기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Macie 조사 결과 모니터링 및 처리
Amazon Macie는 모니터링 또는 이벤트 관리 시스템과 같은 다른 애플리케이션, 서비스 및 시스템과의 통합을 지원하기 위해 Amazon EventBridge에 정책 및 민감한 데이터 조사 결과를 이벤트로 자동 게시합니다. 조직의 보안 태세에 대한 추가 지원 및 광범위한 분석을 위해 정책 및 민감한 데이터 조사 결과를AWS Security Hub CSPM에 게시하도록 Macie를 구성할 수도 있습니다.
**Amazon EventBridge**
이전 Amazon CloudWatch Events인 Amazon EventBridge는 애플리케이션 및 서비스의 실시간 데이터 스트림을 제공하고 해당 데이터를AWS Lambda함수, Amazon Simple Notification Service 주제 및 Amazon Kinesis 스트림과 같은 대상으로 라우팅하는 서버리스 이벤트 버스 서비스입니다. EventBridge를 사용하면 Macie가 조사 결과를 위해 게시하는 이벤트를 포함하여 특정 유형의 이벤트에 대한 모니터링 및 처리를 자동화할 수 있습니다. 자세한 내용은 [Amazon EventBridge를 사용하여 조사 결과 처리](findings-monitor-events-eventbridge.md)를 참조하세요.
Macie AWS User Notifications와 통합하는 경우 EventBridge 이벤트를 사용하여 Macie가 조사 결과를 위해 게시하는 이벤트에 대한 알림을 자동으로 생성할 수도 있습니다.사용자 알림를 사용하면 사용자 지정 규칙을 만들고 관심 있는 EventBridge 이벤트에 대한 알림을 수신하기 위한 전송 채널을 구성할 수 있습니다. 전송 채널에는 이메일, 채팅 애플리케이션의 Amazon Q Developer,의 푸시 알림이 포함됩니다AWS Console Mobile Application. 의 중앙 위치에서 알림을 검토할 수도 있습니다AWS Management Console. 자세한 내용은 [ AWS User Notifications를 사용하여 조사 결과 모니터링](findings-monitor-events-uno.md)를 참조하세요.
**AWS Security Hub CSPM**
AWS Security Hub CSPM는AWS환경 전반의 보안 상태에 대한 포괄적인 보기를 제공하는 보안 서비스입니다. 및AWS 서비스지원되는 보안 솔루션에서AWS Partner Network보안 데이터를 수집하고 보안 업계 표준 및 모범 사례를 기준으로 환경을 확인하는 데 도움이 됩니다. 또한 보안 추세를 분석하고 우선순위가 높은 문제를 식별하는 데 도움이 됩니다.
Security Hub CSPM을 사용하면 조직의 보안 태세에 대한 광범위한 분석의 일환으로 Macie 조사 결과를 검토하고 평가할 수 있습니다. 또한 여러의 조사 결과를 집계AWS 리전하고 단일 리전의 집계된 조사 결과 데이터를 모니터링하고 처리할 수 있습니다. 자세한 내용은 [ AWS Security Hub CSPM를 사용하여 조사 결과 평가](securityhub-integration.md)를 참조하세요.
Macie는 조사 결과를 생성하면 자동으로 해당 결과를 EventBridge에 새 이벤트로 게시합니다. 계정에 대해 선택한 게시 설정에 따라 Macie는 조사 결과를 Security Hub CSPM에 게시할 수도 있습니다. Macie는 조사 결과 처리가 끝난 후 각각의 새로운 조사 결과를 즉시 게시합니다. 기존 정책 조사 결과가 이후에 발생하는 것을 감지하면 조사 결과의 기존 EventBridge 이벤트에 대한 업데이트를 게시합니다. 게시 설정에 따라 Macie는 Security Hub CSPM에 업데이트를 게시할 수도 있습니다. Macie는 계정의 게시 설정에 지정된 게시 빈도를 사용하여 이러한 업데이트를 반복적으로 게시합니다.
위의 옵션 외에도 Amazon Macie API를 사용하여 결과 데이터를 직접 쿼리하고 검색할 수 있습니다. Amazon Macie API를 사용하면 데이터에 포괄적이고 프로그래밍 방식으로 액세스할 수 있습니다. 데이터를 쿼리하려면 Macie에 직접 HTTPS 요청을 보내거나 현재 버전의AWS SDK 또는AWS명령줄 도구를 사용할 수 있습니다. 데이터를 쿼리하면 Macie는 결과를 JSON 응답으로 반환합니다. 그런 다음 추가 처리, 모니터링 또는 보고를 위해 결과를 다른 서비스 또는 애플리케이션에 전달할 수 있습니다. 자세한 내용을 알아보려면 [Amazon Macie API 참조](https://docs.aws.amazon.com/macie/latest/APIReference/welcome.html)를 참조하세요.
**Topics**
+ [조사 결과에 대한 게시 설정 구성](findings-publish-frequency.md)
+ [Amazon EventBridge를 사용하여 조사 결과 처리](findings-monitor-events-eventbridge.md)
+ [AWS User Notifications를 사용하여 조사 결과 모니터링](findings-monitor-events-uno.md)
+ [AWS Security Hub CSPM를 사용하여 조사 결과 평가](securityhub-integration.md)
+ [조사 결과를 위한 Amazon EventBridge 이벤트 스키마](findings-publish-event-schemas.md)
# Macie 조사 결과에 대한 게시 설정 구성
Amazon Macie는 다른 애플리케이션, 서비스 및 시스템과의 통합을 지원하기 위해 Amazon EventBridge에 정책 조사 결과 및 민감한 데이터 조사 결과를 모두 이벤트로 자동 게시합니다. EventBridge를 사용하여 결과를 모니터링하고 처리하는 방법에 대한 자세한 내용은 [Amazon EventBridge를 사용하여 조사 결과 처리](findings-monitor-events-eventbridge.md)을(를) 참조하세요.
계정의 게시 설정에 지정한 대상 옵션을 AWS Security Hub CSPM 사용하여 조사 결과를에 자동으로 게시하도록 Macie를 구성할 수 있습니다. 이러한 옵션을 사용하면 정책 조사 결과만, 민감한 데이터 조사 결과만 또는 정책과 민감한 데이터 조사 결과 모두를 Security Hub CSPM에 게시하도록 Macie를 구성할 수 있습니다. Security Hub CSPM에 결과 게시를 중지하도록 Macie를 구성할 수도 있습니다. Security Hub CSPM을 사용하여 결과를 평가하고 처리하는 방법에 대한 자세한 내용은 섹션을 참조하세요[ AWS Security Hub CSPM를 사용하여 조사 결과 평가](securityhub-integration.md).
정책 조사 결과의 경우, Macie가 다른 AWS 서비스 에 검색 결과를 게시하는 시기는 조사 결과가 새로운 것인지 여부와 계정에 지정한 게시 빈도에 따라 달라집니다. 민감한 데이터 조사 결과의 경우, 시기가 항상 즉각적입니다. Macie는 조사 결과 처리가 끝난 후 즉시 민감한 데이터 조사 결과를 게시합니다. 정책 조사 결과와는 달리 Macie는 민감한 데이터 조사 결과를 모두 새로운(고유한) 것으로 취급됩니다.
Macie는 [금지 규칙](findings-suppression.md)에 의해 자동으로 보관되는 정책 또는 민감한 데이터 조사 결과를 게시하지 않습니다. 다시 말해, Macie는 숨겨진 결과를 다른 AWS 서비스에 공개하지 않습니다.
**Topics**
+ [게시 대상 선택](#findings-publish-destinations-change)
+ [게시 빈도 변경](#findings-publish-frequency-change)
## 조사 결과에 대한 게시 대상 선택
Amazon EventBridge 외에도 정책 및 민감한 데이터 조사 결과를에 자동으로 게시하도록 Amazon Macie를 구성할 수 있습니다. AWS Security Hub CSPM EventBridge 기본적으로 Macie는 새 정책 조사 결과와 업데이트된 정책 조사 결과만 Security Hub CSPM에 게시합니다. 기본 구성을 변경하거나 확장하려면 계정의 게시 대상 설정을 조정하세요.
대상 설정을 조정할 때 Macie가 Security Hub CSPM에 게시할 조사 결과 범주, 즉 정책 조사 결과만, 민감한 데이터 조사 결과만 또는 정책 및 민감한 데이터 조사 결과 모두를 선택합니다. Security Hub CSPM에 조사 결과 범주 게시를 중지하도록 선택할 수도 있습니다.
대상 설정을 변경하는 경우, 변경 사항은 현재 AWS 리전에만 적용됩니다. 조직의 Macie 관리자인 경우, 변경 사항은 해당 계정에만 적용됩니다. 조직의 멤버 계정에는 적용되지 않습니다. 자세한 내용은 [다중 계정 관리](macie-accounts.md) 섹션을 참조하세요.
**조사 결과에 대한 게시 대상을 선택하려면**
Amazon Macie 콘솔을 사용하여 대상 설정을 변경하려면 다음 단계를 따르세요. 프로그래밍 방식으로 이 작업을 수행하려면 Amazon Macie API의 [PutFindingsPublicationConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/findings-publication-configuration.html) 작업을 사용합니다.
1. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)에서 Amazon Macie 콘솔을 엽니다.
1. 탐색 창에서 **설정**을 선택합니다.
1. **조사 결과 게시 섹션**의 **대상**에서 다음 옵션 중 하나를 선택합니다.
+ **Security Hub CSPM에 정책 조사 결과 게시** - 새 정책 조사 결과와 업데이트된 정책 조사 결과를 Security Hub CSPM에 자동으로 게시하려면이 확인란을 선택합니다. Security Hub CSPM에 신규 및 업데이트된 정책 조사 결과 게시를 중지하려면이 확인란의 선택을 취소합니다.
이 확인란을 선택하고 기존 정책 조사 결과가 있는 경우 Macie는 이를 Security Hub CSPM에 게시하지 않습니다. 대신 Macie는 변경 사항을 저장한 후 생성하거나 업데이트하는 정책 조사 결과만 게시합니다.
+ **Security Hub CSPM에 민감한 데이터 조사 결과 게시** - 새로운 민감한 데이터 조사 결과를 Security Hub CSPM에 자동으로 게시하려면이 확인란을 선택합니다. Security Hub CSPM에 새로운 민감한 데이터 조사 결과 게시를 중지하려면이 확인란의 선택을 취소합니다.
