本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 监控和处理 Macie 调查发现
为了支持与其他应用程序、服务和系统(例如监控或事件管理系统)的集成,Amazon Macie 会自动将策略和敏感数据调查结果 EventBridge 作为事件发布给亚马逊。要对组织的安全状况进行更多、更广泛的分析,您也可以将调查发现发布到AWS Security Hub CSPM。
**Amazon EventBridge**
亚马逊 EventBridge(前身为 Amazon CloudWatch Events)是一种无服务器事件总线服务,它提供来自应用程序和服务的实时数据流,并将这些数据路由到AWS Lambda函数、亚马逊简单通知服务主题和 Amazon Kinesis 流等目标。借 EventBridge助,您可以自动监控和处理某些类型的事件,包括 Macie 为调查结果而发布的事件。要了解更多信息,请参阅[使用 Amazon 处理调查结果 EventBridge](findings-monitor-events-eventbridge.md)。
如果您AWS 用户通知服务与 Macie 集成,还可以使用 EventBridge 事件自动生成有关 Macie 发布的事件的通知,以获取调查结果。使用用户通知服务,您可以创建自定义规则并配置发送渠道,以接收有关感兴趣 EventBridge 的事件的通知。交付渠道包括电子邮件、聊天应用程序中的 Amazon Q Developer 以及中的推送通知AWS Console Mobile Application。您还可以在的中心位置查看通知AWS 管理控制台。要了解更多信息,请参阅[使用 AWS 用户通知服务监控调查发现](findings-monitor-events-uno.md)。
**AWS Security Hub CSPM**
AWS Security Hub CSPM是一项安全服务,可让您全面了解整个AWS环境中的安全状态。它收集来自AWS 服务和支持AWS Partner Network的安全解决方案的安全数据,并帮助您根据安全行业标准和最佳实践检查您的环境。它还可以帮助您分析安全趋势并识别高优先级问题。
借助 Security Hub CSPM,您可以查看和评估 Macie 的调查结果,作为对组织安全态势的更广泛分析的一部分。您还可以汇总来自多个区域的调查结果AWS 区域,并监控和处理来自单个区域的聚合结果数据。要了解更多信息,请参阅[使用 AWS Security Hub CSPM评估调查发现](securityhub-integration.md)。
当 Macie 创建查找结果时,它会自动将该发现 EventBridge 作为新事件发布到。根据你为账户选择的发布设置,Macie 还可以将调查结果发布到 Security Hub CSPM。Macie 在处理完调查发现后会立即发布每个新的调查发现。如果 Macie 检测到现有策略发现的后续出现,则会针对该发现发布现有 EventBridge 事件的更新。根据你的发布设置,Macie 还可以将更新发布到 Security Hub CSPM。Macie 使用您在账户的发布设置中指定的发布频率定期发布这些更新。
除上述选项外,您还可以使用 Amazon Macie API 直接查询和检索调查结果数据。借助 Amazon Macie API,您可以通过编程方式全面访问数据。要查询数据,你可以直接向 Macie 发送 HTTPS 请求,也可以使用最新版本的 S AWS DK 或AWS命令行工具。如果您查询数据,Macie 会以 JSON 响应的形式返回结果。然后,您可以将结果传递给其他服务或应用程序,以进行其他处理、监控或报告。有关更多信息,请参阅[Amazon Macie API 参考资料](https://docs.aws.amazon.com/macie/latest/APIReference/welcome.html)。
**Topics**
+ [为调查发现配置发布设置](findings-publish-frequency.md)
+ [使用 Amazon 处理调查结果 EventBridge](findings-monitor-events-eventbridge.md)
+ [使用 AWS 用户通知服务监控调查发现](findings-monitor-events-uno.md)
+ [使用 AWS Security Hub CSPM评估调查发现](securityhub-integration.md)
+ [用于查找结果的 Amazon EventBridge 事件架构](findings-publish-event-schemas.md)
# 为 Macie 调查发现配置发布设置
为了支持与其他应用程序、服务和系统的集成,Amazon Macie 会自动将政策调查结果和敏感数据调查结果 EventBridge 作为事件发布给亚马逊。有关如何使用 EventBridge 来监控和处理结果的信息,请参阅[使用 Amazon 处理调查结果 EventBridge](findings-monitor-events-eventbridge.md)。
