As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Monitorar e processar descobertas do Macie
Para oferecer suporte à integração com outros aplicativos, serviços e sistemas, como sistemas de monitoramento ou gerenciamento de eventos, o Amazon Macie publica automaticamente descobertas de políticas e dados confidenciais na Amazon EventBridge como eventos. Para fornecer mais suporte e uma análise mais ampla da postura de segurança da sua organização, você também pode configurar o Macie para publicar políticas e descobertas de dados confidenciais em AWS Security Hub CSPM.
**Amazon EventBridge**
O Amazon EventBridge, antigo Amazon CloudWatch Events, é um serviço de ônibus de eventos sem servidor que fornece um fluxo de dados em tempo real de aplicativos e serviços e direciona esses dados para destinos como funções AWS Lambda, tópicos do Amazon Simple Notification Service e streams do Amazon Kinesis. Com EventBridge, você pode automatizar o monitoramento e o processamento de certos tipos de eventos, incluindo eventos que o Macie publica para fins de descoberta. Para saber mais, consulte [Processando descobertas com a Amazon EventBridge](findings-monitor-events-eventbridge.md).
Se você se integrar Notificações de Usuários da AWS ao Macie, também poderá usar EventBridge eventos para gerar automaticamente notificações sobre eventos que o Macie publica para descobertas. Com Notificações de Usuários, você cria regras personalizadas e configura canais de entrega para receber notificações sobre EventBridge eventos de interesse. Os canais de entrega incluem e-mail, Amazon Q Developer em aplicativos de bate-papo e notificações push no AWS Console Mobile Application. Você também pode revisar as notificações em um local central no Console de gerenciamento da AWS. Para saber mais, consulte [Monitorar as descobertas com Notificações de Usuários da AWS](findings-monitor-events-uno.md).
**AWS Security Hub CSPM**
AWS Security Hub CSPMé um serviço de segurança que fornece uma visão abrangente do estado de segurança em todo o AWS ambiente. Ele coleta dados de segurança e soluções de AWS Partner Network segurança suportadas Serviços da AWS e ajuda você a verificar seu ambiente de acordo com os padrões e as melhores práticas do setor de segurança. Também ajuda você a analisar tendências de segurança e identificar problemas de alta prioridade.
Com o Security Hub CSPM, você pode revisar e avaliar as descobertas do Macie como parte de uma análise mais ampla da postura de segurança da sua organização. Você também pode agregar descobertas de várias Regiões da AWS e monitorar e processar dados agregados de descobertas de uma única região. Para saber mais, consulte [Avaliar as descobertas com AWS Security Hub CSPM](securityhub-integration.md).
Quando Macie cria uma descoberta, ela publica automaticamente a descoberta EventBridge como um novo evento. Dependendo das configurações de publicação que você escolher para sua conta, o Macie também pode publicar a descoberta no CSPM do Security Hub. O Macie publica cada descoberta nova imediatamente após a conclusão do processamento da descoberta. Se o Macie detectar uma ocorrência subsequente de uma descoberta de política existente, ele publicará uma atualização do EventBridge evento existente para a descoberta. Dependendo das configurações de publicação, o Macie também pode publicar a atualização no CSPM do Security Hub. O Macie publica essas atualizações de forma recorrente, usando uma frequência de publicação que você especifica nas configurações de publicação da sua conta.
Além das opções anteriores, você pode consultar e recuperar dados de descobertas diretamente usando a API do Amazon Macie. A API do Amazon Macie oferece acesso abrangente e programático aos dados. Para consultar os dados, você pode enviar solicitações HTTPS diretamente para o Macie ou usar uma versão atual de um AWS SDK ou uma ferramenta de linha de AWS comando. Se você consultar os dados, o Macie retornará os resultados em uma resposta JSON. Em seguida, você pode passar os resultados para outro serviço ou aplicativo para processamento, monitoramento ou geração de relatórios adicionais. Para obter mais informações, consulte a [Referência da API do Amazon Macie](https://docs.aws.amazon.com/macie/latest/APIReference/welcome.html).
**Topics**
+ [Definir as configurações de publicação para as descobertas](findings-publish-frequency.md)
+ [Processando descobertas com a Amazon EventBridge](findings-monitor-events-eventbridge.md)
+ [Monitorar as descobertas com Notificações de Usuários da AWS](findings-monitor-events-uno.md)
+ [Avaliar as descobertas com AWS Security Hub CSPM](securityhub-integration.md)
+ [Esquema de EventBridge eventos da Amazon para descobertas](findings-publish-event-schemas.md)
# Definir as configurações de publicação para as descobertas do Macie
Para apoiar a integração com outros aplicativos, serviços e sistemas, o Amazon Macie publica automaticamente descobertas de políticas e descobertas de dados confidenciais na Amazon EventBridge como eventos. Para obter informações sobre como você pode usar EventBridge para monitorar e processar descobertas, consulte[Processando descobertas com a Amazon EventBridge](findings-monitor-events-eventbridge.md).
Você AWS Security Hub CSPM também pode configurar o Macie para publicar automaticamente as descobertas, usando as opções de destino que você especifica nas configurações de publicação da sua conta. Com essas opções, você pode configurar o Macie para publicar somente descobertas de políticas, somente descobertas de dados confidenciais ou descobertas de políticas e dados confidenciais no Security Hub CSPM. Você também pode configurar o Macie para parar de publicar quaisquer descobertas no CSPM do Security Hub. Para obter informações sobre como você pode usar o Security Hub CSPM para avaliar e processar descobertas, consulte. [Avaliar as descobertas com AWS Security Hub CSPM](securityhub-integration.md)
Para descobertas de políticas, o momento em que o Macie publica uma descoberta para outra AWS service (Serviço da AWS) depende do fato de a descoberta ser nova e da frequência de publicação que você especificar para a sua conta. Para descobertas de dados confidenciais, o momento é sempre imediato; o Macie publica uma descoberta de dados confidenciais imediatamente após concluir o processamento da descoberta. Diferentemente das descobertas de políticas, o Macie trata todas as descobertas de dados confidenciais como novas (únicas).
Observe que o Macie não publica descobertas de políticas ou de dados confidenciais que são arquivadas automaticamente por uma [regra de supressão](findings-suppression.md). Em outras palavras, o Macie não publica descobertas suprimidas em outras Serviços da AWS.
**Topics**
+ [Como escolher destinos de publicação](#findings-publish-destinations-change)
+ [Como alterar a frequência de publicação](#findings-publish-frequency-change)
## Como escolher destinos de publicação para descobertas
Você pode configurar o Amazon Macie para publicar automaticamente descobertas de políticas e dados confidenciais, AWS Security Hub CSPM além da Amazon. EventBridge Por padrão, o Macie publica somente descobertas de políticas novas e atualizadas no CSPM do Security Hub. Para alterar ou estender a configuração padrão, ajuste as configurações de destino da publicação para a sua conta.
Ao ajustar suas configurações de destino, você escolhe as categorias de descobertas que deseja que o Macie publique no CSPM do Security Hub — somente descobertas de políticas, somente descobertas de dados confidenciais ou descobertas de políticas e dados confidenciais. Você também pode optar por parar de publicar qualquer categoria de descoberta no CSPM do Security Hub.
Se você alterar as suas configurações de destino, a sua alteração se aplicará somente às Região da AWS atuais. Se você for o administrador do Macie de uma organização, a sua alteração se aplicará somente à sua conta. Ela não se aplicará a nenhuma conta de membro da organização. Para obter mais informações, consulte [Gerenciar várias contas](macie-accounts.md).
**Para escolher destinos de publicação para descobertas**
Siga estas etapas para alterar as configurações de destino usando o console do Amazon Macie. Para fazer isso programaticamente, use a [PutFindingsPublicationConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/findings-publication-configuration.html)operação da API Amazon Macie.
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, selecione **Configurações**.
1. Na seção **Publicação de descobertas**, em **Destinos**, selecione entre as seguintes opções:
+ **Publicar descobertas de políticas no CSPM do Security Hub** — Marque essa caixa de seleção para começar a publicar automaticamente descobertas de políticas novas e atualizadas no CSPM do Security Hub. Para parar de publicar descobertas de políticas novas e atualizadas no CSPM do Security Hub, desmarque essa caixa de seleção.
Se você marcar essa caixa de seleção e tiver descobertas de políticas existentes, o Macie não as publicará no CSPM do Security Hub. Em vez disso, o Macie publicará apenas as descobertas de políticas que ele criar ou atualizar depois que você salvar sua alteração.
+ **Publique descobertas de dados confidenciais no CSPM do Security Hub** — Marque essa caixa de seleção para começar a publicar automaticamente novas descobertas de dados confidenciais no CSPM do Security Hub. Para parar de publicar novas descobertas de dados confidenciais no CSPM do Security Hub, desmarque essa caixa de seleção.
Se você marcar essa caixa de seleção e tiver descobertas de dados confidenciais existentes, o Macie não as publicará no CSPM do Security Hub. Em vez disso, o Macie publicará apenas as descobertas de dados confidenciais que ele criar depois que você salvar sua alteração.