이 확인란을 선택하고 기존의 민감한 데이터 조사 결과가 있는 경우 Macie는 이를 Security Hub CSPM에 게시하지 않습니다. 대신 Macie는 변경 사항을 저장한 후 생성한 민감한 데이터 조사 결과만 게시합니다.
1. **저장**을 선택합니다.
Security Hub CSPM에 조사 결과 범주를 게시하기로 선택한 경우 현재 리전에서 Security Hub CSPM도 활성화하고 Macie의 조사 결과를 수락하도록 구성해야 합니다. 그렇지 않으면 Security Hub CSPM의 결과에 액세스할 수 없습니다. Security Hub CSPM에서 조사 결과를 수락하는 방법을 알아보려면 *AWS Security Hub 사용 설명서*의 [Security Hub CSPM의 통합 이해를 참조하세요](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-providers.html).
## 조사 결과에 대한 게시 빈도 변경
Amazon Macie에서는 각 조사 결과에 고유한 식별자가 있습니다. Macie는 이 식별자를 사용하여 조사 결과를 다른 AWS 서비스에 게시할 시기를 결정합니다.
+ **새 조사 결과** – Macie는 신규 정책 또는 민감한 데이터 조사 결과를 만들 때 조사 결과 처리의 일환으로 조사 결과에 고유한 식별자를 할당합니다. Macie는 조사 결과 처리를 완료한 직후 해당 조사 결과를 Amazon EventBridge에 새 이벤트로 게시합니다. 사용자 계정의 게시 설정에 따라 Macie는 조사 결과를 새로운 조사 결과로 AWS Security Hub CSPM에 게시할 수도 있습니다.
+ **업데이트된 조사 결과** – Macie가 기존 정책 검색 결과의 후속 발생을 감지하면 후속 조사 결과에 대한 세부 정보를 추가하고 발생 횟수를 늘려 기존 조사 결과를 업데이트합니다. 또한 Macie는 이러한 업데이트를 기존 EventBridge 이벤트에 게시하고 계정의 게시 설정에 따라 기존 Security Hub CSPM 조사 결과에도 게시합니다. 기본적으로 Macie는 반복 게시 주기의 일환으로 15분마다 업데이트를 게시합니다. 즉, 가장 최근의 게시 주기 이후에 업데이트된 모든 정책 조사 결과는 보류되고 필요에 따라 다시 업데이트되며 다음 발행 주기(약 15분 후)에 포함됩니다.
Macie가 다른의 기존 정책 조사 결과에 대한 업데이트를 게시하는 빈도를 변경할 수 있습니다 AWS 서비스. 예를 들어 매시간 업데이트를 게시하도록 Macie를 구성할 수 있습니다. 이렇게 하면 12:00에 게시가 이루어지면 12:00 이후에 발생하는 모든 업데이트는 13:00에 게시됩니다.
빈도를 변경하면 변경 사항은 현재 에만 적용됩니다 AWS 리전. 사용자가 조직의 Macie 관리자인 경우, 변경 내용이 해당 조직의 모든 멤버 계정에도 적용됩니다. 자세한 내용은 [다중 계정 관리](macie-accounts.md) 섹션을 참조하세요.
**업데이트된 조사 결과에 대한 게시 빈도를 변경하려면**
Amazon Macie 콘솔을 사용하여 게시 빈도를 변경하려면 다음 단계를 따르세요. 이를 프로그래밍 방식으로 수행하려면 Amazon Macie API의 [UpdateMacieSession](https://docs.aws.amazon.com/macie/latest/APIReference/macie.html)작업을 사용합니다.
1. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)에서 Amazon Macie 콘솔을 엽니다.
1. 탐색 창에서 **설정**을 선택합니다.
1. **조사 결과 게시** 섹션의 **정책 조사 결과 업데이트 주기**에서 Macie가 정책 조사 결과 업데이트를 다른 AWS 서비스에 게시할 빈도를 선택합니다.
1. **저장**을 선택합니다.
# Amazon EventBridge를 사용하여 Macie 조사 결과 처리
Amazon EventBridge(전 Amazon CloudWatch Events)는 서버리스 이벤트 버스 서비스입니다. EventBridge는 애플리케이션 및 서비스의 실시간 데이터 스트림을 제공한 다음, 해당 데이터를 AWS Lambda 함수, Amazon Simple Notification Service(SNS) 주제, Amazon Kinesis 스트림 등의 대상으로 라우팅합니다. EventBridge에 대해 자세히 알아보려면 [Amazon EventBridge 사용 설명서](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html)를 참조하세요.
EventBridge를 사용하면 특정 유형의 이벤트에 대한 모니터링 및 처리를 자동화할 수 있습니다. 여기에는 Amazon Macie가 새로운 정책 조사 결과 및 민감한 데이터 조사 결과에 대해 자동으로 게시하는 이벤트가 포함됩니다. 또한 Macie가 이후에 기존 정책 결과가 발생할 경우를 대비하여 자동으로 게시하는 이벤트도 포함됩니다. Macie가 이러한 이벤트를 게시하는 방법 및 시기에 대한 자세한 내용은 [조사 결과에 대한 게시 설정 구성](findings-publish-frequency.md) 섹션을 참조하세요.
EventBridge와 Macie가 조사 결과에 대해 게시하는 이벤트를 사용하면 거의 실시간으로 결과를 모니터링하고 처리할 수 있습니다. 그런 다음, 다른 애플리케이션과 서비스를 사용하여 결과에 따라 조치를 취할 수 있습니다. 예를 들어 EventBridge를 사용하여 특정 유형의 새로운 조사 결과를 AWS Lambda 함수에 보낼 수 있습니다. 그러면 Lambda 함수가 데이터를 처리하여 보안 인시던트 및 이벤트 관리(SIEM)시스템으로 전송할 수 있습니다. [Macie AWS User Notifications 와 통합](findings-monitor-events-uno.md)하는 경우 이벤트를 사용하여 지정한 전송 채널을 통해 결과를 자동으로 알릴 수도 있습니다.
자동 모니터링 및 처리 외에도 EventBridge를 사용하면 조사 결과 데이터를 장기간 보존할 수 있습니다. Macie는 조사 결과를 90일 동안 저장합니다. EventBridge를 사용하면 조사 결과 데이터를 선호하는 스토리지 플랫폼으로 보내고 원하는 기간 동안 데이터를 저장할 수 있습니다.
**참고**
장기 보존의 경우, 민감한 데이터 검색 결과를 S3 버킷에 저장하도록 Macie를 구성할 수있습니다. *민감한 데이터 검색 결과*는 객체에 민감한 데이터가 포함되어 있는지 여부를 확인하기 위해 Macie가 S3 객체에 대해 수행한 분석에 대한 세부 정보를 기록하는 레코드입니다. 자세한 내용은 [민감한 데이터 검색 결과 저장 및 유지](discovery-results-repository-s3.md)(을)를 참조하세요.
**Topics**
+ [EventBridge 작업](#findings-monitor-events-eventbridge-overview)
+ [조사 결과에 대한 EventBridge 규칙 생성](#findings-monitor-events-eventbridge-rule-cli)
## Amazon EventBridge 작업
Amazon EventBridge를 사용하면, 모니터링하려는 이벤트와 해당 이벤트에 대해 자동화된 작업을 수행하려는 대상을 지정하는 규칙을 생성할 수 있습니다. *대상*은 EventBridge가 이벤트를 보내는 대상입니다.
조사 결과에 대한 모니터링 및 처리 태스크를 자동화하려면 Amazon Macie 조사 결과 이벤트를 자동으로 감지하고 처리 또는 기타 태스크를 위해 이러한 이벤트를 다른 애플리케이션 또는 서비스로 보내는 EventBridge 규칙을 생성할 수 있습니다. 특정 기준을 충족하는 이벤트만 전송하도록 규칙을 조정할 수 있습니다. 이렇게 하려면 [Macie 조사 결과를 위한 Amazon EventBridge 이벤트 스키마](findings-publish-event-schemas.md)에서 파생된 기준을 지정하세요.
예를 들어, 특정 유형의 새 조사 결과를 AWS Lambda 함수에 보내는 규칙을 생성할 수 있습니다. 그러면 Lambda 함수는 데이터를 처리하여 SIEM 시스템으로 전송하거나, 특정 유형의 서버 측 암호화를 S3 객체에 자동으로 적용하거나, 객체의 액세스 제어 목록(ACL)을 변경하여 S3 객체에 대한 액세스를 제한하는 등의 태스크를 수행할 수 있습니다. 또는 심각도가 높은 새로운 조사 결과를 Amazon SNS 주제에 자동으로 보내는 규칙을 생성하여 인시던트 대응 팀에 결과를 알릴 수 있습니다.
EventBridge는 Lambda 함수를 호출하고 Amazon SNS 주제에 알리는 것 외에도 Amazon Kinesis 스트림에 이벤트 릴레이, AWS Step Functions 상태 시스템 활성화, AWS Systems Manager 실행 명령 호출과 같은 다른 유형의 대상 및 작업을 지원합니다. 지원되는 대상에 대한 자세한 설명은 **Amazon EventBridge 사용자 가이드의 [이벤트 버스 대상](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html)을 참조하세요.
## Macie 조사 결과에 대한 Amazon EventBridge 규칙 생성
다음 절차에서는 Amazon EventBridge 콘솔 및 [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)를 사용하여 Amazon Macie 조사 결과에 대한 EventBridge 규칙을 생성하는 방법에 대해 설명합니다. 규칙은 Macie 조사 결과에 대해 이벤트 스키마 및 패턴을 사용하는 EventBridge 이벤트를 감지하고 처리를 위해 해당 이벤트를 AWS Lambda 함수로 보냅니다.
AWS Lambda 는 서버를 프로비저닝하거나 관리하지 않고도 코드를 실행하는 데 사용할 수 있는 컴퓨팅 서비스입니다. 코드를 패키징하여에 *Lambda 함수* AWS Lambda 로 업로드합니다. AWS Lambda 그런 다음 함수가 호출될 때 함수를 실행합니다. 함수는 이벤트에 대한 응답으로 또는 애플리케이션 또는 서비스의 요청에 대한 응답으로 사용자가 수동으로 또는 자동으로 호출할 수 있습니다. Lambda 함수에 대한 자세한 내용은 [AWS Lambda 개발자 가이드](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)를 참조하세요.