您可以使用在账户发布设置中指定的目标选项, AWS Security Hub CSPM 将 Macie 配置为自动向其发布搜索结果。使用这些选项,您可以将 Macie 配置为仅发布策略发现、仅发布敏感数据发现,或者同时发布策略和敏感数据发现到 Security Hub CSPM。你也可以将 Macie 配置为停止将任何发现结果发布到 Security Hub CSPM。有关如何使用 Security Hub CSPM 来评估和处理发现结果的信息,请参阅。[使用 AWS Security Hub CSPM评估调查发现](securityhub-integration.md)
对于策略调查发现,Macie 向其他 AWS 服务 发布调查发现的时间,取决于此调查发现是否为新发现和您为账户指定的发布频率。敏感数据调查发现为实时发布:Macie 在处理完敏感数据调查发现后立即发布敏感数据调查发现。与策略调查发现不同的事,Macie 将所有敏感数据调查发现视为新调查发现(唯一)。
请注意,Macie 不会发布按[抑制规则](findings-suppression.md)自动存档的策略或敏感数据调查发现。换句话说,Macie 不会向其他 AWS 服务发布隐藏调查发现。
**Topics**
+ [选择发布目标](#findings-publish-destinations-change)
+ [更改发布频率](#findings-publish-frequency-change)
## 为调查发现选择发布目标
除了亚马逊之外,您还可以将 Amazon Macie 配置为 AWS Security Hub CSPM 自动发布策略和敏感数据发现。 EventBridge默认情况下,Macie 仅向 Security Hub CSPM 发布新的和更新的政策调查结果。若要更改或扩展默认配置,请调整您账户的发布目标设置。
调整目标设置时,可以选择希望 Macie 发布到 Security Hub cspm 的发现结果类别,即仅限策略发现、仅限敏感数据发现,或者同时选择策略和敏感数据查找结果。您也可以选择停止向 Security Hub CSPM 发布任何类别的查找结果。
如果您更改了目的设置,则所做的更改仅适用于当前 AWS 区域。如果您是组织的 Macie 管理员,则更改仅适用于您的账户。它不适用于您组织中的任何成员账户。有关更多信息,请参阅 [管理多个账户](macie-accounts.md)。
**为调查发现选择发布目的地**
按照以下步骤使用 Amazon Macie 控制台更改目的地设置。要以编程方式执行此[PutFindingsPublicationConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/findings-publication-configuration.html)操作,请使用亚马逊 Macie API 的操作。
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 在导航窗格中,选择**设置**。
1. 在**发布调查发现**部分的**目标**下,从以下选项中进行选择:
+ **将策略调查结果发布到 Security Hub CSPM** — 选中此复选框可开始自动向 Security Hub CSPM 发布新的和更新的策略调查结果。要停止向 Security Hub CSPM 发布新的和更新的策略结果,请清除此复选框。
如果您选中此复选框并且已有策略发现,则 Macie 不会将其发布到 Security Hub CSPM。相反,Macie 只发布在您保存更改后创建或更新的策略调查发现。
+ **将敏感数据发现发布到 Security Hub CSPM** — 选中此复选框可开始自动将新的敏感数据发现发布到 Security Hub CSPM。要停止向 Security Hub CSPM 发布新的敏感数据发现,请清除此复选框。
如果您选中此复选框并且已发现敏感数据,则 Macie 不会将其发布到 Security Hub CSPM。相反,Macie 只发布在您保存更改后创建的敏感数据调查发现。
1. 选择**保存**。
如果您选择将任何类别的调查结果发布到 Security Hub CSPM,请确保同时在当前区域中启用 Security Hub CSPM,并将其配置为接受 Macie 的调查结果。否则,你将无法访问 Security Hub CSPM 中的调查结果。*要了解如何接受 Security Hub CSPM 中的调查结果,请参阅《用户指南》中的 “[了解 Security Hub CSPM 中的集成](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-providers.html)”。AWS Security Hub *
## 更改调查发现发布频率
Amazon Macie 的每个调查发现都有唯一的标识符。Macie 使用此标识符确定何时向其他 AWS 服务发布调查发现:
+ **新调查发现**:当 Macie 创建新策略或敏感数据调查发现时,它会在处理调查发现的过程中为此调查发现分配唯一的标识符。在Macie完成对调查结果的处理后,它会立即将调查结果 EventBridge 作为新事件发布给亚马逊。根据您账户的发布设置,Macie 还会在 AWS Security Hub CSPM中以新调查发现的形式发布调查发现。
+ **更新的调查发现**-当 Macie 检测到现有策略调查发现的后续事件时,它会通过添加有关后续事件的详细信息并增加发生次数,以更新现有调查发现。Macie 还会发布现有 EventBridge活动的这些更新,并根据您账户的发布设置,发布现有 Security Hub CSPM 调查结果。默认情况下,根据定期发布周期,Macie 每 15 分钟发布一次更新。这意味着,在最近的发布周期之后更新的任何策略调查发现都将被保留,必要时再次更新,并纳入下一发布周期(大约 15 分钟后)。
您可以更改 Macie 在其他 AWS 服务版本中发布现有政策调查结果更新的频率。例如,您可以将 Macie 配置为每小时发布一次更新。如果您执行此操作,并且发布发生在 12:00,则在 12:00 之后发生的任何更新都将在 13:00 发布。
如果更改频率,则更改仅适用于当前频率 AWS 区域。如果您是组织的 Macie 管理员,则您的更改也适用于组织中的所有成员账户。有关更多信息,请参阅 [管理多个账户](macie-accounts.md)。
**更改调查发现的发布频率**
按照以下步骤使用 Amazon Macie 控制台更改发布频率。要以编程方式执行此[UpdateMacieSession](https://docs.aws.amazon.com/macie/latest/APIReference/macie.html)操作,请使用亚马逊 Macie API 的操作。
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 在导航窗格中,选择**设置**。
1. 在**调查发现发布**部分的**更新策略调查发现频率**下,选择您想要 Macie 向其他 AWS 服务发布最新策略调查发现的频率。
1. 选择**保存**。
# 使用 Amazon 处理 Macie 的调查结果 EventBridge
亚马逊 EventBridge(前身为 Amazon CloudWatch Events)是一项无服务器事件总线服务。 EventBridge 提供来自应用程序和服务的实时数据流,并将这些数据路由到 AWS Lambda 函数、亚马逊简单通知服务 (Amazon SNS) Service 主题和 Amazon Kinesis 流等目标。要了解更多信息EventBridge,请参阅 [Amazon EventBridge 用户指南](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html)。
借 EventBridge助,您可以自动监控和处理某些类型的事件。这包括 Amazon Macie 针对新策略调查发现和敏感数据调查发现自动发布的事件。这还包括 Macie 针对后续出现的现有策略调查发现自动发布的事件。有关 Macie 如何以及何时发布这些事件的详细信息,请参阅[为调查发现配置发布设置](findings-publish-frequency.md)。
通过使用 EventBridge 和 Macie 为调查结果发布的事件,您可以近乎实时地监控和处理调查结果。然后,您可以通过使用其他应用程序和服务根据调查发现采取行动。例如,您可以使用 EventBridge 向 AWS Lambda 函数发送特定类型的新发现。然后 Lambda 函数可能会处理该数据并将其发送到您的安全事故和事件管理 (SIEM) 系统。如果您[AWS 用户通知服务 与 Macie 集成](findings-monitor-events-uno.md),还可以使用事件通过您指定的交付渠道自动收到有关发现的通知。
除了自动监控和处理外,使用 EventBridge 还可以长期保留您的发现数据。Macie 会将调查发现存储 90 天。使用 EventBridge,您可以将调查结果数据发送到首选存储平台,并根据需要将数据存储多长时间。
**注意**
若要长期留存,还可以配置 Macie 以将您的敏感数据发现结果存储在 S3 存储桶中。*敏感数据发现结果*是记录 Macie 对 S3 对象执行的分析的详细信息的记录,以确定该对象是否包含敏感数据。要了解更多信息,请参阅[存储和保留敏感数据发现结果](discovery-results-repository-s3.md)。
**Topics**
+ [使用 EventBridge](#findings-monitor-events-eventbridge-overview)
+ [为调查结果创建 EventBridge 规则](#findings-monitor-events-eventbridge-rule-cli)
## 与亚马逊合作 EventBridge
通过 Amazon EventBridge,您可以创建规则来指定要监控的事件以及要对这些事件执行自动操作的目标。*目标*是向其 EventBridge 发送事件的目的地。