1. Escolha **Salvar**.
Se você optar por publicar qualquer categoria de descoberta no CSPM do Security Hub, certifique-se de habilitar também o CSPM do Security Hub na região atual e configurá-lo para aceitar descobertas do Macie. Caso contrário, você não poderá acessar as descobertas no CSPM do Security Hub. *Para saber como aceitar descobertas no CSPM do Security Hub, consulte [Compreendendo as integrações no CSPM do Security Hub no Guia do Usuário](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-providers.html).AWS Security Hub *
## Como alterar a frequência de publicação das descobertas
No Amazon Macie, cada descoberta tem um identificador exclusivo. O Macie usa esse identificador para determinar quando publicar uma descoberta para outra AWS service (Serviço da AWS):
+ **Novas descobertas**: quando o Macie cria uma nova política ou uma descoberta de dados confidenciais, ele atribui um identificador exclusivo à descoberta como parte do processamento da descoberta. Imediatamente após a Macie terminar de processar a descoberta, ela publica a descoberta na Amazon EventBridge como um novo evento. Dependendo das configurações de publicação da sua conta, o Macie também publica as descobertas em AWS Security Hub CSPM.
+ **Descobertas atualizadas**: se o Macie detectar uma ocorrência posterior de uma descoberta de política existente, o Macie atualizará a descoberta existente adicionando detalhes sobre a ocorrência posterior e incrementando a contagem de ocorrências. Macie também publica essas atualizações no EventBridge evento existente e, dependendo das configurações de publicação da sua conta, na descoberta existente do CSPM do Security Hub. Por padrão, o Macie publica atualizações a cada 15 minutos como parte de um ciclo de publicação recorrente. Isso indica que todas as descobertas de políticas que forem atualizadas após o ciclo de publicação mais recente serão mantidas, atualizadas novamente conforme necessário e incluídas no próximo ciclo de publicação (aproximadamente 15 minutos depois).
Você pode alterar a frequência com que o Macie publica atualizações das descobertas de políticas existentes em outros. Serviços da AWS Por exemplo, você pode configurar o Macie para publicar as atualizações a cada hora. Se você fizer isso e houver uma publicação às 12h, todas as atualizações que ocorrerem depois das 12h serão publicadas às 13h.
Se você alterar a frequência, sua alteração se aplicará somente à corrente Região da AWS. Se você for o administrador do Macie de uma organização, a alteração também será aplicada a todas as contas de membros da organização. Para obter mais informações, consulte [Gerenciar várias contas](macie-accounts.md).
**Para alterar a frequência de publicação das descobertas atualizadas**
Siga estas etapas para alterar a frequência de publicação usando o console do Amazon Macie. Para fazer isso programaticamente, use a [UpdateMacieSession](https://docs.aws.amazon.com/macie/latest/APIReference/macie.html)operação da API Amazon Macie.
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, selecione **Configurações**.
1. Na seção **Publicação de descobertas**, em **Frequência de atualização das descobertas de políticas**, escolha com que frequência você deseja que o Macie publique atualizações nas descobertas de políticas em outras Serviços da AWS.
1. Escolha **Salvar**.
# Processando as descobertas do Macie com a Amazon EventBridge
A Amazon EventBridge, antiga Amazon CloudWatch Events, é um serviço de ônibus de eventos sem servidor. EventBridge fornece um fluxo de dados em tempo real de aplicativos e serviços e encaminha esses dados para destinos como AWS Lambda funções, tópicos do Amazon Simple Notification Service (Amazon SNS) e streams do Amazon Kinesis. Para saber mais sobre issoEventBridge, consulte o [Guia EventBridge do usuário da Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html).
Com EventBridge, você pode automatizar o monitoramento e o processamento de certos tipos de eventos. Isso inclui eventos que o Amazon Macie publica automaticamente para novas descobertas de políticas e descobertas de dados confidenciais. Isso também inclui eventos que o Macie publica automaticamente para ocorrências subsequentes de descobertas de políticas existentes. Para obter detalhes sobre como e quando Macie publica esses eventos, consulte. [Definir as configurações de publicação para as descobertas](findings-publish-frequency.md)
Ao usar EventBridge os eventos que o Macie publica para as descobertas, você pode monitorar e processar as descobertas quase em tempo real. Em seguida, você pode agir de acordo com as descobertas usando outros aplicativos e serviços. Por exemplo, você pode usar EventBridge para enviar tipos específicos de novas descobertas para uma AWS Lambda função. A função do Lambda pode, então, processar e enviar os dados para o sistema de gerenciamento de incidentes e eventos de segurança (SIEM). Se você se [integrar Notificações de Usuários da AWS ao Macie](findings-monitor-events-uno.md), também poderá usar os eventos para ser notificado das descobertas automaticamente por meio dos canais de entrega que você especificar.
Além do monitoramento e processamento automatizados, o uso de EventBridge permite a retenção de longo prazo dos dados de suas descobertas. O Macie armazena as descobertas por 90 dias. Com EventBridge, você pode enviar dados de descobertas para sua plataforma de armazenamento preferida e armazenar os dados pelo tempo que quiser.
**nota**
Para retenção de longo prazo, configure também o Macie para armazenar os resultados de descoberta de dados confidenciais em um bucket do S3. Um *resultado de descoberta de dados confidenciais* é um registro de detalhes sobre a análise que Macie realizou em um objeto do S3 para determinar se o objeto contém dados confidenciais. Para saber mais, consulte [Armazenamento e retenção de resultados de descoberta de dados confidenciais](discovery-results-repository-s3.md).
**Topics**
+ [Trabalhar com o EventBridge](#findings-monitor-events-eventbridge-overview)
+ [Criação de EventBridge regras para descobertas](#findings-monitor-events-eventbridge-rule-cli)
## Trabalhando com a Amazon EventBridge
Com a Amazon EventBridge, você cria regras para especificar quais eventos deseja monitorar e quais alvos deseja realizar ações automatizadas para esses eventos. Um *alvo* é um destino para o qual os eventos são EventBridge enviados.
Para automatizar as tarefas de monitoramento e processamento de descobertas, você pode criar uma EventBridge regra que detecte automaticamente os eventos de busca do Amazon Macie e os envie para outro aplicativo ou serviço para processamento ou outra ação. Você pode personalizar a regra para enviar somente os eventos que atendam a determinados critérios. Para fazer isso, especifique os critérios que derivam do[Esquema de EventBridge eventos da Amazon para descobertas do Macie](findings-publish-event-schemas.md).
Por exemplo, você pode criar uma regra que envia tipos específicos de novas descobertas para uma AWS Lambda função. A função do Lambda pode então realizar tarefas como: processar e enviar os dados para seu sistema SIEM; aplicar automaticamente um certo tipo de criptografia do lado do servidor para um objeto do S3; ou restringir o acesso a um objeto do S3 alterando a lista de controle de acesso (ACL) do objeto. Ou você pode criar uma regra que envia automaticamente novas descobertas de alta severidade para um tópico do Amazon SNS, que então notifica sua equipe de resposta a incidentes sobre a descoberta.
Além de invocar funções do Lambda e notificar EventBridge tópicos do Amazon SNS, oferece suporte a outros tipos de metas e ações, como retransmitir eventos para AWS Step Functions streams do Amazon Kinesis, ativar máquinas de estado e invocar o comando run. AWS Systems Manager Para obter informações sobre metas suportadas, consulte [Objetivos de barramento de eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html) no *Guia EventBridge do usuário da Amazon*.
## Criação de EventBridge regras da Amazon para as descobertas do Macie
Os procedimentos a seguir explicam como usar o EventBridge console da Amazon e o [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) para criar uma EventBridge regra para as descobertas do Amazon Macie. A regra detecta EventBridge eventos que usam o esquema e o padrão de eventos para as descobertas do Macie e envia esses eventos para uma AWS Lambda função para processamento.
AWS Lambda é um serviço de computação que você pode usar para executar código sem provisionar ou gerenciar servidores. Você empacota seu código e o carrega AWS Lambda como uma função *Lambda*. AWS Lambda em seguida, executa a função quando a função é invocada. Uma função pode ser invocada manualmente por você, automaticamente em resposta a eventos ou em resposta a solicitações de aplicações ou serviços. Para obter mais informações sobre criar e invocar as funções do Lambda, consulte o [Guia do desenvolvedor do AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html).
------
#### [ Console ]
Siga estas etapas para usar o EventBridge console da Amazon para criar uma regra que envia automaticamente todos os eventos de busca do Macie para uma função Lambda para processamento. A regra usa configurações padrão para regras que são executadas quando eventos específicos são recebidos. Para obter detalhes sobre as configurações de regras ou para aprender como criar uma regra que usa configurações personalizadas, consulte [Criação de regras que reagem a eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) no *Guia EventBridge do usuário da Amazon*.