------
#### [ Console ]
이 단계에 따라 Amazon EventBridge 콘솔을 사용하여 모든 Macie 조사 결과 이벤트를 Lambda 함수로 자동 전송하여 처리하는 규칙을 생성합니다. 규칙은 특정 이벤트가 수신될 때 실행되는 규칙의 기본 설정을 사용합니다. 규칙 설정에 대한 자세한 내용이나 사용자 지정 설정을 사용하는 규칙을 생성하는 방법을 알아보려면 *Amazon EventBridge 사용 설명서*의 [Creating rules that react to events](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) 섹션을 참조하세요.
**작은 정보**
또한 사용자 지정 이벤트 패턴을 사용하여 Macie 조사 결과 이벤트의 하위 세트만 감지하고 이에 따라 동작하는 규칙을 생성할 수 있습니다. 이 하위 세트는 Macie가 해당 이벤트에 포함하는 특정 필드를 기반으로 할 수 있습니다. 사용 가능한 필드에 대한 자세한 내용은 [Macie 조사 결과를 위한 Amazon EventBridge 이벤트 스키마](findings-publish-event-schemas.md) 섹션을 참조하세요. 규칙에 사용자 지정 패턴을 사용하는 방법에 대한 자세한 내용은 **Amazon EventBridge 사용 설명서의 [이벤트 패턴 생성을](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-pattern.html) 참조하세요.
규칙을 생성하려면 규칙에서 대상으로 사용하도록 하려는 Lambda 함수를 생성합니다. 규칙을 생성할 때 이 함수를 규칙의 대상으로 지정해야 합니다.
**콘솔을 사용하여 이벤트 규칙을 생성하려면**
1. Amazon EventBridge 콘솔([https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/))을 엽니다.
1. 탐색 창의 **버스** 아래에서 **규칙**을 선택합니다.
1. **Rules(규칙)** 섹션에서 **Create rule(규칙 생성)**을 선택합니다.
1. **규칙 세부 정보 정의** 페이지에서 다음을 수행합니다.
+ **Name(이름)**에 규칙 이름을 입력합니다.
+ (선택 사항) **설명**에 규칙에 대한 간략한 설명을 입력합니다.
+ **이벤트 버스**의 경우 **기본값**이 선택되어 있고 **선택한 이벤트 버스에 대해 규칙 활성화**가 켜져 있는지 확인하세요.
+ **규칙 유형**에서 **이벤트 패턴이 있는 규칙**을 생성합니다.
1. 마쳤으면 **다음**을 선택합니다.
1. **이벤트 패턴 빌드** 페이지에서 다음을 수행합니다.
+ **이벤트 소스**에서 **AWS 이벤트 또는 EventBridge 파트너 이벤트**를 선택합니다.
+ (선택 사항) **샘플 이벤트**의 경우 Macie의 샘플 조사 결과 이벤트를 검토하여 이벤트에 포함될 수 있는 항목을 알아보세요. 이렇게 하려면 **AWS 이벤트**를 선택하세요. 그런 다음 **샘플 이벤트**에서 **Macie 조사 결과**를 선택합니다.
+ **생성 방법**에서 **패턴 양식 사용**을 선택합니다.
+ **이벤트 패턴**에 다음 설정을 입력합니다.
+ **이벤트 소스**에서 **AWS 서비스**를 선택합니다.
+ **AWS 서비스**에서 **Macie**를 선택합니다.
+ **이벤트 유형**으로 **Macie 조사 결과**를 선택합니다.
1. 마쳤으면 **다음**을 선택합니다.
1. **대상 선택** 페이지에서 다음을 수행합니다.
+ **대상 유형(Target types**)에서 **AWS 서비스**를 선택합니다.
+ **대상 선택(Select a target)**에서 **Lambda 함수(Lambda function)**를 선택합니다. 그런 다음 **함수**에서 이벤트를 보낼 함수를 선택합니다.
+ **버전/별칭 구성**에 대상 Lambda 함수의 버전 및 별칭 설정을 입력합니다.
+ (선택 사항) **추가 설정**의 경우 사용자 지정 설정을 입력하여 Lambda 함수로 전송할 이벤트 데이터를 지정합니다. 함수에 성공적으로 전달되지 않은 이벤트를 처리하는 방법도 지정할 수 있습니다.
1. 마쳤으면 **다음**을 선택합니다.
1. **태그 구성** 페이지에서 규칙에 할당할 하나 이상의 태그를 선택적으로 입력합니다. 그리고 **다음**을 선택합니다.
1. **검토 및 생성** 페이지에서 규칙의 설정을 검토하고 올바른지 확인합니다.
설정을 변경하려면, 설정이 포함된 섹션에서 **편집**을 선택한 다음, 올바른 설정을 입력합니다. 탐색 탭을 사용하여 설정이 포함된 페이지로 이동할 수도 있습니다.
1. 설정 검증을 마치면 **생성**를 선택합니다.
------
#### [ AWS CLI ]
다음 단계에 따라를 사용하여 처리를 AWS CLI 위해 모든 Macie 결과 이벤트를 Lambda 함수로 보내는 EventBridge 규칙을 생성합니다. 규칙은 특정 이벤트가 수신될 때 실행되는 규칙의 기본 설정을 사용합니다. 이 절차에서 명령은 Microsoft Windows용으로 형식이 지정됩니다. Linux, macOS 또는 Linux의 경우 캐럿(^) 행 연속 문자를 백슬래시(\$1)로 바꿉니다.
규칙을 생성하려면 규칙에서 대상으로 사용하도록 하려는 Lambda 함수를 생성합니다. 함수를 생성할 때 함수의 Amazon 리소스 이름(ARN) 을 기록하세요. 규칙에 대한 대상을 지정할 때 이 ARN을 입력해야 합니다.
**를 사용하여 이벤트 규칙을 생성하려면 AWS CLI**
1. Macie가 EventBridge에 게시한 모든 결과에 대한 이벤트를 감지하는 규칙을 만드세요. 이 작업을 수행하려면 EventBridge [put-rule](https://docs.aws.amazon.com/cli/latest/reference/events/put-rule.html) 명령을 실행합니다. 예제:
```
C:\> aws events put-rule ^
--name MacieFindings ^
--event-pattern "{\"source\":[\"aws.macie\"]}"
```
여기서 *MacieFindings*는 원하는 규칙 이름입니다.
**작은 정보**
또한 사용자 지정 이벤트 패턴(`event-pattern`)을 사용하여 Macie 조사 결과 이벤트의 하위 세트만 감지하고 이에 따라 동작하는 규칙을 생성할 수 있습니다. 이 하위 세트는 Macie가 해당 이벤트에 포함하는 특정 필드를 기반으로 할 수 있습니다. 사용 가능한 필드에 대한 자세한 내용은 [Macie 조사 결과를 위한 Amazon EventBridge 이벤트 스키마](findings-publish-event-schemas.md) 섹션을 참조하세요. 규칙에 사용자 지정 패턴을 사용하는 방법에 대한 자세한 내용은 **Amazon EventBridge 사용 설명서의 [이벤트 패턴 생성을](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-pattern.html) 참조하세요.
이 명령이 성공적으로 실행되면 EventBridge는 규칙의 ARN을 사용하여 응답합니다. ARN을 적어 두세요. 3단계에서 이 정보가 필요합니다.
1. 규칙의 대상으로 사용할 Lambda 함수를 지정합니다. 이 작업을 수행하려면 EventBridge [put-targets](https://docs.aws.amazon.com/cli/latest/reference/events/put-targets.html) 명령을 실행합니다. 예제:
```
C:\> aws events put-targets ^
--rule MacieFindings ^
--targets Id=1,Arn=arn:aws:lambda:regionalEndpoint:accountID:function:my-findings-function
```
위의 명령에서 *MacieFindings*는 1단계에서 규칙에 대해 지정한 이름이고, `Arn` 파라미터 값은 규칙에서 대상으로 사용하도록 할 함수의 ARN입니다.
1. 규칙이 대상 Lambda 함수를 호출하도록 허용하는 권한을 추가합니다. 이렇게 하려면 Lambda [add-permission](https://docs.aws.amazon.com/cli/latest/reference/lambda/add-permission.html) 명령을 실행합니다. 예제:
```
C:\> aws lambda add-permission ^
--function-name my-findings-function ^
--statement-id Sid ^
--action lambda:InvokeFunction ^
--principal events.amazonaws.com ^
--source-arn arn:aws:events:regionalEndpoint:accountId:rule:MacieFindings
```
위치:
+ *my-findings-function*은 규칙에서 대상으로 사용하도록 할 Lambda 함수의 이름입니다.
+ *Sid*는 Lambda 함수 정책의 명령문을 설명하기 위해 정의하는 고유 식별자입니다.
+ `source-arn`은 EventBridge 규칙의 ARN입니다.
이 명령이 성공적으로 실행되면, 다음과 비슷한 출력이 표시됩니다.
```
{
"Statement": "{\"Sid\":\"sid\",
\"Effect\":\"Allow\",
\"Principal\":{\"Service\":\"events.amazonaws.com\"},
\"Action\":\"lambda:InvokeFunction\",
\"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:my-findings-function\",
\"Condition\":
{\"ArnLike\":
{\"AWS:SourceArn\":
\"arn:aws:events:us-east-1:111122223333:rule/MacieFindings\"}}}"
}
```
`Statement` 값은 Lambda 함수 정책에 추가된 문의 JSON 문자열 버전입니다.
------
# 를 사용하여 Macie 조사 결과 모니터링 AWS User Notifications
AWS User Notifications 는에서 AWS 알림의 중앙 위치 역할을 하는 서비스입니다 AWS Management Console. 여기에는 Amazon CloudWatch 경보, AWS Support 사례 및 다른 사용자의 통신과 같은 알림이 포함됩니다 AWS 서비스. 를 사용하면 특정 유형의 Amazon EventBridge 이벤트에 대한 알림을 수신 사용자 알림하기 위한 사용자 지정 규칙 및 전송 채널을 구성할 수 있습니다. 전송 채널에는 이메일, 채팅 애플리케이션의 Amazon Q Developer,의 푸시 알림이 포함됩니다 AWS Console Mobile Application. AWS User Notifications 콘솔에서 알림을 검토할 수도 있습니다. 에 대해 자세히 알아보려면 [AWS User Notifications 사용 설명서를](https://docs.aws.amazon.com/notifications/latest/userguide/what-is-service.html) 사용자 알림참조하세요.