要自动监控和处理发现任务,您可以创建一条 EventBridge 规则,自动检测 Amazon Macie 的发现事件,并将这些事件发送到其他应用程序或服务进行处理或其他操作。您可以调整规则,使其仅发送那些符合特定条件的事件。为此,请指定源自[Macie 调查结果的亚马逊 EventBridge 事件架构](findings-publish-event-schemas.md)的标准。
例如,您可以创建一个规则,将特定类型的新调查发现发送到 AWS Lambda 函数。然后,Lambda 函数可以执行诸如下列各项的任务:处理数据并将其发送到您的 SIEM 系统;自动对 S3 对象应用某种类型的服务器端加密;或者通过更改 S3 对象的访问控制列表(ACL)来限制对该对象的访问。或者,您可以创建一条规则,自动向 Amazon SNS 主题发送新的高严重性调查发现,然后将调查发现通知您的事件响应团队。
除了调用 Lambda 函数和通知 Amazon SNS EventBridge 主题外,还支持其他类型的目标和操作,例如将事件中继到 Amazon Kinesis AWS Step Functions 流、激活状态机和调用运行命令。 AWS Systems Manager 有关支持的目标的信息,请参阅 *Amazon EventBridge 用户指南*中的[事件总线目标](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html)。
## 为 Macie 调查结果创建亚马逊 EventBridge 规则
以下过程说明了如何使用亚马逊 EventBridge 控制台和 [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) 为 Amazon Macie 的调查结果创建 EventBridge 规则。该规则检测使用 EventBridge事件架构和模式获取 Macie 发现的事件,并将这些事件发送到 AWS Lambda 函数进行处理。
AWS Lambda 是一项计算服务,无需预置或管理服务器即可使用它来运行代码。您可以打包您的代码并将其 AWS Lambda 作为 *Lambda 函数*上传到。 AWS Lambda 然后在函数被调用时运行该函数。您可以手动调用函数,自动调用函数以响应事件,或者响应来自应用程序或服务的请求。有关创建和调用 Lambda 函数的信息,请参阅[《AWS Lambda 开发人员指南》](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)。
------
#### [ Console ]
按照以下步骤使用亚马逊 EventBridge 控制台创建规则,自动将所有 Macie 查找事件发送到 Lambda 函数进行处理。该规则对收到特定事件时运行的规则使用默认设置。有关规则设置的详细信息或要了解如何创建使用自定义设置的[规则,请参阅 *Amazon EventBridge 用户指南*中的创建对事件做出反应](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html)的规则。
**提示**
您还可以创建一个规则,使用自定义模式仅检测 Macie 调查发现事件的子集并对其采取行动。该子集可以基于 Macie 在调查发现事件中包含的特定字段。要了解可用字段,请参阅[Macie 调查结果的亚马逊 EventBridge 事件架构](findings-publish-event-schemas.md)。要了解如何在规则中使用自定义模式,请参阅 *Amazon EventBridge 用户指南*中的[创建事件模式](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-pattern.html)。
在创建规则之前,请创建您希望该规则用作目标的 Lambda 函数。创建规则时,需要将此函数指定为规则的目标。
**通过使用控制台创建事件规则**
1. 打开 Amazon EventBridge 控制台,网址为[https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/)。
1. 在导航窗格中的**总线**下,选择**规则**。
1. 在**规则**部分中,选择**创建规则**。
1. 在**定义规则详细信息**页面上,执行以下操作:
+ 对于**名称**,输入规则的名称。
+ (可选)对于**描述**,输入规则的简要描述。
+ 对于**事件总线**,请确保选择**默认值**,以及**在选定的事件总线上启用该规则**已开启。
+ 对于**规则类型**,选择**具有事件模式的规则**。
1. 完成后,选择 **Next (下一步)**。
1. 在**构建事件模式**页面上,执行以下操作:
+ 对于**事件来源**,选择**AWS 事件或 EventBridge 合作伙伴事件**。
+ (可选)对于**示例事件**,请查看 Macie 的示例调查发现事件,以了解事件可能包含的内容。为此,请选择 **AWS 事件**。然后,对于**示例事件**,选择 **Macie 调查发现**。
+ 对于**创建方法**,选择**使用模式表单**。
