기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Macie 조사 결과를 위한 Amazon EventBridge 이벤트 스키마
Amazon Macie는 모니터링 또는 이벤트 관리 시스템과 같은 다른 애플리케이션, 서비스 및 시스템과의 통합을 지원하기 위해 Amazon EventBridge에 조사 결과를 이벤트로 자동 게시합니다. 이전 Amazon CloudWatch Events인 EventBridge는 애플리케이션 및 기타의 실시간 데이터 스트림 AWS 서비스 을 함수, Amazon Simple Notification Service 주제 및 Amazon Kinesis 스트림과 같은 AWS Lambda 대상으로 전송하는 서버리스 이벤트 버스 서비스입니다. EventBridge에 대해 자세히 알아보려면 [Amazon EventBridge 사용 설명서](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html)를 참조하세요.
**참고**
현재 CloudWatch Events를 사용하고 있다면 EventBridge와 CloudWatch Event가 동일한 기본 서비스 및 API라는 점에 유의하세요. 그러나 EventBridge에는 서비스형 소프트웨어(SaaS)애플리케이션 및 자체 애플리케이션에서 이벤트를 수신할 수 있는 추가 기능이 포함되어 있습니다. 기본 서비스와 API가 동일하기 때문에 Macie 조사 결과에 대한 이벤트 스키마도 동일합니다.
Macie는 [금지 규칙](findings-suppression.md)에 따라 자동으로 보관되는 조사 결과를 제외한 모든 새로운 조사 결과와 기존 정책 조사의 후속 결과에 대한 이벤트를 자동으로 게시합니다. 이벤트는 AWS 이벤트에 대한 EventBridge 스키마를 준수하는 JSON 객체입니다. 각 이벤트에는 특정 조사 결과의 JSON 표현이 포함되어 있습니다. 데이터는 EventBridge 이벤트로 구조화되므로 다른 애플리케이션, 서비스, 도구를 사용하여 조사 결과를 더 간편하게 모니터링 및 처리하고 조치를 취할 수 있습니다. Macie가 조사 결과에 대한 이벤트를 게시하는 방법과 시기에 대한 자세한 내용은 [조사 결과에 대한 게시 설정 구성](findings-publish-frequency.md) 섹션을 참조하세요.
**Topics**
+ [Macie 조사 결과에 대한 이벤트 스키마](#findings-publish-event-schema)
+ [정책 조사 결과를 위한 이벤트 예제](#findings-publish-event-example-policy)
+ [민감한 데이터 조사 결과에 대한 이벤트의 예](#findings-publish-event-example-classification)
## Macie 조사 결과에 대한 이벤트 스키마
다음 예는 Amazon Macie 조사 결과에 대한 [Amazon EventBridge 이벤트](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html)의 스키마를 보여줍니다. 조사 결과 이벤트에 포함할 수 있는 필드에 대한 자세한 설명은 *Amazon Macie API 참조*의 [조사 결과](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html) 섹션을 참조하세요. 조사 결과 이벤트의 구조 및 필드는 Amazon Macie API의 `Finding` 객체와 밀접하게 매핑됩니다.
```
{
"version": "0",
"id": "event ID",
"detail-type": "Macie Finding",
"source": "aws.macie",
"account": "AWS 계정 ID (string)",
"time": "event timestamp (string)",
"region": "AWS 리전 (string)",
"resources": [
<-- ARNs of the resources involved in the event -->
],
"detail": {
<-- Details of a policy or sensitive data finding -->
},
"policyDetails": null, <-- Additional details of a policy finding or null for a sensitive data finding -->
"sample": Boolean,
"archived": Boolean
}
```
## 정책 조사 결과를 위한 이벤트 예제
다음 예제에서는 샘플 데이터를 사용하여 [정책 조사 결과](findings-types.md#findings-policy-types)에 대한 Amazon EventBridge 이벤트의 객체 및 필드 구조 및 특성을 보여줍니다. 이 예제에서 이벤트는 기존 정책 조사 결과가 잇따라 발생했다고 보고합니다. 즉, Amazon Macie가 S3 버킷에 대해 퍼블릭 액세스 차단 설정이 비활성화되었음을 감지했습니다. 다음 필드와 값은 이러한 경우를 판단하는 데 도움이 될 수 있습니다.
