本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 监控 Macie 的调查结果 AWS 用户通知服务
AWS 用户通知服务 是一项服务,可充当您在上发布 AWS 通知的中心位置 AWS 管理控制台。这包括诸如 Amazon CloudWatch 警报、 AWS 支持 案例和其他人的通信之类的通知 AWS 服务。借 用户通知服务助,您可以配置自定义规则和传递渠道,以接收有关某些类型的 Amazon EventBridge 事件的通知。交付渠道包括电子邮件、聊天应用程序中的 Amazon Q Developer 以及中的推送通知 AWS Console Mobile Application。您还可以在 AWS 用户通知服务 控制台上查看通知。要了解更多信息 用户通知服务,请参阅[AWS 用户通知服务 用户指南](https://docs.aws.amazon.com/notifications/latest/userguide/what-is-service.html)。
Amazon Macie 与集成 AWS 用户通知服务,这意味着您可以配置 用户通知服务 为通知 Macie 发布的事件以 EventBridge 获取策略和敏感数据发现。如果发现事件符合您指定的标准,则 用户通知服务 会生成通知。该通知包括相关发现的关键细节,例如发现的类型和严重性,以及受影响资源的名称。 用户通知服务 也可以将通知发送到您指定的一个或多个交付渠道。您可以根据您的安全和合规工作流程,自定义选择传递通道。
例如,您可以配置 用户通知服务 为针对特定类型的新的高严重性发现生成通知。您还可以在聊天应用程序中指定 Amazon Q Developer 作为这些通知的传递渠道。 用户通知服务 然后检测发现 EventBridge 的事件,生成包含调查结果数据的通知,并在聊天应用程序中将通知发送给 Amazon Q Developer。然后,聊天应用程序中的 Amazon Q Developer 可能会将通知发送到 Slack 频道或 Amazon Chime 聊天室,以通知您的事件响应团队。
**Topics**
+ [使用 AWS 用户通知服务](#findings-monitor-events-uno-overview)
+ [启用和配置事件通知](#findings-monitor-events-uno-configure)
+ [将通知字段映射至调查发现字段](#findings-monitor-events-uno-schema)
+ [更改调查发现通知设置](#findings-monitor-events-uno-change)
+ [禁用调查发现通知](#findings-monitor-events-uno-disable)
## 与 AWS 用户通知服务
使用 AWS 用户通知服务,您可以创建规则来指定要监控和接收通知的 Amazon EventBridge 事件类型。规则定义了 EventBridge 事件必须匹配才能生成通知的标准。您也可以选择一个或多个规则传递通道。传递通道是指您想要按规则条件接收事件通知的位置。
如果 用户通知服务 检测到符合规则标准 EventBridge 的事件,它将执行以下常规任务:
1. 从事件中提取数据子集。
1. 生成包含提取数据的通知。
1. 将通知发送至指定类型的事件传递通道。
通知的设计和结构针对每个目标传递通道进行了优化。
若要管理收到通知的频率或数量,您可以为规则配置聚合设置。如果您启用这些设置,则会将多个事件的数据 用户通知服务 合并到一个通知中。严重性较高的调查发现事件,您可选择快速、频繁地发送聚合事件通知。或者对于严重性较低的调查发现事件,您可选择降低发送频率以减少收到的通知数量。如果合并事件数据,则可以使用 AWS 用户通知服务 控制台向下钻取以查看每个聚合事件的详细信息。您还可在此导航至 Amazon Macie 控制台上的每个相关调查发现信息。
## 为 Macie AWS 用户通知服务 调查结果启用和配置
AWS 用户通知服务 要启用为 Amazon Macie 调查结果生成通知,请在中为 Macie 创建通知配置。 用户通知服务*通知配置*指定规则标准。它还指定配送渠道和其他设置,用于监控和发送符合规则标准的亚马逊 EventBridge 事件的通知。有关创建通知配置的详细信息,请参阅*《AWS 用户通知服务 用户指南》*中的[AWS 用户通知服务入门](https://docs.aws.amazon.com/notifications/latest/userguide/getting-started.html)。
要为 Macie 调查发现创建通知配置,请选择以下事件规则选项:
+ 对于 **AWS 服务 名称**,请选择 **Macie**。
+ 对于 **事件类型**,选择 **Macie 调查发现**。
+ 对于**区域**,选择您使用 Macie 并希望收到调查结果通知的每个 AWS 区域 区域。
使用此配置,可以 用户通知服务 监控您的 EventBridge 事件, AWS 账户 并针对您所选区域中的所有 Macie 查找事件生成通知。事件匹配以下条件:
+ `source`equals`aws.macie`
+ `detail-type`equals`Macie Finding`
事件规则的基础 JSON 模式为:
```
{
"source": ["aws.macie"],
"detail-type": ["Macie Finding"]
}
```
要完善规则并仅针对调查发现子集生成通知,您可为此规则生成自定义 JSON 模式。为此,请指定源自 [Macie 调查结果的亚马逊 EventBridge 事件架构](findings-publish-event-schemas.md) 的其他标准。
如果您创建使用自定义 JSON 模式的规则,则可以为 Macie 调查发现创建多个通知配置。然后,您可以为每种配置自定义传递通道和其他设置,使其与针对特定调查发现类型的安全和合规工作流程保持一致。
例如,您可创建一个规则,当 Macie 生成或更新 *Policy:IAMUser/S3BucketPublic* 调查发现时通知您。在这种情况下,规则模式可能是:
```
{
"source": ["aws.macie"],
"detail-type": ["Macie Finding"],
"detail": {
"type": ["Policy:IAMUser/S3BucketPublic"]
}
}
```
