```
위치:
+ *my-findings-function*은 규칙에서 대상으로 사용하도록 할 Lambda 함수의 이름입니다.
+ *Sid*는 Lambda 함수 정책의 명령문을 설명하기 위해 정의하는 고유 식별자입니다.
+ `source-arn`은 EventBridge 규칙의 ARN입니다.
이 명령이 성공적으로 실행되면, 다음과 비슷한 출력이 표시됩니다.
```
{
"Statement": "{\"Sid\":\"sid\",
\"Effect\":\"Allow\",
\"Principal\":{\"Service\":\"events.amazonaws.com\"},
\"Action\":\"lambda:InvokeFunction\",
\"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:my-findings-function\",
\"Condition\":
{\"ArnLike\":
{\"AWS:SourceArn\":
\"arn:aws:events:us-east-1:111122223333:rule/MacieFindings\"}}}"
}
```
`Statement` 값은 Lambda 함수 정책에 추가된 문의 JSON 문자열 버전입니다.
------