+ 对于**事件模式**,输入以下设置:
+ 对于**事件源**,选择 **AWS 服务**。
+ 对于 **AWS 服务**,选择 **Macie**。
+ 对于 **事件类型**,选择 **Macie 调查发现**。
1. 完成后,选择 **Next (下一步)**。
1. 在**选择目标**页面上,执行以下操作:
+ 对于 **Target types**(目标类型),选择 **AWS 服务**。
+ 对于 **Select a target**(选择目标),选择 **Lambda function**(Lambda 函数)。然后,对于**函数**,选择您要将调查发现发送到的 Lambda 函数。
+ 对于**配置版本/别名**,输入目标 Lambda 函数的版本和别名设置。
+ (可选)对于**其他设置**,输入自定义设置以指定要向 Lambda 函数发送哪些事件数据。您还可以指定如何处理未成功传递到函数的事件。
1. 完成后,选择 **Next (下一步)**。
1. 在**配置标签**页面上,可以选择输入要分配给规则的一个或多个标签。然后选择**下一步**。
1. 在**查看并创建**页面上,查看规则的设置并验证它们是否正确。
要更改设置,选择包含该设置的部分中的**编辑**,然后输入正确的设置。您也可以使用导航选项卡转到包含设置的页面。
1. 在输入完验证设置后,请选择**创建规则**。
------
#### [ AWS CLI ]
按照以下步骤使用创建 EventBridge 规则, AWS CLI 将所有 Macie 查找事件发送到 Lambda 函数进行处理。该规则对收到特定事件时运行的规则使用默认设置。在该过程中,这些命令是针对 Microsoft Windows 进行格式化的。对于 Linux、macOS 或 Unix,请将插入符号 (^) 行继续符替换为反斜杠 (\$1)。
在创建规则之前,请创建您希望该规则用作目标的 Lambda 函数。创建函数时,请记下函数的 Amazon 资源名称(ARN)。为规则指定目标时,需要输入此 ARN。
**要创建事件规则,请使用 AWS CLI**
1. 创建一条规则,用于检测 Macie 发布到 EventBridge的所有发现的事件。为此,请运行 EventBridge [put-rule](https://docs.aws.amazon.com/cli/latest/reference/events/put-rule.html) 命令。例如:
```
C:\> aws events put-rule ^
--name MacieFindings ^
--event-pattern "{\"source\":[\"aws.macie\"]}"
```
您想要*MacieFindings*的规则名称在哪里。
**提示**
您还可以创建一个规则,使用自定义模式 (`event-pattern`) 仅检测 Macie 调查发现事件的子集并对其采取行动。该子集可以基于 Macie 在调查发现事件中包含的特定字段。要了解可用字段,请参阅[Macie 调查结果的亚马逊 EventBridge 事件架构](findings-publish-event-schemas.md)。要了解如何在规则中使用自定义模式,请参阅 *Amazon EventBridge 用户指南*中的[创建事件模式](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-pattern.html)。
如果命令成功运行,则使用 EventBridge 规则的 ARN 进行响应。记下此 ARN。您需要在步骤 3 中输入该 ARN。
1. 指定要用作规则目标的 Lambda 函数。为此,请运行 EventBridge [put-targets 命令。](https://docs.aws.amazon.com/cli/latest/reference/events/put-targets.html)例如:
```
C:\> aws events put-targets ^
--rule MacieFindings ^
--targets Id=1,Arn=arn:aws:lambda:regionalEndpoint:accountID:function:my-findings-function
```
其中*MacieFindings*是您在步骤 1 中为规则指定的名称,`Arn`参数的值是您希望规则用作目标的函数的 ARN。
1. 添加允许规则调用目标 Lambda 函数的权限。为此,请运行 Lambda [add-permission](https://docs.aws.amazon.com/cli/latest/reference/lambda/add-permission.html) 命令。例如:
```
C:\> aws lambda add-permission ^
--function-name my-findings-function ^
--statement-id Sid ^
--action lambda:InvokeFunction ^
--principal events.amazonaws.com ^