您还可以创建另一条规则,在 Macie 为可公开访问的 S3 存储桶生成敏感数据调查发现时通知您。在这种情况下,规则模式可能是:
```
{
"source": ["aws.macie"],
"detail-type": ["Macie Finding"],
"detail": {
"type": [ { "prefix": "SensitiveData" } ],
"resourcesAffected": {
"effectivePermission": ["PUBLIC"]
}
}
}
```
如果您为 Macie 调查发现创建了多个通知配置,则最好确保每项配置规则的唯一性。否则,您可能会收到有关个别调查发现的重复通知。
要了解有关为规则自定义事件模式的更多信息,请参阅*《AWS 用户通知服务 用户指南》*中的[使用自定义 JSON 事件模式](https://docs.aws.amazon.com/notifications/latest/userguide/common-usecases.html)。
## 将 AWS 用户通知服务 字段映射到 Macie 查找字段
当为 Amazon Macie 的发现 AWS 用户通知服务 生成通知时,它会使用来自相应亚马逊事件中部分字段的数据填充通知。 EventBridge 此字段包括相关调查发现的关键细节,例如调查发现的类型和严重性以及受影响资源的名称。
如果您在 AWS 用户通知服务 控制台上查看通知,则该通知将包含该字段子集的所有数据。此外还提供了指向 Amazon Macie 控制台上的相关调查发现的链接。如果您通过其他传递通道查看该通知,则可能仅包含部分字段数据。这是因为 用户通知服务 定制了其通知的设计和结构,以适应其支持的每种交付渠道。
下表列出了调查发现通知中可能包含的字段。在表中,**通知字段**列描述(*斜体*)或表示通知中字段的名称。**查找结果事件字段**列使用点表示法来表示查找结果 EventBridge 的事件中相应 JSON 字段的名称。**描述**列描述了存储在此字段内的数据。
| 通知字段 | 调查发现事件字段 | 说明 |
| --- | --- | --- |
| *消息标题* | `detail.type` | 结果类型。 例如:`Policy:IAMUser/S3BucketPublic` 或 `SensitiveData:S3Object/Financial`。 |
| 摘要 | `detail.title` | 调查发现的简要描述 例如:`The S3 object contains financial information.` |
| 描述 | `detail.description` | 调查发现的完整描述 例如:`The S3 object contains financial information such as bank account numbers or credit card numbers.` |
| 严重性 | `detail.severity.description` | 调查发现严重程度的定性表示:`Low`、`Medium`或`High`。 |
| 调查发现 ID | `detail.id` | 调查发现的唯一标识符。 |
| 创建时间 | `detail.createdAt` | Macie 创建调查发现的日期和时间。 |
| 已更新 | `detail.updatedAt` | Macie 最近更新调查发现的日期和时间。 对于敏感数据调查发现,此值与*创建* (`detail.createdAt`) 字段值相同。所有敏感数据调查发现均被视为新发现(唯一的)。 |
| 受影响的 S3 存储桶 | `detail.resourcesAffected.s3Bucket.arn` | S3 存储桶的 Amazon 资源名称(ARN)。 |
| 受影响的 S3 对象 | `detail.resourcesAffected.s3Object.path` | 受影响的 S3 对象名称(*密钥*),包括存储对象和对象前缀(如适用)的存储桶名称。 此字段不包含在策略调查发现通知中。 |
| *敏感数据检测* | `detail.classificationDetails.result.sensitiveData.detections...` AND 或 && `detail.classificationDetails.result.customDataIdentifiers.detections...` | 这串联了事件中的多个字段,用于敏感数据的调查发现。此字段不包含在策略调查发现通知中。 如果托管数据标识符检测到敏感数据,则此字段指定所检测到的敏感数据的类别、类型和出现次数 (`count`)。例如:`PERSONAL_INFORMATION: USA_SOCIAL_SECURITY_NUMBER 100 occurrences`。 如果自定义数据标识符检测到敏感数据,则此字段指定自定义数据标识符的名称,以及检测到的敏感数据出现次数 (`count`)。例如:`Employee ID 20 occurrences`。 如果调查发现报告多种类型敏感数据,则通知包含最多四类数据。数据中首先填充适当的自定义标识符,然后填充适当的托管数据标识符。 |
## 更改 Macie 搜索结果的 AWS 用户通知服务 设置
您可以随时更改 Amazon Macie 搜索结果的 AWS 用户通知服务 设置。为此,请在 用户通知服务中编辑通知配置。要了解操作方法,请参阅*《AWS 用户通知服务 用户指南》*中的[管理通知配置](https://docs.aws.amazon.com/notifications/latest/userguide/managing-notifications.html)。
如果您的 Macie 调查发现包含多种通知配置,则更改一项通知配置不会影响其他配置设置。您可以编辑全部或部分配置。
## 禁用 M AWS 用户通知服务 acie 搜索结果
要停止生成和接收来自 AWS 用户通知服务 Amazon Macie 调查结果的通知,请删除中的通知配置。 用户通知服务要了解操作方法,请参阅*《AWS 用户通知服务 用户指南》*中的[管理通知配置](https://docs.aws.amazon.com/notifications/latest/userguide/managing-notifications.html)。
如果您的 Macie 调查发现包含多种通知配置,则删除一项通知配置不会影响其他配置设置。您可以删除全部或部分配置。