+ `type` 필드는 `Policy:IAMUser/S3BlockPublicAccessDisabled`로 설정됩니다.
+ `createdAt` 및 `updatedAt` 필드는 값이 다릅니다. 이는 이벤트가 기존 정책 조사 결과가 이후에 발생했음을 보고하는 지표 중 하나입니다. 이벤트에서 새로운 조사 결과가 보고한 경우 이러한 필드의 값은 동일합니다.
+ `count` 필드는 `2`로 설정되며, 이는 이 조사 결과가 두 번째로 발생했음을 나타냅니다.
+ `category` 필드는 `POLICY`로 설정됩니다.
+ `classificationDetails` 필드 값은 `null`인데, 이를 통해 정책 조사 결과에 대한 이 이벤트를 민감한 데이터 조사 결과에 대한 이벤트와 구별할 수 있습니다. 민감한 데이터 검색 결과의 경우, 이 값은 민감한 데이터가 발견된 방법과 유형에 대한 정보를 제공하는 객체 및 필드 세트입니다.
또한 `sample` 필드 값은 `true`임에 유의합니다. 이 값은 이 이벤트가 설명서에서 사용하기 위한 예제 이벤트라는 점을 강조합니다.
```
{
"version": "0",
"id": "0948ba87-d3b8-c6d4-f2da-732a1example",
"detail-type": "Macie Finding",
"source": "aws.macie",
"account": "123456789012",
"time": "2024-04-30T23:12:15Z",
"region":"us-east-1",
"resources": [],
"detail": {
"schemaVersion": "1.0",
"id": "64b917aa-3843-014c-91d8-937ffexample",
"accountId": "123456789012",
"partition": "aws",
"region": "us-east-1",
"type": "Policy:IAMUser/S3BlockPublicAccessDisabled",
"title": "Block public access settings are disabled for the S3 bucket",
"description": "All bucket-level block public access settings were disabled for the S3 bucket. Access to the bucket is controlled by account-level block public access settings, access control lists (ACLs), and the bucket’s bucket policy.",
"severity": {
"score": 3,
"description": "High"
},
"createdAt": "2024-04-29T15:46:02Z",
"updatedAt": "2024-04-30T23:12:15Z",
"count": 2,
"resourcesAffected": {
"s3Bucket": {
"arn": "arn:aws:s3:::amzn-s3-demo-bucket1",
"name": "amzn-s3-demo-bucket1",
"createdAt": "2020-04-03T20:46:56.000Z",
"owner":{
"displayName": "johndoe",
"id": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example"
},
"tags": [
{
"key": "Division",
"value": "HR"
},
{
"key": "Team",
"value": "Recruiting"
}
],
"defaultServerSideEncryption": {
"encryptionType": "aws:kms",
"kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"publicAccess": {
"permissionConfiguration": {
"bucketLevelPermissions": {
"accessControlList": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"bucketPolicy": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"blockPublicAccess": {
"ignorePublicAcls": false,
"restrictPublicBuckets": false,
"blockPublicAcls": false,
"blockPublicPolicy": false
}
},
"accountLevelPermissions": {
"blockPublicAccess": {
"ignorePublicAcls": true,
"restrictPublicBuckets": true,