Amazon Macie는와 통합됩니다. 즉 AWS User Notifications, Macie가 정책 및 민감한 데이터 조사 결과를 위해 EventBridge에 게시하는 이벤트를 알리 사용자 알림 도록를 구성할 수 있습니다. 조사 결과 이벤트가 지정한 기준과 일치하면에서 알림을 사용자 알림 생성합니다. 알림에는 결과의 유형 및 심각도, 영향을 받는 리소스의 이름과 같은 관련 결과의 주요 세부 정보가 포함됩니다.는 사용자가 지정한 하나 이상의 전송 채널로 알림을 보낼 수도 사용자 알림 있습니다. 보안 및 규정 준수 워크플로에 맞게 전송 채널을 맞춤 설정할 수 있습니다.
예를 들어 심각도가 높은 특정 유형의 새로운 결과에 대한 알림을 생성 사용자 알림 하도록를 구성할 수 있습니다. 채팅 애플리케이션에서 Amazon Q Developer를 해당 알림의 전송 채널로 지정할 수도 있습니다. 사용자 알림 그런 다음는 결과에 대한 EventBridge 이벤트를 감지하고, 결과의 데이터를 포함하는 알림을 생성하고, 채팅 애플리케이션에서 Amazon Q Developer에 알림을 보냅니다. 그러면 채팅 애플리케이션의 Amazon Q Developer가 알림을 Slack 채널 또는 Amazon Chime 채팅룸으로 라우팅하여 인시던트 대응 팀에 알릴 수 있습니다.
**Topics**
+ [AWS User Notifications작업](#findings-monitor-events-uno-overview)
+ [조사 결과에 대한 알림 활성화 및 구성](#findings-monitor-events-uno-configure)
+ [알림 필드를 조사 결과 필드에 매핑](#findings-monitor-events-uno-schema)
+ [조사 결과에 대한 알림 설정 변경](#findings-monitor-events-uno-change)
+ [조사 결과에 대한 알림 비활성화](#findings-monitor-events-uno-disable)
## 작업 AWS User Notifications
를 사용하여 모니터링하고 알림을 수신하려는 Amazon EventBridge 이벤트 유형을 지정하는 규칙을 AWS User Notifications생성합니다. 규칙은 EventBridge 이벤트가 알림을 생성하기 위해 일치해야 하는 기준을 정의합니다. 규칙에 사용할 하나 이상의 전송 채널을 선택할 수도 있습니다. 전송 채널은 규칙의 기준과 일치하는 이벤트에 대한 알림을 수신할 위치를 지정합니다.
가 규칙의 기준과 일치하는 EventBridge 이벤트를 사용자 알림 감지하면 다음과 같은 일반 작업을 수행합니다.
1. 이벤트에서 일부 데이터를 추출합니다.
1. 추출된 데이터가 포함된 알림을 생성합니다.
1. 해당 유형의 이벤트에 대해 지정한 전송 채널에 알림을 보냅니다.
알림의 디자인과 구조는 전송되는 각 전송 채널에 맞게 최적화됩니다.
수신되는 알림의 빈도나 수를 제어하기 위해 규칙에 대한 집계 설정을 구성할 수 있습니다. 이러한 설정을 활성화하면는 여러 이벤트에 대한 데이터를 단일 알림으로 사용자 알림 결합합니다. 이벤트 통합 알림을 빠르고 자주 전송하도록 선택할 수 있는데, 이는 심각도가 높은 조사 결과 이벤트에 유용할 수 있습니다. 또는 알림 수신 빈도를 줄여서 심각도가 낮은 조사 결과 이벤트의 경우에는 이 방법을 사용하는 것이 좋습니다. 이벤트 데이터를 결합하면 AWS User Notifications 콘솔을 사용하여 드릴다운하여 집계된 각 이벤트의 세부 정보를 검토할 수 있습니다. 여기에서 Amazon Macie 콘솔의 각 관련 조사 결과를 탐색할 수도 있습니다.
## Macie 조사 결과에 AWS User Notifications 대해 활성화 및 구성
AWS User Notifications 가 Amazon Macie 조사 결과에 대한 알림을 생성하도록 하려면에서 Macie에 대한 알림 구성을 생성합니다 사용자 알림. *알림 구성*은 규칙의 기준을 지정합니다. 또한 규칙 기준과 일치하는 Amazon EventBridge 이벤트에 대한 알림을 모니터링하고 전송하기 위한 전송 채널 및 기타 설정을 지정합니다. 알림 구성 생성에 대한 자세한 내용은 **AWS User Notifications 사용 설명서의 [AWS User Notifications로 시작하기](https://docs.aws.amazon.com/notifications/latest/userguide/getting-started.html)를 참조하세요.
Macie 조사 결과에 대한 알림 구성을 생성하려면 이벤트 규칙에 대해 다음 옵션을 선택합니다.
+ **AWS 서비스 이름**으로 **Macie**를 선택합니다.
+ **이벤트 유형**으로 **Macie 조사 결과**를 선택합니다.
+ **리전** AWS 리전 에서 Macie를 사용하고 조사 결과에 대한 알림을 받을 각를 선택합니다.
이 구성을 사용하면는에 대한 EventBridge 이벤트를 사용자 알림 모니터링하고 선택한 리전의 모든 Macie 조사 결과 이벤트에 대한 알림을 AWS 계정 생성합니다. 이벤트는 다음 기준과 일치합니다.
+ `source` equals `aws.macie`
+ `detail-type` equals `Macie Finding`
이벤트 규칙의 기본 JSON 패턴은 다음과 같습니다.
```
{
"source": ["aws.macie"],
"detail-type": ["Macie Finding"]
}
```
규칙을 구체화하고 일부 조사 결과에 대해서만 알림을 생성하려면 규칙의 JSON 패턴을 사용자 지정할 수 있습니다. 이렇게 하려면 [Macie 조사 결과를 위한 Amazon EventBridge 이벤트 스키마](findings-publish-event-schemas.md)에서 파생된 추가 기준을 지정하세요.
사용자 지정 JSON 패턴을 사용하는 규칙을 생성하는 경우 Macie 조사 결과에 대한 여러 알림 구성을 만들 수 있습니다. 그런 다음 특정 유형의 조사 결과에 대한 보안 및 규정 준수 워크플로에 맞게 각 구성의 전송 채널 및 기타 설정을 조정할 수 있습니다.
예를 들어, Macie가 *Policy:IAMUser/S3BucketPublic* 조사사 결과를 생성하거나 업데이트하면 이를 알려주는 규칙을 하나 만들 수 있습니다. 이 경우 규칙의 패턴은 다음과 같을 수 있습니다.
```
{
"source": ["aws.macie"],
"detail-type": ["Macie Finding"],
"detail": {
"type": ["Policy:IAMUser/S3BucketPublic"]
}
}
```
또한 Macie가 공개적으로 액세스할 수 있는 S3 버킷에 대해 민감한 데이터 조사 결과를 생성할 경우 이를 알려주는 규칙을 하나 더 만들 수도 있습니다. 이 경우 규칙의 패턴은 다음과 같을 수 있습니다.
```
{
"source": ["aws.macie"],
"detail-type": ["Macie Finding"],
"detail": {
"type": [ { "prefix": "SensitiveData" } ],
"resourcesAffected": {
"effectivePermission": ["PUBLIC"]
}
}
}
```
Macie 조사 결과에 대한 알림 구성을 여러 개 만드는 경우 각 구성의 규칙이 고유한지 확인하는 것이 좋습니다. 그렇지 않으면 개별 조사 결과에 대해 중복된 알림을 받을 수 있습니다.
규칙의 이벤트 패턴을 사용자 지정하는 방법에 대해 자세히 알아보려면 **AWS User Notifications 사용 설명서의 [사용자 지정 JSON 이벤트 패턴 사용](https://docs.aws.amazon.com/notifications/latest/userguide/common-usecases.html)을 참조하세요.
## Macie 조사 결과 AWS User Notifications 필드에 필드 매핑
가 Amazon Macie 결과에 대한 알림을 AWS User Notifications 생성하면 해당 Amazon EventBridge 이벤트의 필드 하위 집합의 데이터로 알림이 채워집니다. 이러한 필드에는 조사 결과의 유형, 심각도, 영향을 받는 리소스의 이름 등 관련 조사 결과의 주요 세부 정보를 제공합니다.
AWS User Notifications 콘솔에서 알림을 검토하면이 필드 하위 집합에 대한 모든 데이터가 알림에 포함됩니다. Amazon Macie 콘솔의 관련 조사 결과로 연결되는 링크도 제공합니다. 다른 전송 채널에서 알림을 검토하는 경우 일부 필드에 대한 데이터만 포함되어 있을 수 있습니다. 이는 사용자 알림 가 지원하는 각 유형의 전송 채널에서 작동하도록 알림의 설계와 구조를 조정하기 때문입니다.