**dica**
Você também pode criar uma regra que usa um padrão de evento personalizado para detectar e agir apenas em um subconjunto de eventos de descoberta do Macie. Esse subconjunto pode ser baseado em campos específicos que o Macie inclui em um evento de descoberta. Para saber mais sobre os campos disponíveis, consulte[Esquema de EventBridge eventos da Amazon para descobertas do Macie](findings-publish-event-schemas.md). Para saber mais sobre o uso de padrões personalizados em regras, consulte [Criação de padrões de eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-pattern.html) no *Guia EventBridge do usuário da Amazon*.
Antes de criar essa regra, crie a função do Lambda que deseja que a regra use como destino. Ao criar a regra, você precisará especificar essa função como o destino da regra.
**Para criar uma regra de evento usando o console**
1. Abra o EventBridge console da Amazon em [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. No painel de navegação, em **Barramentos**, selecione **Regras**.
1. Na seção **Regras**, selecione **Criar regra**.
1. Em **Definir detalhe da regra**, faça o seguinte:
+ Em **Nome**, insira um nome para a regra.
+ (Opcional) Em **Descrição**, insira uma breve descrição da regra.
+ Para **Barramento de eventos**, verifique se o **padrão** está selecionado e **Habilitar a regra nos barramentos de eventos selecionados** está ligado.
+ Para **Tipo de regra**, escolha **Regra com padrão de evento**.
1. Ao terminar, escolha **Avançar**.
1. Na página **Criar padrão de evento**, faça o seguinte:
+ Em **Origem do evento**, escolha **AWS eventos ou eventos de EventBridge parceiros**.
+ (Opcional) Para **Exemplo de evento**, analise um evento de descoberta de amostra para o Macie para saber o que um evento pode conter. Para fazer isso, selecione **AWS eventos**. Em seguida, em **Eventos de amostra**, selecione **Descoberta do Macie**.
+ Para **Método de criação**, escolha **Usar formulário de padrão**.
+ Para **Padrão de evento**, insira as seguintes configurações:
+ Para **Origem do evento**, escolha **Serviços da AWS**.
+ Para **AWS service (Serviço da AWS)**, escolha **Macie**.
+ Em **Tipo de evento**, selecione **Descoberta Macie** .
1. Ao terminar, escolha **Avançar**.
1. Na página **Selecione destinos**, faça o seguinte:
+ Para **Tipos de destino**, escolha **AWS service (Serviço da AWS)**.
+ Para **Selecionar um destino**, escolha **Função do Lambda**. Em seguida, para **Função**, selecione a função do Lambda para a qual deseja enviar eventos de descoberta.
+ Em **Configurar versão/alias**, insira as configurações de versão e alias para a função do Lambda de destino.
+ (Opcional) Para **Configurações adicionais**, insira configurações personalizadas para especificar quais dados de eventos você deseja enviar para a função do Lambda. Você também pode especificar como lidar com eventos que não são entregues à função com sucesso.
1. Ao terminar, escolha **Avançar**.
1. Na página **Configurar tags**, insira opcionalmente uma ou mais tags a serem atribuídas à regra. Escolha **Próximo**.
1. Na página **Revisar e criar**, analise as configurações da regra e verifique se estão corretas.
Para alterar uma configuração, selecione **Editar** para a configuração e insira a configuração correta. Você também pode usar as guias de navegação para acessar a página que contém uma configuração.
1. Quando terminar de verificar as configurações, selecione **Criar regra**.
------
#### [ AWS CLI ]
Siga estas etapas para usar o AWS CLI para criar uma EventBridge regra que envia todos os eventos de busca do Macie para uma função Lambda para processamento. A regra usa configurações padrão para regras que são executadas quando eventos específicos são recebidos. Neste procedimento, os comandos são formatados para o Microsoft Windows. Para Linux, macOS ou Unix, substitua o caractere de continuação de linha de acento circunflexo (^) por uma barra invertida (\$1).
Antes de criar essa regra, crie a função do Lambda que deseja que a regra use como destino. Ao criar a função, observe o nome do recurso da Amazon (ARN) da função. Você precisará fornecer esse ARN ao especificar o destino da regra.
**Para criar uma regra de evento usando o AWS CLI**
1. Crie uma regra que detecte eventos para todas as descobertas nas quais o Macie publica. EventBridge Para fazer isso, execute o comando EventBridge [put-rule](https://docs.aws.amazon.com/cli/latest/reference/events/put-rule.html). Por exemplo:
```
C:\> aws events put-rule ^
--name MacieFindings ^
--event-pattern "{\"source\":[\"aws.macie\"]}"
```
Onde *MacieFindings* está o nome que você deseja para a regra.
**dica**
Você também pode criar uma regra que use um padrão personalizado (`event-pattern`) para detectar e agir apenas em um subconjunto de eventos de descoberta do Macie. Esse subconjunto pode ser baseado em campos específicos que o Macie inclui em um evento de descoberta. Para saber mais sobre os campos disponíveis, consulte[Esquema de EventBridge eventos da Amazon para descobertas do Macie](findings-publish-event-schemas.md). Para saber mais sobre o uso de padrões personalizados em regras, consulte [Criação de padrões de eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-pattern.html) no *Guia EventBridge do usuário da Amazon*.
Se o comando for executado com êxito, EventBridge responderá com o ARN da regra. Anote esse ARN. Ele será necessário na etapa 3.
1. Especifique a função do Lambda a ser usada como destino para a regra. Para fazer isso, execute o comando EventBridge [put-targets](https://docs.aws.amazon.com/cli/latest/reference/events/put-targets.html). Por exemplo:
```
C:\> aws events put-targets ^
--rule MacieFindings ^
--targets Id=1,Arn=arn:aws:lambda:regionalEndpoint:accountID:function:my-findings-function
```
Onde *MacieFindings* está o nome que você especificou para a regra na etapa 1 e o valor do `Arn` parâmetro é o ARN da função que você deseja que a regra use como destino.
1. Adicione permissões que permitem que a regra chame a função do Lambda de destino. Para fazer isso, execute o comando [add-permission](https://docs.aws.amazon.com/cli/latest/reference/lambda/add-permission.html) do Lambda. Por exemplo:
```
C:\> aws lambda add-permission ^
--function-name my-findings-function ^
--statement-id Sid ^
--action lambda:InvokeFunction ^
--principal events.amazonaws.com ^
--source-arn arn:aws:events:regionalEndpoint:accountId:rule:MacieFindings
```
Em que:
+ *my-findings-function*é o nome da função Lambda que você deseja que a regra use como destino.
+ *Sid*é um identificador de declaração que você define para descrever a instrução na política da função Lambda.
+ `source-arn`é o ARN da regra. EventBridge
Se o comando for executado com êxito, você receberá um resultado semelhante a:
```
{
"Statement": "{\"Sid\":\"sid\",
\"Effect\":\"Allow\",
\"Principal\":{\"Service\":\"events.amazonaws.com\"},
\"Action\":\"lambda:InvokeFunction\",
\"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:my-findings-function\",
\"Condition\":
{\"ArnLike\":
{\"AWS:SourceArn\":
\"arn:aws:events:us-east-1:111122223333:rule/MacieFindings\"}}}"
}
```
O valor `Statement` é uma versão da string JSON da instrução adicionada à política da função do Lambda.
------
# Monitorando as descobertas de Macie com Notificações de Usuários da AWS
Notificações de Usuários da AWS é um serviço que atua como um local central para suas AWS notificações no Console de gerenciamento da AWS. Isso inclui notificações como CloudWatch alarmes da Amazon, AWS Support casos e comunicações de outras Serviços da AWS pessoas. Com Notificações de Usuários, você pode configurar regras personalizadas e canais de entrega para receber notificações sobre determinados tipos de EventBridge eventos da Amazon. Os canais de entrega incluem e-mail, Amazon Q Developer em aplicativos de bate-papo e notificações push no AWS Console Mobile Application. Você também pode revisar as notificações no Notificações de Usuários da AWS console. Para saber mais sobre isso Notificações de Usuários, consulte o [Guia Notificações de Usuários da AWS do usuário](https://docs.aws.amazon.com/notifications/latest/userguide/what-is-service.html).
O Amazon Macie se integra com Notificações de Usuários da AWS, o que significa que você pode configurar Notificações de Usuários para notificá-lo sobre eventos nos quais o Macie publica EventBridge para descobertas de políticas e dados confidenciais. Se um evento de descoberta corresponder aos critérios que você especificou, Notificações de Usuários gerará uma notificação. A notificação inclui detalhes importantes da descoberta associada, como o tipo e a gravidade da descoberta e o nome do recurso afetado. Notificações de Usuários também pode enviar a notificação para um ou mais canais de entrega que você especificar. Você pode personalizar sua escolha de canais de entrega para se alinhar aos seus fluxos de trabalho de segurança e conformidade.