"blockPublicAcls": true,
"blockPublicPolicy": true
}
}
},
"effectivePermission": "NOT_PUBLIC"
},
"allowsUnencryptedObjectUploads": "FALSE"
},
"s3Object": null
},
"category": "POLICY",
"classificationDetails": null,
"policyDetails": {
"action": {
"actionType": "AWS_API_CALL",
"apiCallDetails": {
"api": "PutBucketPublicAccessBlock",
"apiServiceName": "s3.amazonaws.com",
"firstSeen": "2024-04-29T15:46:02.401Z",
"lastSeen": "2024-04-30T23:12:15.401Z"
}
},
"actor": {
"userIdentity": {
"type": "AssumedRole",
"assumedRole": {
"principalId": "AROA1234567890EXAMPLE:AssumedRoleSessionName",
"arn": "arn:aws:sts::123456789012:assumed-role/RoleToBeAssumed/MySessionName",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": false,
"creationDate": "2024-04-29T10:25:43.511Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AROA1234567890EXAMPLE",
"arn": "arn:aws:iam::123456789012:role/RoleToBeAssumed",
"accountId": "123456789012",
"userName": "RoleToBeAssumed"
}
}
},
"root": null,
"iamUser": null,
"federatedUser": null,
"awsAccount": null,
"awsService": null
},
"ipAddressDetails":{
"ipAddressV4": "192.0.2.0",
"ipOwner": {
"asn": "-1",
"asnOrg": "ExampleFindingASNOrg",
"isp": "ExampleFindingISP",
"org": "ExampleFindingORG"
},
"ipCountry": {
"code": "US",
"name": "United States"
},
"ipCity": {
"name": "Ashburn"
},
"ipGeoLocation": {
"lat": 39.0481,
"lon": -77.4728
}
},
"domainDetails": null
}
},
"sample": true,
"archived": false
}
}
```
## 민감한 데이터 조사 결과에 대한 이벤트의 예
다음 예제에서는 샘플 데이터를 사용하여 [민감한 데이터 조사 결과](findings-types.md#findings-sensitive-data-types)에 대한 Amazon EventBridge 이벤트의 객체 및 필드 구조 및 특성을 보여줍니다. 이 예제에서 이벤트는 새로운 민감한 데이터 조사 결과를 보고합니다. Amazon Macie는 S3 객체에서 여러 범주와 유형의 민감한 데이터를 발견했습니다. 다음 필드와 값은 이러한 경우를 판단하는 데 도움이 될 수 있습니다.
+ `type` 필드는 `SensitiveData:S3Object/Multiple`로 설정됩니다.
+ `createdAt` 및 `updatedAt` 필드의 값은 동일합니다. 정책 조사 결과와 달리 민감한 데이터 조사 결과의 경우에는 항상 그렇습니다. 모든 민감한 데이터 조사 결과는 새로운 것으로 간주됩니다.
+ `count` 필드가 `1`로 설정되면 이는 새로운 조사 결과임을 나타냅니다. 정책 조사 결과와 달리 민감한 데이터 조사 결과의 경우에는 항상 그렇습니다. 모든 민감한 데이터 조사 결과는 고유한 것(새로운 것)으로 간주됩니다.
+ `category` 필드는 `CLASSIFICATION`로 설정됩니다.
+ `policyDetails` 필드 값은 `null`인데, 이를 통해 민감한 데이터 검색 결과에 대한 이 이벤트를 정책 결과에 대한 이벤트와 구별할 수 있습니다. 정책 조사 결과의 경우 이 값은 S3 버킷의 보안 또는 개인 정보 보호 관련 잠재적 정책 위반 또는 문제에 대한 정보를 제공하는 객체 및 필드 세트입니다.
또한 `sample` 필드 값은 `true`임에 유의합니다. 이 값은 이 이벤트가 설명서에서 사용하기 위한 예제 이벤트라는 점을 강조합니다.