다음 표에는 조사 결과 알림에 포함될 수 있는 필드가 나열되어 있습니다. 표의 **알림 필드** 열은 알림의 필드 이름을 설명(*기울임꼴*)하거나 나타냅니다. **이벤트 필드 찾기** 열은 점 표기법을 사용하여 조사 결과에 대한 EventBridge 이벤트의 해당 JSON 필드 이름을 나타냅니다. **설명** 열은 필드에 저장된 데이터를 설명합니다.
| 알림 필드 | 조사 결과 이벤트 필드 | 설명 |
| --- | --- | --- |
| *메시지 헤드라인* | `detail.type` | 조사 결과 유형입니다. 예: `Policy:IAMUser/S3BucketPublic` 또는 `SensitiveData:S3Object/Financial`. |
| 요약 | `detail.title` | 조사 결과에 대한 간략한 설명입니다. 예: `The S3 object contains financial information.` |
| 설명 | `detail.description` | 조사 결과에 대한 전체 설명입니다. 예: `The S3 object contains financial information such as bank account numbers or credit card numbers.` |
| 심각도 | `detail.severity.description` | 조사 결과의 심각도에 대한 질적 표현 `Low`, `Medium` 또는 `High`입니다. |
| 결과 ID | `detail.id` | 조사 결과의 고유 식별자입니다. |
| Created | `detail.createdAt` | Macie가 조사 결과를 생성한 날짜 및 시간입니다. |
| 업데이트 | `detail.updatedAt` | Macie가 가장 최근에 조사 결과를 업데이트한 날짜 및 시간입니다. 민감한 데이터 조사 결과의 경우 이 값은 *생성됨*(`detail.createdAt`) 필드의 값과 동일합니다. 모든 민감한 데이터 조사 결과는 새로운 것(고유한 것)으로 간주됩니다. |
| 영향을 받는 S3 버킷 | `detail.resourcesAffected.s3Bucket.arn` | 영향을 받는 S3 버킷의 Amazon 리소스 이름(ARN)입니다. |
| 영향을 받는 S3 객체 | `detail.resourcesAffected.s3Object.path` | 영향을 받는 S3 객체의 이름(*키*)입니다. 객체를 저장하는 버킷의 이름으로 해당하는 경우 객체의 접두사를 포함합니다. 이 필드는 정책 조사 결과 알림에 포함되지 않습니다. |
| *민감한 데이터 감지* | `detail.classificationDetails.result.sensitiveData.detections...` And/Or `detail.classificationDetails.result.customDataIdentifiers.detections...` | 이는 민감한 데이터 조사 결과를 위해 이벤트의 여러 필드를 결합한 것입니다. 이 필드는 정책 조사 결과 알림에 포함되지 않습니다. 관리형 데이터 식별자가 민감한 데이터를 탐지한 경우 이 필드는 탐지된 민감한 데이터의 범주, 유형 및 발생 횟수(`count`)를 지정합니다. 예를 들어 `PERSONAL_INFORMATION: USA_SOCIAL_SECURITY_NUMBER 100 occurrences`입니다. 사용자 지정 데이터 식별자가 민감한 데이터를 탐지한 경우 이 필드는 사용자 지정 데이터 식별자의 이름과 탐지된 민감한 데이터의 발생 횟수(`count`)를 지정합니다. 예를 들어 `Employee ID 20 occurrences`입니다. 조사 결과 하나가 여러 유형의 민감한 데이터를 보고하는 경우 알림에는 최대 4가지 유형의 데이터가 포함됩니다. 데이터는 먼저 해당하는 사용자 지정 데이터 식별자로 채워진 다음 해당하는 관리 데이터 식별자로 채워집니다. |
## Macie 조사 결과에 대한 AWS User Notifications 설정 변경
언제든지 Amazon Macie 조사 결과에 대한 AWS User Notifications 설정을 변경할 수 있습니다. 이렇게 하려면 사용자 알림에서 알림 구성을 편집합니다. 방법을 알아보려면 **AWS User Notifications 사용 설명서의 [알림 구성 관리](https://docs.aws.amazon.com/notifications/latest/userguide/managing-notifications.html)를 참조하세요.
Macie 조사 결과에 대한 알림 구성이 여러 개 있는 경우 한 구성의 설정을 변경해도 다른 구성의 설정에는 영향을 주지 않습니다. 전체 또는 일부 구성만 편집할 수 있습니다.
## Macie 조사 결과에 AWS User Notifications 대해 비활성화
Amazon Macie 조사 결과에 AWS User Notifications 대한 알림 생성 및 수신을 중지하려면에서 알림 구성을 삭제합니다 사용자 알림. 방법을 알아보려면 **AWS User Notifications 사용 설명서의 [알림 구성 관리](https://docs.aws.amazon.com/notifications/latest/userguide/managing-notifications.html)를 참조하세요.
Macie 조사 결과에 대한 알림 구성이 여러 개 있는 경우, 한 구성을 삭제해도 다른 구성에는 영향을 주지 않습니다. 전체 또는 일부 구성만 삭제할 수 있습니다.
# 를 사용하여 Macie 조사 결과 평가 AWS Security Hub CSPM
AWS Security Hub CSPM 는 AWS 환경 전반의 보안 태세에 대한 포괄적인 보기를 제공하고 보안 업계 표준 및 모범 사례를 기준으로 환경을 확인하는 데 도움이 되는 서비스입니다. 부분적으로는 지원되는 여러 AWS Partner Network 보안 솔루션의 조사 결과를 사용, 집계, 구성 AWS 서비스 및 우선 순위를 지정하여 이를 수행합니다. Security Hub CSPM을 사용하면 보안 추세를 분석하고 우선 순위가 가장 높은 보안 문제를 식별할 수 있습니다. Security Hub CSPM을 사용하면 여러의 조사 결과를 집계 AWS 리전한 다음 단일 리전에서 집계된 모든 조사 결과 데이터를 평가하고 처리할 수도 있습니다. Security Hub CSPM에 대한 자세한 내용은 [AWS Security Hub 사용 설명서를](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) 참조하세요.
Amazon Macie는 Security Hub CSPM과 통합되므로 Macie의 조사 결과를 Security Hub CSPM에 자동으로 게시할 수 있습니다. 그런 다음 Security Hub CSPM은 이러한 결과를 보안 태세 분석에 포함할 수 있습니다. 또한 Security Hub CSPM을 사용하여 AWS 환경에 대한 더 크고 집계된 결과 데이터 세트의 일부로 정책 및 민감한 데이터 결과를 평가하고 처리할 수 있습니다. 다시 말해, 조직의 보안 태세에 대한 광범위한 분석을 수행하면서 Macie 조사 결과를 평가하고 필요에 따라 조사 결과를 수정할 수 있습니다. Security Hub CSPM은 여러 공급자의 대량 조사 결과를 해결하는 복잡성을 줄입니다. 또한, Macie의 조사 결과를 포함하여 모든 조사 결과에 대해 표준 형식을 사용합니다. 이 형식인 *AWS 보안 조사 결과 형식(ASFF)*을 사용하면 시간이 많이 걸리는 데이터 변환 작업을 수행할 필요가 없습니다.
**Topics**
+ [Macie가 Security Hub CSPM에 조사 결과를 게시하는 방법](#securityhub-integration-sending-findings)
+ [Security Hub CSPM의 Macie 조사 결과 예](#securityhub-integration-finding-example)
+ [Macie와 Security Hub CSPM 통합](#securityhub-integration-enable)
+ [Security Hub CSPM에 Macie 조사 결과 게시 중지](#securityhub-integration-disable)
## Macie가 결과를에 게시하는 방법 AWS Security Hub CSPM
에서 AWS Security Hub CSPM보안 문제는 조사 결과로 추적됩니다. 일부 결과는 Amazon Macie 또는 지원되는 AWS Partner Network 보안 솔루션 AWS 서비스과 같이에서 감지한 문제에서 비롯됩니다. Security Hub CSPM에는 보안 문제를 감지하고 조사 결과를 생성하는 데 사용하는 규칙 집합도 있습니다.
Security Hub CSPM은 이러한 모든 소스의 결과를 관리하는 도구를 제공합니다. 사용자는 조사 결과 목록을 조회하고 필터링할 수 있으며 주어진 조사 결과의 세부 정보를 조회할 수도 있습니다. 방법을 알아보려면 *AWS Security Hub 사용 설명서*의 [결과 기록 및 세부 정보 검토를](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-viewing.html) 참조하세요. 또한 주어진 조사 결과에 대한 조사 상태를 추적할 수도 있습니다. 방법을 알아보려면 *AWS Security Hub 사용 설명서*의 [조사 결과에 대한 워크플로 상태 설정](https://docs.aws.amazon.com/securityhub/latest/userguide/findings-workflow-status.html)을 참조하세요.
Security Hub CSPM의 모든 조사 결과는 표준 JSON 형식을 사용합니다. 이를 *AWS Security Finding Format(ASFF)*이라고 합니다. ASFF에는 문제의 출처, 영향을 받은 리소스와 조사 결과의 현재 상태 등에 관한 세부 정보가 포함됩니다. 자세한 내용은 *AWS Security Hub 사용 설명서*의 [AWS 보안 조사 결과 형식(ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html)을 참조하세요.
### Macie가 Security Hub CSPM에 게시하는 조사 결과 유형
Macie 계정에 대해 선택한 게시 설정에 따라 Macie는 민감한 데이터 조사 결과와 정책 조사 결과를 모두 Security Hub CSPM에 게시할 수 있습니다. 이 설정과 설정을 변경하는 자세한 내용은 [조사 결과에 대한 게시 설정 구성](findings-publish-frequency.md)을(를) 참조하세요. 기본적으로 Macie는 새 정책 조사 결과와 업데이트된 정책 조사 결과만 Security Hub CSPM에 게시합니다. Macie는 Security Hub CSPM에 민감한 데이터 조사 결과를 게시하지 않습니다.
#### 민감한 데이터 조사 결과
[민감한 데이터 조사 결과를](findings-types.md#findings-sensitive-data-types) Security Hub CSPM에 게시하도록 Macie를 구성하면 Macie는 계정에 대해 생성한 각 민감한 데이터 조사 결과를 자동으로 게시하고 조사 결과 처리를 완료한 직후 게시합니다. Macie는 [억제 규칙](findings-suppression.md)에 의해 자동으로 보관되지 않는 모든 민감한 데이터 검색 결과에 대해 이 작업을 수행합니다.
사용자가 조직의 Macie 관리자인 경우, 사용자가 실행한 민감한 데이터 검색 작업에서 얻은 결과와 Macie가 조직을 위해 수행한 민감한 데이터 자동 검색 작업으로 게시가 제한됩니다. 작업을 생성한 계정만 해당 작업이 생성한 민감한 데이터 결과를 게시할 수 있습니다. Macie 관리자 계정만 민감한 데이터 자동 검색을 통해 조직에 제공하는 민감한 데이터 결과를 게시할 수 있습니다.
Macie는 Security Hub CSPM에 민감한 데이터 조사 결과를 게시할 때 Security Hub CSPM의 [AWS 모든 조사 결과에 대한 표준 형식인 Security Finding Format(ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html)을 사용합니다. ASFF에서 `Types` 필드는 조사 결과 유형을 나타냅니다. 이 필드는 Macie의 검색 유형 분류법과 약간 다른 분류법을 사용합니다.