Por exemplo, você pode configurar Notificações de Usuários para gerar notificações para tipos específicos de novas descobertas de alta gravidade. Você também pode especificar o Amazon Q Developer em aplicativos de bate-papo como um canal de entrega para essas notificações. Notificações de Usuários em seguida, detecta EventBridge eventos para as descobertas, gera notificações que incluem dados das descobertas e envia as notificações para o Amazon Q Developer em aplicativos de bate-papo. O Amazon Q Developer em aplicativos de bate-papo pode então encaminhar as notificações para um canal do Slack ou para uma sala de bate-papo do Amazon Chime para notificar sua equipe de resposta a incidentes.
**Topics**
+ [Trabalhar com o Notificações de Usuários da AWS](#findings-monitor-events-uno-overview)
+ [Habilitar e configurar notificações de descobertas](#findings-monitor-events-uno-configure)
+ [Mapear campos de notificações para campos de descobertas](#findings-monitor-events-uno-schema)
+ [Alterar as configurações de notificação para descobertas](#findings-monitor-events-uno-change)
+ [Desabilitar notificações para descobertas](#findings-monitor-events-uno-disable)
## Trabalhando com Notificações de Usuários da AWS
Com isso Notificações de Usuários da AWS, você cria regras para especificar os tipos de EventBridge eventos da Amazon que você deseja monitorar e receber notificações. Uma regra define os critérios aos quais um EventBridge evento deve corresponder para gerar uma notificação. Você também pode escolher um ou mais canais de entrega para uma regra. Os canais de entrega especificam onde você deseja receber notificações de eventos que correspondam aos critérios de uma regra.
Se Notificações de Usuários detectar um EventBridge evento que corresponda aos critérios de uma regra, ele executará as seguintes tarefas gerais:
1. Extrair um subconjunto de dados do evento.
1. Gerar uma notificação que contém os dados extraídos.
1. Enviar a notificação para os canais de entrega que você especifica para esse tipo de evento.
O design e a estrutura da notificação são otimizados para cada canal de entrega para o qual ela é enviada.
Para controlar a frequência ou o número de notificações que você recebe, você pode definir as configurações de agregação para uma regra. Se você habilitar essas configurações, Notificações de Usuários combinará dados de vários eventos em uma única notificação. Você pode optar por enviar notificações agregadas de eventos com rapidez e frequência, o que talvez você queira fazer para encontrar eventos de alta severidade. Ou envie-as com menos frequência para receber menos notificações, o que talvez você queira fazer para eventos de descoberta de baixa gravidade. Se você combinar dados de eventos, poderá detalhar para analisar os detalhes de cada evento agregado usando o Notificações de Usuários da AWS console. A partir daí, você também pode navegar até cada descoberta associada no console do Amazon Macie.
## Habilitando e configurando as descobertas do Notificações de Usuários da AWS Macie
Para permitir Notificações de Usuários da AWS a geração de notificações para as descobertas do Amazon Macie, crie uma configuração de notificação para o Macie em. Notificações de Usuários Uma *configuração de notificação* especifica os critérios para uma regra. Ele também especifica canais de entrega e outras configurações para monitorar e enviar notificações sobre EventBridge eventos da Amazon que correspondam aos critérios da regra. Para obter informações detalhadas sobre a criação de uma configuração de notificação, consulte [Introdução às Notificações de Usuários da AWS](https://docs.aws.amazon.com/notifications/latest/userguide/getting-started.html) no *Guia do usuário de Notificações de Usuários da AWS *.
Para criar uma configuração de notificação para as descobertas do Macie, selecione as seguintes opções para a regra do evento:
+ Para **AWS service (Serviço da AWS) Nome**, selecione **Macie**.
+ Em **Tipo de evento**, selecione **Descoberta Macie** .
+ Para **Regiões**, selecione cada uma Região da AWS em que você usa o Macie e deseja ser notificado das descobertas.
Com essa configuração, Notificações de Usuários monitora EventBridge eventos para você Conta da AWS e gera notificações para todos os eventos que o Macie encontra nas regiões que você selecionou. Os eventos atendem aos seguintes critérios:
+ `source` igual a `aws.macie`
+ `detail-type` igual a `Macie Finding`
O padrão JSON subjacente para a regra do evento é:
```
{
"source": ["aws.macie"],
"detail-type": ["Macie Finding"]
}
```
Para refinar a regra e gerar notificações somente para um subconjunto de descobertas, você pode personalizar o padrão JSON para a regra. Para fazer isso, especifique os critérios adicionais que derivam do [Esquema de EventBridge eventos da Amazon para descobertas do Macie](findings-publish-event-schemas.md).
Se você criar uma regra que usa um padrão JSON personalizado, poderá criar várias configurações de notificação para as descobertas do Macie. Em seguida, você pode personalizar os canais de entrega e outras configurações de cada configuração para se alinharem aos seus fluxos de trabalho de segurança e conformidade para tipos específicos de descobertas.
Por exemplo, você pode criar uma regra que o notifique se o Macie gerar ou atualizar uma *Policy:IAMUser/S3BucketPublic*descoberta. Nesse caso, o padrão da regra pode ser:
```
{
"source": ["aws.macie"],
"detail-type": ["Macie Finding"],
"detail": {
"type": ["Policy:IAMUser/S3BucketPublic"]
}
}
```
E você pode criar outra regra que o notifique se o Macie gerar uma descoberta de dados confidenciais para um bucket do S3 que esteja acessível ao público. Nesse caso, o padrão da regra pode ser:
```
{
"source": ["aws.macie"],
"detail-type": ["Macie Finding"],
"detail": {
"type": [ { "prefix": "SensitiveData" } ],
"resourcesAffected": {
"effectivePermission": ["PUBLIC"]
}
}
}
```
Se você criar várias configurações de notificação para as descobertas do Macie, é uma boa ideia garantir que a regra para cada configuração seja exclusiva. Caso contrário, você poderá receber notificações duplicadas para descobertas individuais.
Para saber mais sobre a personalização de padrões de eventos para regras, consulte [Usar padrões de eventos JSON personalizados](https://docs.aws.amazon.com/notifications/latest/userguide/common-usecases.html) no *Guia do usuário de Notificações de Usuários da AWS *.
## Mapeando Notificações de Usuários da AWS campos para encontrar campos do Macie
Quando Notificações de Usuários da AWS gera uma notificação para uma descoberta do Amazon Macie, ele preenche a notificação com dados de um subconjunto de campos no evento correspondente da Amazon. EventBridge Esses campos oferecem detalhes importantes da descoberta associada, como o tipo e a severidade da descoberta e o nome do recurso afetado.
Se você revisar uma notificação no Notificações de Usuários da AWS console, a notificação incluirá todos os dados desse subconjunto de campos. Ela também fornece um link para a descoberta associada no console do Amazon Macie. Se você analisar uma notificação em outros canais de entrega, ela poderá conter dados de apenas alguns dos campos. Isso ocorre porque Notificações de Usuários adapta o design e a estrutura de suas notificações para funcionar com cada tipo de canal de entrega que ele suporta.
A tabela a seguir lista os campos que podem ser incluídos em uma notificação para uma descoberta. Na tabela, a coluna **Campo de notificação** descreve (em *itálico*) ou indica o nome de um campo em uma notificação. A coluna do **campo Evento de busca** usa notação de ponto para indicar o nome do campo JSON correspondente em um EventBridge evento para uma descoberta. A coluna **Descrição** descreve os dados armazenados no campo.
| Campo de notificação | Campo evento de descoberta | Description |
| --- | --- | --- |
| *Título da mensagem* | `detail.type` | O tipo de descoberta Por exemplo: `Policy:IAMUser/S3BucketPublic` ou `SensitiveData:S3Object/Financial`. |
| Resumo | `detail.title` | Uma breve descrição da descoberta Por exemplo: `The S3 object contains financial information.` |
| Descrição | `detail.description` | Descrição completa da descoberta. Por exemplo: `The S3 object contains financial information such as bank account numbers or credit card numbers.` |
| Gravidade | `detail.severity.description` | A representação qualitativa da gravidade do achado: `Low`, `Medium` ou `High`. |
| ID da descoberta | `detail.id` | O identificador exclusivo da descoberta. |
| Criado | `detail.createdAt` | A data e a hora em que Macie criou a descoberta. |
| Atualização | `detail.updatedAt` | A data e a hora em que Macie atualizou a descoberta mais recentemente. Para descobertas de dados confidenciais, esse valor é igual ao valor do campo *Criado* (`detail.createdAt`). Todas as descobertas de dados sigilosos são consideradas novas (únicas). |
| Bucket do S3 afetado | `detail.resourcesAffected.s3Bucket.arn` | O Nome do recurso da Amazon (ARN) do bucket do S3. |
| Objeto do S3 afetado | `detail.resourcesAffected.s3Object.path` | O nome (*chave*) do objeto S3 afetado, incluindo o nome do bucket que armazena o objeto e, se aplicável, o prefixo do objeto. Esse campo não está incluído nas notificações de descobertas de políticas. |
| *Detecção de dados confidenciais* | `detail.classificationDetails.result.sensitiveData.detections...` E/Ou `detail.classificationDetails.result.customDataIdentifiers.detections...` | Essa é uma concatenação de vários campos em um evento para uma descoberta de dados confidenciais. Esse campo não está incluído nas notificações de descobertas de políticas. Se um identificador de dados gerenciados detectou os dados confidenciais, esse campo especifica a categoria, o tipo e o número (`count`) das ocorrências dos dados confidenciais que foram detectados. Por exemplo: `PERSONAL_INFORMATION: USA_SOCIAL_SECURITY_NUMBER 100 occurrences`. Se um identificador de dados personalizado detectou os dados confidenciais, esse campo especifica o nome do identificador de dados personalizado e o número (`count`) de ocorrências dos dados confidenciais que foram detectados. Por exemplo: `Employee ID 20 occurrences`. Se uma descoberta relatar vários tipos de dados confidenciais, a notificação incluirá dados de até quatro tipos. Os dados são preenchidos primeiro por qualquer identificador de dados personalizado aplicável e, em seguida, por qualquer identificador de dados gerenciado aplicável. |
## Alterando Notificações de Usuários da AWS as configurações das descobertas do Macie
Você pode alterar suas Notificações de Usuários da AWS configurações para as descobertas do Amazon Macie a qualquer momento. Para fazer isso, edite a configuração de notificação em Notificações de Usuários. Para saber como fazer isso, consulte [Gerenciar configurações de notificação](https://docs.aws.amazon.com/notifications/latest/userguide/managing-notifications.html) no *Guia do usuário de Notificações de Usuários da AWS *.