```
{
"version": "0",
"id": "14ddd0b1-7c90-b9e3-8a68-6a408example",
"detail-type": "Macie Finding",
"source": "aws.macie",
"account": "123456789012",
"time": "2024-04-20T08:19:10Z",
"region": "us-east-1",
"resources": [],
"detail": {
"schemaVersion": "1.0",
"id": "4ed45d06-c9b9-4506-ab7f-18a57example",
"accountId": "123456789012",
"partition": "aws",
"region": "us-east-1",
"type": "SensitiveData:S3Object/Multiple",
"title": "The S3 object contains multiple categories of sensitive data",
"description": "The S3 object contains more than one category of sensitive data.",
"severity": {
"score": 3,
"description": "High"
},
"createdAt": "2024-04-20T18:19:10Z",
"updatedAt": "2024-04-20T18:19:10Z",
"count": 1,
"resourcesAffected": {
"s3Bucket": {
"arn": "arn:aws:s3:::amzn-s3-demo-bucket2",
"name": "amzn-s3-demo-bucket2",
"createdAt": "2020-05-15T20:46:56.000Z",
"owner": {
"displayName": "johndoe",
"id": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example"
},
"tags":[
{
"key":"Division",
"value":"HR"
},
{
"key":"Team",
"value":"Recruiting"
}
],
"defaultServerSideEncryption": {
"encryptionType": "aws:kms",
"kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"publicAccess": {
"permissionConfiguration": {
"bucketLevelPermissions": {
"accessControlList": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"bucketPolicy":{
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"blockPublicAccess": {
"ignorePublicAcls": true,
"restrictPublicBuckets": true,
"blockPublicAcls": true,
"blockPublicPolicy": true
}
},
"accountLevelPermissions": {
"blockPublicAccess": {
"ignorePublicAcls": false,
"restrictPublicBuckets": false,
"blockPublicAcls": false,
"blockPublicPolicy": false
}
}
},
"effectivePermission": "NOT_PUBLIC"
},
"allowsUnencryptedObjectUploads": "TRUE"
},
"s3Object":{
"bucketArn": "arn:aws:s3:::amzn-s3-demo-bucket2",
"key": "2024 Sourcing.csv",
"path": "amzn-s3-demo-bucket2/2024 Sourcing.csv",
"extension": "csv",
"lastModified": "2024-04-19T22:08:25.000Z",
"versionId": "",
"serverSideEncryption": {
"encryptionType": "aws:kms",
"kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"size": 4750,
"storageClass": "STANDARD",
"tags":[
{
"key":"Division",
"value":"HR"
},
{
"key":"Team",
"value":"Recruiting"
}
],
"publicAccess": false,
"etag": "6bb7fd4fa9d36d6b8fb8882caexample"
}
},
"category": "CLASSIFICATION",
"classificationDetails": {
"jobArn": "arn:aws:macie2:us-east-1:123456789012:classification-job/3ce05dbb7ec5505def334104bexample",
"jobId": "3ce05dbb7ec5505def334104bexample",
"result": {
"status": {
"code": "COMPLETE",
"reason": null
},
"sizeClassified": 4750,
"mimeType": "text/csv",
"additionalOccurrences": true,
"sensitiveData": [
{
"category": "PERSONAL_INFORMATION",
"totalCount": 65,
"detections": [
{
"type": "USA_SOCIAL_SECURITY_NUMBER",
"count": 30,
"occurrences": {
"lineRanges": null,
"offsetRanges": null,
"pages": null,
"records": null,
"cells": [
{
"row": 2,
"column": 1,
"columnName": "SSN",
"cellReference": null
},
{
"row": 3,
"column": 1,
"columnName": "SSN",
"cellReference": null
},
{
"row": 4,
"column": 1,
"columnName": "SSN",
"cellReference": null
}
]
}
},
{
"type": "NAME",
"count": 35,
"occurrences": {
"lineRanges": null,
"offsetRanges": null,
"pages": null,
"records": null,
"cells": [
{
"row": 2,
"column": 3,
"columnName": "Name",
"cellReference": null
},
{
"row": 3,
"column": 3,
"columnName": "Name",
"cellReference": null
}
]
}
}
]
},
{
"category": "FINANCIAL_INFORMATION",
"totalCount": 30,
"detections": [
{
"type": "CREDIT_CARD_NUMBER",
"count": 30,
"occurrences": {
"lineRanges": null,
"offsetRanges": null,
"pages": null,
"records": null,
"cells": [
{
"row": 2,
"column": 14,
"columnName": "CCN",
"cellReference": null
},
{
"row": 3,
"column": 14,
"columnName": "CCN",
"cellReference": null
}
]
}
}
]
}
],
"customDataIdentifiers": {
"totalCount": 0,
"detections": []
}
},
"detailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/123456789012/Macie/us-east-1/3ce05dbb7ec5505def334104bexample/d48bf16d-0deb-3e49-9d8c-d407cexample.jsonl.gz",
"originType": "SENSITIVE_DATA_DISCOVERY_JOB"
},
"policyDetails": null,
"sample": true,
"archived": false
}
}
```