다음 표에는 Macie가 생성할 수 있는 각 유형의 민감한 데이터 조사 결과에 대한 ASFF 검색 유형이 나열되어 있습니다.
| Macie 조사 결과 유형 | ASFF 조사 결과 유형 |
| --- | --- |
| SensitiveData:S3Object/Credentials | Sensitive Data Identifications/Passwords/SensitiveData:S3Object-Credentials |
| SensitiveData:S3Object/CustomIdentifier | Sensitive Data Identifications/PII/SensitiveData:S3Object-CustomIdentifier |
| SensitiveData:S3Object/Financial | Sensitive Data Identifications/Financial/SensitiveData:S3Object-Financial |
| SensitiveData:S3Object/Multiple | Sensitive Data Identifications/PII/SensitiveData:S3Object-Multiple |
| SensitiveData:S3Object/Personal | Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal |
#### 정책 조사 결과
Security Hub CSPM에 [정책 조사 결과를](findings-types.md#findings-policy-types) 게시하도록 Macie를 구성하면 Macie는 생성하는 각각의 새 정책 조사 결과를 자동으로 게시하고 조사 결과 처리를 완료한 직후 게시합니다. Macie는 기존 정책 조사 결과의 후속 발생을 감지하면 계정에 지정한 게시 빈도를 사용하여 Security Hub CSPM의 기존 조사 결과에 대한 업데이트를 자동으로 게시합니다. Macie는 [억제 규칙](findings-suppression.md)에 의해 자동으로 보관되지 않는 모든 정책 결과에 대해 이러한 작업을 수행합니다.
조직의 Macie 관리자인 경우 사용자 계정이 직접 소유한 S3 버킷에 대한 정책 조사 결과만 게시할 수 있습니다. Macie는 조직의 구성원 계정을 위해 생성하거나 업데이트한 정책 결과를 게시하지 않습니다. 이렇게 하면 Security Hub CSPM에 중복 결과 데이터가 없도록 할 수 있습니다.
민감한 데이터 조사 결과의 경우와 마찬가지로 Macie는 새롭고 업데이트된 정책 조사 결과를 AWS Security Hub CSPM에 게시할 때 Security Finding Format(ASFF)을 사용합니다. ASFF에서 `Types` 필드는 Macie의 조사 결과 유형 분류법과 약간 다른 분류법을 사용합니다.
다음 표에는 Macie가 생성할 수 있는 각 정책 조사 결과 유형에 대한 ASFF 조사 결과 유형이 나열되어 있습니다. Macie가 2021년 1월 28일 또는 그 이후에 Security Hub CSPM에서 정책 결과를 생성하거나 업데이트한 경우, 해당 결과에는 Security Hub CSPM의 ASFF `Types` 필드에 대한 다음 값 중 하나가 있습니다.
| Macie 조사 결과 유형 | ASFF 조사 결과 유형 |
| --- | --- |
| Policy:IAMUser/S3BlockPublicAccessDisabled | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled |
| Policy:IAMUser/S3BucketEncryptionDisabled | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketEncryptionDisabled |
| Policy:IAMUser/S3BucketPublic | Effects/Data Exposure/Policy:IAMUser-S3BucketPublic |
| Policy:IAMUser/S3BucketReplicatedExternally | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketReplicatedExternally |
| Policy:IAMUser/S3BucketSharedExternally | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedExternally |
| Policy:IAMUser/S3BucketSharedWithCloudFront | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedWithCloudFront |
Macie가 2021년 1월 28일 이전에 정책 결과를 생성하거나 마지막으로 업데이트한 경우 해당 결과에는 Security Hub CSPM의 ASFF `Types` 필드에 대한 다음 값 중 하나가 있습니다.
+ Policy:IAMUser/S3BlockPublicAccessDisabled
+ Policy:IAMUser/S3BucketEncryptionDisabled
+ Policy:IAMUser/S3BucketPublic
+ Policy:IAMUser/S3BucketReplicatedExternally
+ Policy:IAMUser/S3BucketSharedExternally
위 목록의 값은 Macie의 **검색 유형**(`type`) 필드 값에 직접 매핑됩니다.
**참고**
Security Hub CSPM에서 정책 조사 결과를 검토하고 처리할 때 다음 예외 사항에 유의하세요.
특히 AWS 리전 Macie는 빠르면 2021년 1월 25일부터 새로운 조사 결과 및 업데이트된 조사 결과에 ASFF 조사 결과 유형을 사용하기 시작했습니다.
Macie가에서 ASFF 조사 결과 유형을 사용하기 시작하기 전에 Security Hub CSPM에서 정책 조사 결과를 수행한 경우 조사 결과의 ASFF `Types` 필드 AWS 리전값은 이전 목록의 Macie 조사 결과 유형 중 하나입니다. 이는 위 표의 ASFF 검색 유형 중 하나가 아닐 것입니다. 이는 AWS Security Hub CSPM 콘솔 또는 API `BatchUpdateFindings` 작업을 사용하여 수행한 정책 조사 결과에 적용됩니다 AWS Security Hub CSPM .
### Security Hub CSPM에 조사 결과를 게시하기 위한 지연 시간
Amazon Macie는 새 정책 또는 민감한 데이터 조사 결과를 만들면 조사 결과 처리가 완료된 후 즉시 AWS Security Hub CSPM 에 결과를 게시합니다.
Macie는 기존 정책 조사 결과의 후속 발생을 감지하면 Security Hub CSPM에 기존 조사 결과에 대한 업데이트를 게시합니다. 업데이트 시기는 Macie 계정에 대해 선택한 게시 빈도에 따라 달라집니다. 기본적으로 Macie는 15분마다 업데이트를 게시합니다. 계정 설정을 변경하는 방법 등 자세한 내용은 [조사 결과에 대한 게시 설정 구성](findings-publish-frequency.md)을(를) 참조하세요.
### Security Hub CSPM을 사용할 수 없는 경우 게시 재시도
AWS Security Hub CSPM 를 사용할 수 없는 경우 Amazon Macie는 Security Hub CSPM에서 수신하지 않은 결과의 대기열을 생성합니다. 시스템이 복원되면 Macie는 Security Hub CSPM에서 조사 결과를 수신할 때까지 게시를 재시도합니다.
### Security Hub CSPM에서 기존 조사 결과 업데이트
Amazon Macie가 정책 조사 결과를에 게시한 후 AWS Security Hub CSPM Macie는 조사 결과 또는 조사 결과 활동의 추가 발생을 반영하도록 조사 결과를 업데이트합니다. Macie는 정책 조사 결과에 대해서만 이 작업을 수행합니다. Macie는 Security Hub CSPM에서 민감한 데이터 조사 결과를 업데이트하지 않습니다. 정책 조사 결과와는 달리 민감한 데이터 조사 결과는 모두 새로운(고유한) 것으로 취급됩니다.
Macie가 정책 조사 결과에 대한 업데이트를 게시하면 Macie는 조사 결과의 **업데이트 날짜**(`UpdatedAt`) 필드 값을 업데이트합니다. 이 값을 사용하여 Macie가 결과를 초래한 잠재적 정책 위반 또는 문제의 후속 발생을 가장 최근에 발견한 시기를 확인할 수 있습니다.
Macie는 해당 필드의 기존 값이 [ASFF 조사 결과 유형](#securityhub-integration-finding-types-policy)이 아닌 경우 조사 결과의 **유형**(`Types`) 필드 값을 업데이트할 수도 있습니다. 이는 Security Hub CSPM의 조사 결과에 따라 조치를 취했는지 여부에 따라 달라집니다. 조사 결과에 따라 조치를 취하지 않은 경우 Macie는 필드 값을 적절한 ASFF 조사 결과 유형으로 변경합니다. AWS Security Hub CSPM 콘솔 또는 AWS Security Hub CSPM API `BatchUpdateFindings` 작업을 사용하여 조사 결과를 수행한 경우 Macie는 필드 값을 변경하지 않습니다.
## 의 Macie 조사 결과의 예 AWS Security Hub CSPM
Amazon Macie는 조사 결과를에 게시 AWS Security Hub CSPM할 때 [AWS Security Finding Format(ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html)을 사용합니다. Security Hub CSPM의 모든 결과에 대한 표준 형식입니다. 다음 예제에서는 샘플 데이터를 사용하여 Macie가 Security Hub CSPM에이 형식으로 게시하는 결과 데이터의 구조와 특성을 보여줍니다.
+ [민감한 데이터 조사 결과의 예](#securityhub-integration-finding-example-sdf)
+ [정책 조사 결과의 예](#securityhub-integration-finding-example-policy)
### Security Hub CSPM의 민감한 데이터 조사 결과의 예
다음은 Macie가 ASFF를 사용하여 Security Hub CSPM에 게시한 민감한 데이터 조사 결과의 예입니다.