Se você tiver várias configurações de notificação para as descobertas do Macie, alterar as configurações de uma configuração não afetará as configurações das outras configurações. Você pode editar todas ou apenas algumas de suas configurações.
## Desativando as descobertas Notificações de Usuários da AWS do Macie
Para parar de gerar e receber notificações das descobertas do Notificações de Usuários da AWS Amazon Macie, exclua a configuração de notificação em. Notificações de Usuários Para saber como fazer isso, consulte [Gerenciar configurações de notificação](https://docs.aws.amazon.com/notifications/latest/userguide/managing-notifications.html) no *Guia do usuário de Notificações de Usuários da AWS *.
Se você tiver várias configurações de notificação para as descobertas do Macie, alterar as configurações de uma configuração não afetará as configurações das outras configurações. Você pode editar todas ou apenas algumas de suas configurações.
# Avaliando as descobertas de Macie com AWS Security Hub CSPM
AWS Security Hub CSPM é um serviço que fornece uma visão abrangente de sua postura de segurança em todo o AWS ambiente e ajuda você a verificar seu ambiente de acordo com os padrões e as melhores práticas do setor de segurança. Ele faz isso em parte consumindo, agregando, organizando e priorizando as descobertas de várias soluções de segurança Serviços da AWS compatíveis AWS Partner Network . O Security Hub CSPM ajuda você a analisar suas tendências de segurança e identificar os problemas de segurança de maior prioridade. Com o Security Hub CSPM, você também pode agregar descobertas de várias e, em seguida Regiões da AWS, avaliar e processar todos os dados agregados de descobertas de uma única região. Para saber mais sobre o CSPM do Security Hub, consulte o Guia do [AWS Security Hub Usuário](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html).
O Amazon Macie se integra ao CSPM do Security Hub, o que significa que você pode publicar descobertas do Macie no CSPM do Security Hub automaticamente. O Security Hub CSPM pode então incluir essas descobertas em sua análise de sua postura de segurança. Além disso, você pode usar o Security Hub CSPM para avaliar e processar descobertas de políticas e dados confidenciais como parte de um conjunto maior e agregado de dados de descobertas para seu ambiente. AWS Em outras palavras, você pode avaliar as descobertas do Macie enquanto realiza análises mais amplas da postura de segurança da organização e corrigi-las conforme necessário. O Security Hub CSPM reduz a complexidade de lidar com grandes volumes de descobertas de vários fornecedores. Além disso, ele usa um formato padrão para todas as descobertas, incluindo as descobertas de Macie. O uso desse formato, o *AWS Security Finding Format (ASFF)*, elimina a necessidade de realizar esforços demorados de conversão de dados.
**Topics**
+ [Como a Macie publica as descobertas no Security Hub CSPM](#securityhub-integration-sending-findings)
+ [Exemplos de descobertas de Macie no Security Hub CSPM](#securityhub-integration-finding-example)
+ [Integrando o Macie com o Security Hub CSPM](#securityhub-integration-enable)
+ [Interrompendo a publicação das descobertas do Macie no Security Hub CSPM](#securityhub-integration-disable)
## Como a Macie publica as descobertas para AWS Security Hub CSPM
Em AWS Security Hub CSPM, os problemas de segurança são rastreados como descobertas. Algumas descobertas vêm de problemas detectados por Serviços da AWS, como o Amazon Macie, ou por soluções de AWS Partner Network segurança compatíveis. O CSPM do Security Hub também tem um conjunto de regras que ele usa para detectar problemas de segurança e gerar descobertas.
O Security Hub CSPM fornece ferramentas para gerenciar descobertas de todas essas fontes. Você pode revisar e filtrar listas de descobertas e revisar os detalhes de descobertas individuais. Para saber como, consulte [Revisar o histórico e os detalhes de descobertas](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-viewing.html) no *Guia do AWS Security Hub usuário*. Também é possível rastrear o status de uma investigação em uma descoberta. Para saber como, consulte [Configurar o status do fluxo de trabalho das descobertas](https://docs.aws.amazon.com/securityhub/latest/userguide/findings-workflow-status.html) no *Guia do usuário do AWS Security Hub *.
Todas as descobertas no CSPM do Security Hub usam um formato JSON padrão chamado *Formato de Descobertas de Segurança da AWS (ASFF)*. O ASFF inclui detalhes sobre a origem de um problema, os recursos afetados e o status atual de uma descoberta. Para obter mais informações, consulte [AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html) no *Manual do usuário do AWS Security Hub *.
### Tipos de descobertas que Macie publica no Security Hub CSPM
Dependendo das configurações de publicação que você escolher para sua conta do Macie, o Macie pode publicar todas as descobertas criadas no CSPM do Security Hub, tanto descobertas de dados confidenciais quanto descobertas de políticas. Para obter informações sobre essas configurações e como alterá-las, consulte [Definir as configurações de publicação para as descobertas](findings-publish-frequency.md). Por padrão, o Macie publica somente descobertas de políticas novas e atualizadas no CSPM do Security Hub. Macie não publica descobertas de dados confidenciais no CSPM do Security Hub.
#### Descobertas de dados confidenciais
Se você configurar o Macie para publicar [descobertas de dados confidenciais](findings-types.md#findings-sensitive-data-types) no CSPM do Security Hub, o Macie publicará automaticamente cada descoberta de dados confidenciais criada para sua conta, e o fará imediatamente após concluir o processamento da descoberta. O Macie faz isso para todas as descobertas de dados confidenciais que não são arquivadas automaticamente por uma [regra de supressão](findings-suppression.md).
Se você for o administrador do Macie de uma organização, a publicação se limita às descobertas de trabalhos de descoberta de dados confidenciais que você executou e às atividades automatizadas de descoberta de dados confidenciais que o Macie realizou para sua organização. Somente a conta que cria um trabalho pode publicar as descobertas de dados confidenciais que o trabalho produz. Somente a conta de administrador do Macie pode publicar descobertas de dados confidenciais que a descoberta automatizada de dados confidenciais produz para sua organização.
Quando o Macie publica descobertas de dados confidenciais no CSPM do Security Hub, ele usa o [AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html), que é o formato padrão para todas as descobertas no Security Hub CSPM. No ASFF, o campo `Types` indica o tipo de descoberta. Esse campo usa uma taxonomia ligeiramente diferente da taxonomia do tipo de descoberta em Macie.
A tabela a seguir lista o tipo de descoberta ASFF para cada tipo de descoberta de dados confidenciais que o Macie pode criar.
| Tipo de descoberta | Tipo de descoberta do ASFF |
| --- | --- |
| SensitiveData:S3Object/Credentials | Sensitive Data Identifications/Passwords/SensitiveData:S3Object-Credentials |
| SensitiveData:S3Object/CustomIdentifier | Sensitive Data Identifications/PII/SensitiveData:S3Object-CustomIdentifier |
| SensitiveData:S3Object/Financial | Sensitive Data Identifications/Financial/SensitiveData:S3Object-Financial |
| SensitiveData:S3Object/Multiple | Sensitive Data Identifications/PII/SensitiveData:S3Object-Multiple |
| SensitiveData:S3Object/Personal | Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal |
#### Descobertas de política
Se você configurar o Macie para publicar [descobertas de políticas](findings-types.md#findings-policy-types) no CSPM do Security Hub, o Macie publicará automaticamente cada nova descoberta de política criada e o fará imediatamente após concluir o processamento da descoberta. Se o Macie detectar uma ocorrência subsequente de uma descoberta de política existente, ele publicará automaticamente uma atualização da descoberta existente no Security Hub CSPM, usando uma frequência de publicação que você especifica para sua conta. O Macie executa essas tarefas para todas as descobertas de políticas que não são arquivadas automaticamente por uma [regra de supressão](findings-suppression.md).