```
{
"SchemaVersion": "2018-10-08",
"Id": "5be50fce24526e670df77bc00example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types":[
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
],
"CreatedAt": "2022-05-11T10:23:49.667Z",
"UpdatedAt": "2022-05-11T10:23:49.667Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "The S3 object contains personal information.",
"Description": "The object contains personal information such as first or last names, addresses, or identification numbers.",
"ProductFields": {
"JobArn": "arn:aws:macie2:us-east-1:111122223333:classification-job/698e99c283a255bb2c992feceexample",
"S3Object.Path": "amzn-s3-demo-bucket/2022 Sourcing.tsv",
"S3Object.Extension": "tsv",
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"OriginType": "SENSITIVE_DATA_DISCOVERY_JOB",
"S3Object.PublicAccess": "false",
"S3Object.Size": "14",
"S3Object.StorageClass": "STANDARD",
"S3Bucket.allowsUnencryptedObjectUploads": "TRUE",
"JobId": "698e99c283a255bb2c992feceexample",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/5be50fce24526e670df77bc00example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-12-30T18:16:25.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"BlockPublicPolicy": true,
"IgnorePublicAcls": true,
"RestrictPublicBuckets": true
}
}
}
},
{
"Type": "AwsS3Object",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket/2022 Sourcing.tsv",
"Partition": "aws",
"Region": "us-east-1",
"DataClassification": {
"DetailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/111122223333/Macie/us-east-1/
698e99c283a255bb2c992feceexample/111122223333/32b8485d-4f3a-3aa1-be33-aa3f0example.jsonl.gz",
"Result":{
"MimeType": "text/tsv",
"SizeClassified": 14,
"AdditionalOccurrences": false,
"Status": {
"Code": "COMPLETE"
},
"SensitiveData": [
{
"Category": "PERSONAL_INFORMATION",
"Detections": [
{
"Count": 1,
"Type": "USA_SOCIAL_SECURITY_NUMBER",
"Occurrences": {
"Cells": [
{
"Column": 10,
"Row": 1,
"ColumnName": "Other"
}
]
}
}
],
"TotalCount": 1
}
],
"CustomDataIdentifiers": {
"Detections": [
],
"TotalCount": 0
}
}
},
"Details": {
"AwsS3Object": {
"LastModified": "2022-04-22T18:16:46.000Z",
"ETag": "ebe1ca03ee8d006d457444445example",
"VersionId": "SlBC72z5hArgexOJifxw_IN57example",
"ServerSideEncryption": "aws:kms",
"SSEKMSKeyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
]
},
"Sample": false,
"ProcessedAt": "2022-05-11T10:23:49.667Z"
}
```
### Security Hub CSPM의 정책 조사 결과 예제
다음은 Macie가 ASFF에서 Security Hub CSPM에 게시한 새 정책 조사 결과의 예입니다.
```
{
"SchemaVersion": "2018-10-08",
"Id": "36ca8ba0-caf1-4fee-875c-37760example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
],
"CreatedAt": "2022-04-24T09:27:43.313Z",
"UpdatedAt": "2022-04-24T09:27:43.313Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "Block Public Access settings are disabled for the S3 bucket",
"Description": "All Amazon S3 block public access settings are disabled for the Amazon S3 bucket. Access to the bucket is
controlled only by access control lists (ACLs) or bucket policies.",
"ProductFields": {
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"S3Bucket.allowsUnencryptedObjectUploads": "FALSE",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/36ca8ba0-caf1-4fee-875c-37760example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Tags": {
"Team": "Recruiting",
"Division": "HR"
},
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-11-25T18:24:38.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": false,
"BlockPublicPolicy": false,
"IgnorePublicAcls": false,
"RestrictPublicBuckets": false
}
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
]
},
"Sample": false
}
```
## Macie와 통합 AWS Security Hub CSPM
Amazon Macie를와 통합하려면에 대해 Security Hub CSPM을 AWS Security Hub CSPM활성화합니다 AWS 계정. 방법을 알아보려면 *AWS Security Hub 사용 설명서*의 [Security Hub CSPM 활성화](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html)를 참조하세요.
Macie와 Security Hub CSPM을 모두 활성화하면 통합이 자동으로 활성화됩니다. 기본적으로 Macie는 새 정책 조사 결과와 업데이트된 정책 조사 결과를 Security Hub CSPM에 자동으로 게시하기 시작합니다. 통합을 구성하기 위해 추가 단계를 수행할 필요가 없습니다. 통합이 활성화된 경우 기존 정책 조사 결과가 있는 경우 Macie는 이를 Security Hub CSPM에 게시하지 않습니다. 대신 Macie는 통합이 활성화된 후 생성하거나 업데이트하는 정책 조사 결과만 게시합니다.
선택적으로 Macie가 Security Hub CSPM에서 정책 결과에 대한 업데이트를 게시하는 빈도를 선택하여 구성을 사용자 지정할 수 있습니다. Security Hub CSPM에 민감한 데이터 조사 결과를 게시하도록 선택할 수도 있습니다. 자세한 방법은 [조사 결과에 대한 게시 설정 구성](findings-publish-frequency.md)을 참조하세요.
## 에 Macie 조사 결과 게시 중지 AWS Security Hub CSPM
Amazon Macie 조사 결과 게시를 중지하려면 Macie 계정의 게시 설정을 변경할 AWS Security Hub CSPM수 있습니다. 자세한 방법은 [조사 결과에 대한 게시 대상 선택](findings-publish-frequency.md#findings-publish-destinations-change)을 참조하세요. Security Hub CSPM을 사용하여이 작업을 수행할 수도 있습니다. 방법을 알아보려면AWS Security Hub 사용 설명서**의 [통합에서 조사 결과의 흐름 비활성화](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integration-disable.html)를 참조하세요.
# Macie 조사 결과를 위한 Amazon EventBridge 이벤트 스키마
Amazon Macie는 모니터링 또는 이벤트 관리 시스템과 같은 다른 애플리케이션, 서비스 및 시스템과의 통합을 지원하기 위해 Amazon EventBridge에 조사 결과를 이벤트로 자동 게시합니다. 이전 Amazon CloudWatch Events인 EventBridge는 애플리케이션 및 기타의 실시간 데이터 스트림 AWS 서비스 을 함수, Amazon Simple Notification Service 주제 및 Amazon Kinesis 스트림과 같은 AWS Lambda 대상으로 전송하는 서버리스 이벤트 버스 서비스입니다. EventBridge에 대해 자세히 알아보려면 [Amazon EventBridge 사용 설명서](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html)를 참조하세요.
**참고**
현재 CloudWatch Events를 사용하고 있다면 EventBridge와 CloudWatch Event가 동일한 기본 서비스 및 API라는 점에 유의하세요. 그러나 EventBridge에는 서비스형 소프트웨어(SaaS)애플리케이션 및 자체 애플리케이션에서 이벤트를 수신할 수 있는 추가 기능이 포함되어 있습니다. 기본 서비스와 API가 동일하기 때문에 Macie 조사 결과에 대한 이벤트 스키마도 동일합니다.
Macie는 [금지 규칙](findings-suppression.md)에 따라 자동으로 보관되는 조사 결과를 제외한 모든 새로운 조사 결과와 기존 정책 조사의 후속 결과에 대한 이벤트를 자동으로 게시합니다. 이벤트는 AWS 이벤트에 대한 EventBridge 스키마를 준수하는 JSON 객체입니다. 각 이벤트에는 특정 조사 결과의 JSON 표현이 포함되어 있습니다. 데이터는 EventBridge 이벤트로 구조화되므로 다른 애플리케이션, 서비스, 도구를 사용하여 조사 결과를 더 간편하게 모니터링 및 처리하고 조치를 취할 수 있습니다. Macie가 조사 결과에 대한 이벤트를 게시하는 방법과 시기에 대한 자세한 내용은 [조사 결과에 대한 게시 설정 구성](findings-publish-frequency.md) 섹션을 참조하세요.
**Topics**
+ [Macie 조사 결과에 대한 이벤트 스키마](#findings-publish-event-schema)
+ [정책 조사 결과를 위한 이벤트 예제](#findings-publish-event-example-policy)
+ [민감한 데이터 조사 결과에 대한 이벤트의 예](#findings-publish-event-example-classification)
## Macie 조사 결과에 대한 이벤트 스키마
다음 예는 Amazon Macie 조사 결과에 대한 [Amazon EventBridge 이벤트](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html)의 스키마를 보여줍니다. 조사 결과 이벤트에 포함할 수 있는 필드에 대한 자세한 설명은 *Amazon Macie API 참조*의 [조사 결과](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html) 섹션을 참조하세요. 조사 결과 이벤트의 구조 및 필드는 Amazon Macie API의 `Finding` 객체와 밀접하게 매핑됩니다.
```
{
"version": "0",
"id": "event ID",
"detail-type": "Macie Finding",
"source": "aws.macie",
"account": "AWS 계정 ID (string)",
"time": "event timestamp (string)",
"region": "AWS 리전 (string)",
"resources": [
<-- ARNs of the resources involved in the event -->
],
"detail": {
<-- Details of a policy or sensitive data finding -->
},
"policyDetails": null, <-- Additional details of a policy finding or null for a sensitive data finding -->
"sample": Boolean,
"archived": Boolean
}
```
## 정책 조사 결과를 위한 이벤트 예제
다음 예제에서는 샘플 데이터를 사용하여 [정책 조사 결과](findings-types.md#findings-policy-types)에 대한 Amazon EventBridge 이벤트의 객체 및 필드 구조 및 특성을 보여줍니다. 이 예제에서 이벤트는 기존 정책 조사 결과가 잇따라 발생했다고 보고합니다. 즉, Amazon Macie가 S3 버킷에 대해 퍼블릭 액세스 차단 설정이 비활성화되었음을 감지했습니다. 다음 필드와 값은 이러한 경우를 판단하는 데 도움이 될 수 있습니다.
+ `type` 필드는 `Policy:IAMUser/S3BlockPublicAccessDisabled`로 설정됩니다.
+ `createdAt` 및 `updatedAt` 필드는 값이 다릅니다. 이는 이벤트가 기존 정책 조사 결과가 이후에 발생했음을 보고하는 지표 중 하나입니다. 이벤트에서 새로운 조사 결과가 보고한 경우 이러한 필드의 값은 동일합니다.
+ `count` 필드는 `2`로 설정되며, 이는 이 조사 결과가 두 번째로 발생했음을 나타냅니다.
+ `category` 필드는 `POLICY`로 설정됩니다.
+ `classificationDetails` 필드 값은 `null`인데, 이를 통해 정책 조사 결과에 대한 이 이벤트를 민감한 데이터 조사 결과에 대한 이벤트와 구별할 수 있습니다. 민감한 데이터 검색 결과의 경우, 이 값은 민감한 데이터가 발견된 방법과 유형에 대한 정보를 제공하는 객체 및 필드 세트입니다.
또한 `sample` 필드 값은 `true`임에 유의합니다. 이 값은 이 이벤트가 설명서에서 사용하기 위한 예제 이벤트라는 점을 강조합니다.
```
{
"version": "0",
"id": "0948ba87-d3b8-c6d4-f2da-732a1example",
"detail-type": "Macie Finding",
"source": "aws.macie",
"account": "123456789012",
"time": "2024-04-30T23:12:15Z",
"region":"us-east-1",
"resources": [],
"detail": {
"schemaVersion": "1.0",
"id": "64b917aa-3843-014c-91d8-937ffexample",
"accountId": "123456789012",
"partition": "aws",
"region": "us-east-1",
"type": "Policy:IAMUser/S3BlockPublicAccessDisabled",
"title": "Block public access settings are disabled for the S3 bucket",
"description": "All bucket-level block public access settings were disabled for the S3 bucket. Access to the bucket is controlled by account-level block public access settings, access control lists (ACLs), and the bucket’s bucket policy.",
"severity": {
"score": 3,
"description": "High"
},
"createdAt": "2024-04-29T15:46:02Z",
"updatedAt": "2024-04-30T23:12:15Z",
"count": 2,
"resourcesAffected": {
"s3Bucket": {
"arn": "arn:aws:s3:::amzn-s3-demo-bucket1",
"name": "amzn-s3-demo-bucket1",
"createdAt": "2020-04-03T20:46:56.000Z",
"owner":{
"displayName": "johndoe",
"id": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example"
},
"tags": [
{
"key": "Division",
"value": "HR"
},
{
"key": "Team",
"value": "Recruiting"
}
],
"defaultServerSideEncryption": {
"encryptionType": "aws:kms",
"kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"publicAccess": {
"permissionConfiguration": {
"bucketLevelPermissions": {
"accessControlList": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"bucketPolicy": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"blockPublicAccess": {
"ignorePublicAcls": false,
"restrictPublicBuckets": false,
"blockPublicAcls": false,
"blockPublicPolicy": false
}
},
"accountLevelPermissions": {
"blockPublicAccess": {
"ignorePublicAcls": true,
"restrictPublicBuckets": true,
"blockPublicAcls": true,
"blockPublicPolicy": true
}
}
},
"effectivePermission": "NOT_PUBLIC"
},
"allowsUnencryptedObjectUploads": "FALSE"
},
"s3Object": null
},
"category": "POLICY",
"classificationDetails": null,
"policyDetails": {
"action": {
"actionType": "AWS_API_CALL",
"apiCallDetails": {
"api": "PutBucketPublicAccessBlock",
"apiServiceName": "s3.amazonaws.com",
"firstSeen": "2024-04-29T15:46:02.401Z",
"lastSeen": "2024-04-30T23:12:15.401Z"
}
},
"actor": {
"userIdentity": {
"type": "AssumedRole",
"assumedRole": {
"principalId": "AROA1234567890EXAMPLE:AssumedRoleSessionName",
"arn": "arn:aws:sts::123456789012:assumed-role/RoleToBeAssumed/MySessionName",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": false,
"creationDate": "2024-04-29T10:25:43.511Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AROA1234567890EXAMPLE",
"arn": "arn:aws:iam::123456789012:role/RoleToBeAssumed",
"accountId": "123456789012",
"userName": "RoleToBeAssumed"
}
}
},
"root": null,
"iamUser": null,
"federatedUser": null,
"awsAccount": null,
"awsService": null
},
"ipAddressDetails":{
"ipAddressV4": "192.0.2.0",
"ipOwner": {
"asn": "-1",
"asnOrg": "ExampleFindingASNOrg",
"isp": "ExampleFindingISP",
"org": "ExampleFindingORG"
},
"ipCountry": {
"code": "US",
"name": "United States"
},
"ipCity": {
"name": "Ashburn"
},
"ipGeoLocation": {
"lat": 39.0481,
"lon": -77.4728
}
},
"domainDetails": null
}
},
"sample": true,
"archived": false
}
}
```
## 민감한 데이터 조사 결과에 대한 이벤트의 예
다음 예제에서는 샘플 데이터를 사용하여 [민감한 데이터 조사 결과](findings-types.md#findings-sensitive-data-types)에 대한 Amazon EventBridge 이벤트의 객체 및 필드 구조 및 특성을 보여줍니다. 이 예제에서 이벤트는 새로운 민감한 데이터 조사 결과를 보고합니다. Amazon Macie는 S3 객체에서 여러 범주와 유형의 민감한 데이터를 발견했습니다. 다음 필드와 값은 이러한 경우를 판단하는 데 도움이 될 수 있습니다.
+ `type` 필드는 `SensitiveData:S3Object/Multiple`로 설정됩니다.
+ `createdAt` 및 `updatedAt` 필드의 값은 동일합니다. 정책 조사 결과와 달리 민감한 데이터 조사 결과의 경우에는 항상 그렇습니다. 모든 민감한 데이터 조사 결과는 새로운 것으로 간주됩니다.
+ `count` 필드가 `1`로 설정되면 이는 새로운 조사 결과임을 나타냅니다. 정책 조사 결과와 달리 민감한 데이터 조사 결과의 경우에는 항상 그렇습니다. 모든 민감한 데이터 조사 결과는 고유한 것(새로운 것)으로 간주됩니다.
+ `category` 필드는 `CLASSIFICATION`로 설정됩니다.
+ `policyDetails` 필드 값은 `null`인데, 이를 통해 민감한 데이터 검색 결과에 대한 이 이벤트를 정책 결과에 대한 이벤트와 구별할 수 있습니다. 정책 조사 결과의 경우 이 값은 S3 버킷의 보안 또는 개인 정보 보호 관련 잠재적 정책 위반 또는 문제에 대한 정보를 제공하는 객체 및 필드 세트입니다.
또한 `sample` 필드 값은 `true`임에 유의합니다. 이 값은 이 이벤트가 설명서에서 사용하기 위한 예제 이벤트라는 점을 강조합니다.
```
{
"version": "0",
"id": "14ddd0b1-7c90-b9e3-8a68-6a408example",
"detail-type": "Macie Finding",
"source": "aws.macie",
"account": "123456789012",
"time": "2024-04-20T08:19:10Z",
"region": "us-east-1",
"resources": [],
"detail": {
"schemaVersion": "1.0",
"id": "4ed45d06-c9b9-4506-ab7f-18a57example",
"accountId": "123456789012",
"partition": "aws",
"region": "us-east-1",
"type": "SensitiveData:S3Object/Multiple",
"title": "The S3 object contains multiple categories of sensitive data",
"description": "The S3 object contains more than one category of sensitive data.",
"severity": {
"score": 3,
"description": "High"
},
"createdAt": "2024-04-20T18:19:10Z",
"updatedAt": "2024-04-20T18:19:10Z",
"count": 1,
"resourcesAffected": {
"s3Bucket": {
"arn": "arn:aws:s3:::amzn-s3-demo-bucket2",
"name": "amzn-s3-demo-bucket2",
"createdAt": "2020-05-15T20:46:56.000Z",
"owner": {
"displayName": "johndoe",
"id": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example"
},
"tags":[
{
"key":"Division",
"value":"HR"
},
{
"key":"Team",
"value":"Recruiting"
}
],
"defaultServerSideEncryption": {
"encryptionType": "aws:kms",
"kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"publicAccess": {
"permissionConfiguration": {
"bucketLevelPermissions": {
"accessControlList": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"bucketPolicy":{
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"blockPublicAccess": {
"ignorePublicAcls": true,
"restrictPublicBuckets": true,
"blockPublicAcls": true,
"blockPublicPolicy": true
}
},
"accountLevelPermissions": {
"blockPublicAccess": {
"ignorePublicAcls": false,
"restrictPublicBuckets": false,
"blockPublicAcls": false,
"blockPublicPolicy": false
}
}
},
"effectivePermission": "NOT_PUBLIC"
},
"allowsUnencryptedObjectUploads": "TRUE"
},
"s3Object":{
"bucketArn": "arn:aws:s3:::amzn-s3-demo-bucket2",
"key": "2024 Sourcing.csv",
"path": "amzn-s3-demo-bucket2/2024 Sourcing.csv",
"extension": "csv",
"lastModified": "2024-04-19T22:08:25.000Z",
"versionId": "",
"serverSideEncryption": {
"encryptionType": "aws:kms",
"kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"size": 4750,
"storageClass": "STANDARD",
"tags":[
{
"key":"Division",
"value":"HR"
},
{
"key":"Team",
"value":"Recruiting"
}
],
"publicAccess": false,
"etag": "6bb7fd4fa9d36d6b8fb8882caexample"
}
},
"category": "CLASSIFICATION",
"classificationDetails": {
"jobArn": "arn:aws:macie2:us-east-1:123456789012:classification-job/3ce05dbb7ec5505def334104bexample",
"jobId": "3ce05dbb7ec5505def334104bexample",
"result": {
"status": {
"code": "COMPLETE",
"reason": null
},
"sizeClassified": 4750,
"mimeType": "text/csv",
"additionalOccurrences": true,
"sensitiveData": [
{
"category": "PERSONAL_INFORMATION",
"totalCount": 65,
"detections": [
{
"type": "USA_SOCIAL_SECURITY_NUMBER",
"count": 30,
"occurrences": {
"lineRanges": null,
"offsetRanges": null,
"pages": null,
"records": null,
"cells": [
{
"row": 2,
"column": 1,
"columnName": "SSN",
"cellReference": null
},
{
"row": 3,
"column": 1,
"columnName": "SSN",
"cellReference": null
},
{
"row": 4,
"column": 1,
"columnName": "SSN",
"cellReference": null
}
]
}
},
{
"type": "NAME",
"count": 35,
"occurrences": {
"lineRanges": null,
"offsetRanges": null,
"pages": null,
"records": null,
"cells": [
{
"row": 2,
"column": 3,
"columnName": "Name",
"cellReference": null
},
{
"row": 3,
"column": 3,
"columnName": "Name",
"cellReference": null
}
]
}
}
]
},
{
"category": "FINANCIAL_INFORMATION",
"totalCount": 30,
"detections": [
{
"type": "CREDIT_CARD_NUMBER",
"count": 30,
"occurrences": {
"lineRanges": null,
"offsetRanges": null,
"pages": null,
"records": null,
"cells": [
{
"row": 2,
"column": 14,
"columnName": "CCN",
"cellReference": null
},
{
"row": 3,
"column": 14,
"columnName": "CCN",
"cellReference": null
}
]
}
}
]
}
],
"customDataIdentifiers": {
"totalCount": 0,
"detections": []
}
},
"detailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/123456789012/Macie/us-east-1/3ce05dbb7ec5505def334104bexample/d48bf16d-0deb-3e49-9d8c-d407cexample.jsonl.gz",
"originType": "SENSITIVE_DATA_DISCOVERY_JOB"
},
"policyDetails": null,
"sample": true,
"archived": false
}
}
```