Se você for o administrador do Macie de uma organização, a publicação se limita às descobertas de políticas para buckets do S3 que pertencem diretamente à sua conta. O Macie não publica descobertas de políticas que ele cria ou atualiza para contas de membros em sua organização. Isso ajuda a garantir que você não tenha dados de descobertas duplicados no CSPM do Security Hub.
Como é o caso das descobertas de dados confidenciais, o Macie usa o AWS Security Finding Format (ASFF) ao publicar descobertas de políticas novas e atualizadas no Security Hub CSPM. No ASFF, o campo `Types` usa uma taxonomia ligeiramente diferente da taxonomia do tipo de descoberta no Macie.
A tabela a seguir lista o tipo de descoberta ASFF para cada tipo de descoberta de política que o Macie pode criar. Se Macie criou ou atualizou uma descoberta de política no CSPM do Security Hub em ou após 28 de janeiro de 2021, a descoberta tem um dos seguintes valores para o campo ASFF no CSPM do `Types` Security Hub.
| Tipo de descoberta | Tipo de descoberta do ASFF |
| --- | --- |
| Policy:IAMUser/S3BlockPublicAccessDisabled | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled |
| Policy:IAMUser/S3BucketEncryptionDisabled | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketEncryptionDisabled |
| Policy:IAMUser/S3BucketPublic | Effects/Data Exposure/Policy:IAMUser-S3BucketPublic |
| Policy:IAMUser/S3BucketReplicatedExternally | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketReplicatedExternally |
| Policy:IAMUser/S3BucketSharedExternally | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedExternally |
| Policy:IAMUser/S3BucketSharedWithCloudFront | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedWithCloudFront |
Se o Macie criou ou atualizou pela última vez uma descoberta de política antes de 28 de janeiro de 2021, a descoberta tem um dos seguintes valores para o `Types` campo ASFF no CSPM do Security Hub:
+ Policy:IAMUser/S3BlockPublicAccessDisabled
+ Policy:IAMUser/S3BucketEncryptionDisabled
+ Policy:IAMUser/S3BucketPublic
+ Policy:IAMUser/S3BucketReplicatedExternally
+ Policy:IAMUser/S3BucketSharedExternally
Os valores na lista anterior são mapeados diretamente para valores do campo **Tipo de descoberta** (`type`) no Macie.
**Observações**
Ao analisar e processar as descobertas de políticas no CSPM do Security Hub, observe as seguintes exceções:
Com certeza Regiões da AWS, Macie começou a usar os tipos de descoberta ASFF para descobertas novas e atualizadas já em 25 de janeiro de 2021.
Se você agiu de acordo com uma descoberta de política no Security Hub CSPM antes de Macie começar a usar os tipos de descoberta ASFF em sua Região da AWS, o valor do `Types` campo ASFF da descoberta será um dos tipos de descoberta Macie na lista anterior. Não será um dos tipos de descoberta do ASFF na tabela anterior. Isso vale para as constatações de políticas nas quais você agiu usando o AWS Security Hub CSPM console ou a `BatchUpdateFindings` operação da AWS Security Hub CSPM API.
### Latência para publicação de descobertas no Security Hub CSPM
Quando o Amazon Macie cria uma nova política ou uma descoberta de dados confidenciais, ele publica a descoberta no AWS Security Hub CSPM imediatamente após concluir o processamento da descoberta.
Se o Macie detectar uma ocorrência subsequente de uma descoberta de política existente, ele publicará uma atualização da descoberta existente no Security Hub CSPM. O momento da atualização depende da frequência de publicação que você escolher para sua conta Macie. Por padrão, o Macie publica atualizações a cada 15 minutos. Para obter mais informações, inclusive como alterar a configuração da sua conta, consulte [Definir as configurações de publicação para as descobertas](findings-publish-frequency.md).
### Tentando publicar novamente quando o Security Hub CSPM não está disponível
Se AWS Security Hub CSPM não estiver disponível, o Amazon Macie cria uma fila de descobertas que não foram recebidas pelo CSPM do Security Hub. Quando o sistema é restaurado, Macie tenta publicar novamente até que as descobertas sejam recebidas pelo Security Hub CSPM.
### Atualização das descobertas existentes no CSPM do Security Hub
Depois que o Amazon Macie publica uma constatação de política em AWS Security Hub CSPM, Macie atualiza a descoberta para refletir quaisquer ocorrências adicionais da descoberta ou atividade de descoberta. O Macie faz isso apenas para descobertas de políticas. O Macie não atualiza as descobertas de dados confidenciais no CSPM do Security Hub. Diferentemente das descobertas de políticas, todas as descobertas de dados confidenciais são tratadas como novas (únicas).
Quando o Macie publica uma atualização em uma descoberta de política, o Macie atualiza o valor do campo **Atualizado em** (`UpdatedAt`) da descoberta. Você pode usar esse valor para determinar quando o Macie detectou mais recentemente uma ocorrência subsequente da possível violação de política ou problema que produziu a descoberta.
O Macie também pode atualizar o valor do campo **Tipos** (`Types`) de uma descoberta se o valor existente do campo não for um [Tipo de descoberta ASFF](#securityhub-integration-finding-types-policy). Isso depende se você agiu de acordo com a descoberta no CSPM do Security Hub. Se você não agiu de acordo com a descoberta, Macie altera o valor do campo para o tipo de descoberta ASFF apropriado. Se você agiu de acordo com a descoberta, usando o AWS Security Hub CSPM console ou a `BatchUpdateFindings` operação da AWS Security Hub CSPM API, o Macie não altera o valor do campo.
## Exemplos de descobertas de Macie em AWS Security Hub CSPM
Quando o Amazon Macie publica descobertas no AWS Security Hub CSPM, ele usa o [AWS Security Finding Format (](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html)ASFF). Esse é o formato padrão para todas as descobertas no CSPM do Security Hub. Os exemplos a seguir usam dados de amostra para demonstrar a estrutura e a natureza dos dados de descobertas que o Macie publica no Security Hub CSPM nesse formato:
+ [Exemplo de uma descoberta de dados confidenciais](#securityhub-integration-finding-example-sdf)
+ [Exemplo de uma descoberta de política](#securityhub-integration-finding-example-policy)
### Exemplo de uma descoberta de dados confidenciais no Security Hub CSPM
Aqui está um exemplo de uma descoberta de dados confidenciais que Macie publicou no Security Hub CSPM usando o ASFF.
```
{
"SchemaVersion": "2018-10-08",
"Id": "5be50fce24526e670df77bc00example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types":[
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
],
"CreatedAt": "2022-05-11T10:23:49.667Z",
"UpdatedAt": "2022-05-11T10:23:49.667Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "The S3 object contains personal information.",
"Description": "The object contains personal information such as first or last names, addresses, or identification numbers.",
"ProductFields": {
"JobArn": "arn:aws:macie2:us-east-1:111122223333:classification-job/698e99c283a255bb2c992feceexample",
"S3Object.Path": "amzn-s3-demo-bucket/2022 Sourcing.tsv",
"S3Object.Extension": "tsv",
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"OriginType": "SENSITIVE_DATA_DISCOVERY_JOB",
"S3Object.PublicAccess": "false",
"S3Object.Size": "14",
"S3Object.StorageClass": "STANDARD",
"S3Bucket.allowsUnencryptedObjectUploads": "TRUE",
"JobId": "698e99c283a255bb2c992feceexample",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/5be50fce24526e670df77bc00example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-12-30T18:16:25.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"BlockPublicPolicy": true,
"IgnorePublicAcls": true,
"RestrictPublicBuckets": true
}
}
}
},
{
"Type": "AwsS3Object",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket/2022 Sourcing.tsv",
"Partition": "aws",
"Region": "us-east-1",
"DataClassification": {
"DetailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/111122223333/Macie/us-east-1/
698e99c283a255bb2c992feceexample/111122223333/32b8485d-4f3a-3aa1-be33-aa3f0example.jsonl.gz",
"Result":{
"MimeType": "text/tsv",
"SizeClassified": 14,
"AdditionalOccurrences": false,
"Status": {
"Code": "COMPLETE"
},
"SensitiveData": [
{
"Category": "PERSONAL_INFORMATION",
"Detections": [
{
"Count": 1,
"Type": "USA_SOCIAL_SECURITY_NUMBER",
"Occurrences": {
"Cells": [
{
"Column": 10,
"Row": 1,
"ColumnName": "Other"
}
]
}
}
],
"TotalCount": 1
}
],
"CustomDataIdentifiers": {
"Detections": [
],
"TotalCount": 0
}
}
},
"Details": {
"AwsS3Object": {
"LastModified": "2022-04-22T18:16:46.000Z",
"ETag": "ebe1ca03ee8d006d457444445example",
"VersionId": "SlBC72z5hArgexOJifxw_IN57example",
"ServerSideEncryption": "aws:kms",
"SSEKMSKeyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
]
},
"Sample": false,
"ProcessedAt": "2022-05-11T10:23:49.667Z"
}
```
### Exemplo de uma descoberta de política no Security Hub CSPM
Aqui está um exemplo de uma nova descoberta de política que Macie publicou no Security Hub CSPM no ASFF.
```
{
"SchemaVersion": "2018-10-08",
"Id": "36ca8ba0-caf1-4fee-875c-37760example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
],
"CreatedAt": "2022-04-24T09:27:43.313Z",
"UpdatedAt": "2022-04-24T09:27:43.313Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "Block Public Access settings are disabled for the S3 bucket",
"Description": "All Amazon S3 block public access settings are disabled for the Amazon S3 bucket. Access to the bucket is
controlled only by access control lists (ACLs) or bucket policies.",
"ProductFields": {
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"S3Bucket.allowsUnencryptedObjectUploads": "FALSE",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/36ca8ba0-caf1-4fee-875c-37760example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Tags": {
"Team": "Recruiting",
"Division": "HR"
},
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-11-25T18:24:38.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": false,
"BlockPublicPolicy": false,
"IgnorePublicAcls": false,
"RestrictPublicBuckets": false
}
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
]
},
"Sample": false
}
```
## Integrando o Macie com AWS Security Hub CSPM
Para integrar o Amazon Macie com AWS Security Hub CSPM, habilite o Security Hub CSPM para seu. Conta da AWS Para saber como, consulte [Habilitando o CSPM do Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html) no Guia do *AWS Security Hub Usuário*.
Quando você ativa o Macie e o CSPM do Security Hub, a integração é ativada automaticamente. Por padrão, o Macie começa a publicar automaticamente descobertas de políticas novas e atualizadas no CSPM do Security Hub. Você não precisa realizar nenhuma etapa adicional para configurar a integração. Se você tiver descobertas de políticas existentes quando a integração estiver habilitada, o Macie não as publicará no CSPM do Security Hub. Em vez disso, o Macie publicará somente as descobertas de políticas que ele cria ou atualiza após a habilitação da integração.
Opcionalmente, você pode personalizar sua configuração escolhendo a frequência com que o Macie publica atualizações das descobertas de políticas no Security Hub CSPM. Você também pode optar por publicar descobertas de dados confidenciais no CSPM do Security Hub. Para saber como, consulte [Definir as configurações de publicação para as descobertas](findings-publish-frequency.md).
## Interrompendo a publicação das descobertas de Macie para AWS Security Hub CSPM
Para parar de publicar as descobertas do Amazon Macie AWS Security Hub CSPM, você pode alterar as configurações de publicação da sua conta do Macie. Para saber como, consulte [Como escolher destinos de publicação para descobertas](findings-publish-frequency.md#findings-publish-destinations-change). Você também pode fazer isso usando o Security Hub CSPM. Para saber como, consulte [Desabilitar o fluxo de descobertas a partir de uma integração](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integration-disable.html) no *Guia do usuário do AWS Security Hub *.
# Esquema de EventBridge eventos da Amazon para descobertas do Macie
Para oferecer suporte à integração com outros aplicativos, serviços e sistemas, como sistemas de monitoramento ou gerenciamento de eventos, o Amazon Macie publica automaticamente as descobertas na Amazon EventBridge como eventos. EventBridge, antigo Amazon CloudWatch Events, é um serviço de barramento de eventos sem servidor que fornece um fluxo de dados em tempo real de aplicativos e outros Serviços da AWS para destinos como funções AWS Lambda , tópicos do Amazon Simple Notification Service e streams do Amazon Kinesis. Para saber mais sobre isso EventBridge, consulte o [Guia EventBridge do usuário da Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html).
**nota**
Se você atualmente usa CloudWatch Eventos, observe que EventBridge e CloudWatch Eventos são o mesmo serviço e API subjacentes. No entanto, EventBridge inclui recursos adicionais que permitem que você receba eventos de aplicativos de software como serviço (SaaS) e de seus próprios aplicativos. Como o serviço subjacente e a API são os mesmos, o esquema de eventos das descobertas do Macie também é o mesmo.
O Macie publica automaticamente eventos para todas as novas descobertas e ocorrências subsequentes às descobertas de políticas existentes, com exceção das descobertas arquivadas automaticamente por uma [regra de supressão](findings-suppression.md). Os eventos são objetos JSON que estão em conformidade com o EventBridge esquema dos eventos. AWS Cada evento contém uma representação em JSON de uma descoberta específica. Como os dados são estruturados como um EventBridge evento, você pode monitorar, processar e agir de acordo com uma descoberta com mais facilidade usando outros aplicativos, serviços e ferramentas. Para obter detalhes sobre como e quando o Macie publica os eventos para descobertas, consulte [Definir as configurações de publicação para as descobertas](findings-publish-frequency.md).
**Topics**
+ [Esquema de eventos para descobertas do Macie](#findings-publish-event-schema)
+ [Exemplo de evento para uma descoberta de política](#findings-publish-event-example-policy)
+ [Exemplo de evento para uma descoberta de dados confidenciais](#findings-publish-event-example-classification)
## Esquema de eventos para descobertas do Macie
O exemplo a seguir mostra o esquema de um [ EventBridge evento da Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html) para uma descoberta do Amazon Macie. Para obter descrições detalhadas dos campos que podem ser incluídos em um evento de descoberta, consulte [Descobertas](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html) na *Referência de API do Amazon Macie*. A estrutura e os campos de um evento de descoberta são mapeados de maneira próxima ao objeto `Finding` da API do Amazon Macie.
```
{
"version": "0",
"id": "event ID",
"detail-type": "Macie Finding",
"source": "aws.macie",
"account": "Conta da AWS ID (string)",
"time": "event timestamp (string)",
"region": "Região da AWS (string)",
"resources": [
<-- ARNs of the resources involved in the event -->
],
"detail": {
<-- Details of a policy or sensitive data finding -->
},
"policyDetails": null, <-- Additional details of a policy finding or null for a sensitive data finding -->
"sample": Boolean,
"archived": Boolean
}
```
## Exemplo de evento para uma descoberta de política
O exemplo a seguir usa dados de amostra para demonstrar a estrutura e a natureza dos objetos e campos em um EventBridge evento da Amazon para uma [descoberta de política](findings-types.md#findings-policy-types). Neste exemplo, o evento relata uma ocorrência subsequente a uma descoberta de política existente: o Amazon Macie detectou que as configurações de bloqueio de acesso público foram desabilitadas para um bucket do S3. Os campos e valores a seguir podem ajudá-lo a determinar se esse é o caso:
+ O campo `type` está definido como `Policy:IAMUser/S3BlockPublicAccessDisabled`.
+ Os valores dos campos `createdAt` e `updatedAt` têm valores diferentes. Esse é um indicador de que o evento relata uma ocorrência subsequente a uma descoberta de política existente. Os valores desses campos seriam os mesmos se o evento relatasse uma nova descoberta.
+ O campo `count` está definido como `2`, o que indica que essa é a segunda ocorrência da descoberta.
+ O campo `category` está definido como `POLICY`.
+ O valor do campo `classificationDetails` é `null`, o que ajuda a diferenciar esse evento para uma descoberta de política de um evento de uma descoberta de dados confidenciais. Para uma descoberta de dados confidenciais, esse valor seria um conjunto de objetos e campos que fornecem informações sobre como e quais dados confidenciais foram encontrados.
Observe também que o valor do campo `sample` é `true`. Esse valor enfatiza que esse é um exemplo de evento para uso na documentação.
```
{
"version": "0",
"id": "0948ba87-d3b8-c6d4-f2da-732a1example",
"detail-type": "Macie Finding",
"source": "aws.macie",
"account": "123456789012",
"time": "2024-04-30T23:12:15Z",
"region":"us-east-1",
"resources": [],
"detail": {
"schemaVersion": "1.0",
"id": "64b917aa-3843-014c-91d8-937ffexample",
"accountId": "123456789012",
"partition": "aws",
"region": "us-east-1",
"type": "Policy:IAMUser/S3BlockPublicAccessDisabled",
"title": "Block public access settings are disabled for the S3 bucket",
"description": "All bucket-level block public access settings were disabled for the S3 bucket. Access to the bucket is controlled by account-level block public access settings, access control lists (ACLs), and the bucket’s bucket policy.",
"severity": {
"score": 3,
"description": "High"
},
"createdAt": "2024-04-29T15:46:02Z",
"updatedAt": "2024-04-30T23:12:15Z",
"count": 2,
"resourcesAffected": {
"s3Bucket": {
"arn": "arn:aws:s3:::amzn-s3-demo-bucket1",
"name": "amzn-s3-demo-bucket1",
"createdAt": "2020-04-03T20:46:56.000Z",
"owner":{
"displayName": "johndoe",
"id": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example"
},
"tags": [
{
"key": "Division",
"value": "HR"
},
{
"key": "Team",
"value": "Recruiting"
}
],
"defaultServerSideEncryption": {
"encryptionType": "aws:kms",
"kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"publicAccess": {
"permissionConfiguration": {
"bucketLevelPermissions": {
"accessControlList": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"bucketPolicy": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"blockPublicAccess": {
"ignorePublicAcls": false,
"restrictPublicBuckets": false,
"blockPublicAcls": false,
"blockPublicPolicy": false
}
},
"accountLevelPermissions": {
"blockPublicAccess": {
"ignorePublicAcls": true,
"restrictPublicBuckets": true,
"blockPublicAcls": true,
"blockPublicPolicy": true
}
}
},
"effectivePermission": "NOT_PUBLIC"
},
"allowsUnencryptedObjectUploads": "FALSE"
},
"s3Object": null
},
"category": "POLICY",
"classificationDetails": null,
"policyDetails": {
"action": {
"actionType": "AWS_API_CALL",
"apiCallDetails": {
"api": "PutBucketPublicAccessBlock",
"apiServiceName": "s3.amazonaws.com",
"firstSeen": "2024-04-29T15:46:02.401Z",
"lastSeen": "2024-04-30T23:12:15.401Z"
}
},
"actor": {
"userIdentity": {
"type": "AssumedRole",
"assumedRole": {
"principalId": "AROA1234567890EXAMPLE:AssumedRoleSessionName",
"arn": "arn:aws:sts::123456789012:assumed-role/RoleToBeAssumed/MySessionName",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": false,
"creationDate": "2024-04-29T10:25:43.511Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AROA1234567890EXAMPLE",
"arn": "arn:aws:iam::123456789012:role/RoleToBeAssumed",
"accountId": "123456789012",
"userName": "RoleToBeAssumed"
}
}
},
"root": null,
"iamUser": null,
"federatedUser": null,
"awsAccount": null,
"awsService": null
},
"ipAddressDetails":{
"ipAddressV4": "192.0.2.0",
"ipOwner": {
"asn": "-1",
"asnOrg": "ExampleFindingASNOrg",
"isp": "ExampleFindingISP",
"org": "ExampleFindingORG"
},
"ipCountry": {
"code": "US",
"name": "United States"
},
"ipCity": {
"name": "Ashburn"
},
"ipGeoLocation": {
"lat": 39.0481,
"lon": -77.4728
}
},
"domainDetails": null
}
},
"sample": true,
"archived": false
}
}
```
## Exemplo de evento para uma descoberta de dados confidenciais
O exemplo a seguir usa dados de amostra para demonstrar a estrutura e a natureza dos objetos e campos em um EventBridge evento da Amazon para uma [descoberta de dados confidenciais](findings-types.md#findings-sensitive-data-types). Neste exemplo, o evento relata uma nova descoberta de dados confidenciais: o Amazon Macie encontrou várias categorias e tipos de dados confidenciais em um objeto do S3. Os campos e valores a seguir podem ajudá-lo a determinar se esse é o caso:
+ O campo `type` está definido como `SensitiveData:S3Object/Multiple`.
+ Os campos `createdAt` e `updatedAt` têm os mesmos valores. Ao contrário das descobertas de políticas, esse é sempre o caso das descobertas de dados confidenciais. Todas as descobertas de dados confidenciais são consideradas novas.
+ O campo `count` está definido como `1`, o que indica que essa é uma nova descoberta. Ao contrário das descobertas de políticas, esse é sempre o caso das descobertas de dados confidenciais. Todas as descobertas de dados confidenciais são consideradas novas.
+ O campo `category` está definido como `CLASSIFICATION`.
+ O valor do campo `policyDetails` é `null`, o que ajuda a diferenciar esse evento de descoberta de dados confidenciais de um evento de descoberta de política. Para uma descoberta de política, esse valor seria um conjunto de objetos e campos que fornecem informações sobre uma possível violação de política ou problema com a segurança ou a privacidade de um bucket do S3.
Observe também que o valor do campo `sample` é `true`. Esse valor enfatiza que esse é um exemplo de evento para uso na documentação.
```
{
"version": "0",
"id": "14ddd0b1-7c90-b9e3-8a68-6a408example",
"detail-type": "Macie Finding",
"source": "aws.macie",
"account": "123456789012",
"time": "2024-04-20T08:19:10Z",
"region": "us-east-1",
"resources": [],
"detail": {
"schemaVersion": "1.0",
"id": "4ed45d06-c9b9-4506-ab7f-18a57example",
"accountId": "123456789012",
"partition": "aws",
"region": "us-east-1",
"type": "SensitiveData:S3Object/Multiple",
"title": "The S3 object contains multiple categories of sensitive data",
"description": "The S3 object contains more than one category of sensitive data.",
"severity": {
"score": 3,
"description": "High"
},
"createdAt": "2024-04-20T18:19:10Z",
"updatedAt": "2024-04-20T18:19:10Z",
"count": 1,
"resourcesAffected": {
"s3Bucket": {
"arn": "arn:aws:s3:::amzn-s3-demo-bucket2",
"name": "amzn-s3-demo-bucket2",
"createdAt": "2020-05-15T20:46:56.000Z",
"owner": {
"displayName": "johndoe",
"id": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example"
},
"tags":[
{
"key":"Division",
"value":"HR"
},
{
"key":"Team",
"value":"Recruiting"
}
],
"defaultServerSideEncryption": {
"encryptionType": "aws:kms",
"kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"publicAccess": {
"permissionConfiguration": {
"bucketLevelPermissions": {
"accessControlList": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"bucketPolicy":{
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"blockPublicAccess": {
"ignorePublicAcls": true,
"restrictPublicBuckets": true,
"blockPublicAcls": true,
"blockPublicPolicy": true
}
},
"accountLevelPermissions": {
"blockPublicAccess": {
"ignorePublicAcls": false,
"restrictPublicBuckets": false,
"blockPublicAcls": false,
"blockPublicPolicy": false
}
}
},
"effectivePermission": "NOT_PUBLIC"
},
"allowsUnencryptedObjectUploads": "TRUE"
},
"s3Object":{
"bucketArn": "arn:aws:s3:::amzn-s3-demo-bucket2",
"key": "2024 Sourcing.csv",
"path": "amzn-s3-demo-bucket2/2024 Sourcing.csv",
"extension": "csv",
"lastModified": "2024-04-19T22:08:25.000Z",
"versionId": "",
"serverSideEncryption": {
"encryptionType": "aws:kms",
"kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"size": 4750,
"storageClass": "STANDARD",
"tags":[
{
"key":"Division",
"value":"HR"
},
{
"key":"Team",
"value":"Recruiting"
}
],
"publicAccess": false,
"etag": "6bb7fd4fa9d36d6b8fb8882caexample"
}
},
"category": "CLASSIFICATION",
"classificationDetails": {
"jobArn": "arn:aws:macie2:us-east-1:123456789012:classification-job/3ce05dbb7ec5505def334104bexample",
"jobId": "3ce05dbb7ec5505def334104bexample",
"result": {
"status": {
"code": "COMPLETE",
"reason": null
},
"sizeClassified": 4750,
"mimeType": "text/csv",
"additionalOccurrences": true,
"sensitiveData": [
{
"category": "PERSONAL_INFORMATION",
"totalCount": 65,
"detections": [
{
"type": "USA_SOCIAL_SECURITY_NUMBER",
"count": 30,
"occurrences": {
"lineRanges": null,
"offsetRanges": null,
"pages": null,
"records": null,
"cells": [
{
"row": 2,
"column": 1,
"columnName": "SSN",
"cellReference": null
},
{
"row": 3,
"column": 1,
"columnName": "SSN",
"cellReference": null
},
{
"row": 4,
"column": 1,
"columnName": "SSN",
"cellReference": null
}
]
}
},
{
"type": "NAME",
"count": 35,
"occurrences": {
"lineRanges": null,
"offsetRanges": null,
"pages": null,
"records": null,
"cells": [
{
"row": 2,
"column": 3,
"columnName": "Name",
"cellReference": null
},
{
"row": 3,
"column": 3,
"columnName": "Name",
"cellReference": null
}
]
}
}
]
},
{
"category": "FINANCIAL_INFORMATION",
"totalCount": 30,
"detections": [
{
"type": "CREDIT_CARD_NUMBER",
"count": 30,
"occurrences": {
"lineRanges": null,
"offsetRanges": null,
"pages": null,
"records": null,
"cells": [
{
"row": 2,
"column": 14,
"columnName": "CCN",
"cellReference": null
},
{
"row": 3,
"column": 14,
"columnName": "CCN",
"cellReference": null
}
]
}
}
]
}
],
"customDataIdentifiers": {
"totalCount": 0,
"detections": []
}
},
"detailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/123456789012/Macie/us-east-1/3ce05dbb7ec5505def334104bexample/d48bf16d-0deb-3e49-9d8c-d407cexample.jsonl.gz",
"originType": "SENSITIVE_DATA_DISCOVERY_JOB"
},
"policyDetails": null,
"sample": true,
"archived": false
}
}
```