--source-arn arn:aws:events:regionalEndpoint:accountId:rule:MacieFindings
```
其中:
+ *my-findings-function*是您希望规则用作目标的 Lambda 函数的名称。
+ *Sid*是您定义的语句标识符,用于描述 Lambda 函数策略中的语句。
+ `source-arn`是规则的 ARN。 EventBridge
如果命令成功运行,则您将收到类似于以下内容的输出:
```
{
"Statement": "{\"Sid\":\"sid\",
\"Effect\":\"Allow\",
\"Principal\":{\"Service\":\"events.amazonaws.com\"},
\"Action\":\"lambda:InvokeFunction\",
\"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:my-findings-function\",
\"Condition\":
{\"ArnLike\":
{\"AWS:SourceArn\":
\"arn:aws:events:us-east-1:111122223333:rule/MacieFindings\"}}}"
}
```
`Statement` 值是已添加到 Lambda 函数策略的语句的 JSON 字符串版本。
------
# 监控 Macie 的调查结果 AWS 用户通知服务
AWS 用户通知服务 是一项服务,可充当您在上发布 AWS 通知的中心位置 AWS 管理控制台。这包括诸如 Amazon CloudWatch 警报、 AWS 支持 案例和其他人的通信之类的通知 AWS 服务。借 用户通知服务助,您可以配置自定义规则和传递渠道,以接收有关某些类型的 Amazon EventBridge 事件的通知。交付渠道包括电子邮件、聊天应用程序中的 Amazon Q Developer 以及中的推送通知 AWS Console Mobile Application。您还可以在 AWS 用户通知服务 控制台上查看通知。要了解更多信息 用户通知服务,请参阅[AWS 用户通知服务 用户指南](https://docs.aws.amazon.com/notifications/latest/userguide/what-is-service.html)。
Amazon Macie 与集成 AWS 用户通知服务,这意味着您可以配置 用户通知服务 为通知 Macie 发布的事件以 EventBridge 获取策略和敏感数据发现。如果发现事件符合您指定的标准,则 用户通知服务 会生成通知。该通知包括相关发现的关键细节,例如发现的类型和严重性,以及受影响资源的名称。 用户通知服务 也可以将通知发送到您指定的一个或多个交付渠道。您可以根据您的安全和合规工作流程,自定义选择传递通道。
例如,您可以配置 用户通知服务 为针对特定类型的新的高严重性发现生成通知。您还可以在聊天应用程序中指定 Amazon Q Developer 作为这些通知的传递渠道。 用户通知服务 然后检测发现 EventBridge 的事件,生成包含调查结果数据的通知,并在聊天应用程序中将通知发送给 Amazon Q Developer。然后,聊天应用程序中的 Amazon Q Developer 可能会将通知发送到 Slack 频道或 Amazon Chime 聊天室,以通知您的事件响应团队。
**Topics**
+ [使用 AWS 用户通知服务](#findings-monitor-events-uno-overview)
+ [启用和配置事件通知](#findings-monitor-events-uno-configure)
+ [将通知字段映射至调查发现字段](#findings-monitor-events-uno-schema)
+ [更改调查发现通知设置](#findings-monitor-events-uno-change)
+ [禁用调查发现通知](#findings-monitor-events-uno-disable)
## 与 AWS 用户通知服务
使用 AWS 用户通知服务,您可以创建规则来指定要监控和接收通知的 Amazon EventBridge 事件类型。规则定义了 EventBridge 事件必须匹配才能生成通知的标准。您也可以选择一个或多个规则传递通道。传递通道是指您想要按规则条件接收事件通知的位置。
如果 用户通知服务 检测到符合规则标准 EventBridge 的事件,它将执行以下常规任务:
1. 从事件中提取数据子集。
1. 生成包含提取数据的通知。
1. 将通知发送至指定类型的事件传递通道。
通知的设计和结构针对每个目标传递通道进行了优化。
若要管理收到通知的频率或数量,您可以为规则配置聚合设置。如果您启用这些设置,则会将多个事件的数据 用户通知服务 合并到一个通知中。严重性较高的调查发现事件,您可选择快速、频繁地发送聚合事件通知。或者对于严重性较低的调查发现事件,您可选择降低发送频率以减少收到的通知数量。如果合并事件数据,则可以使用 AWS 用户通知服务 控制台向下钻取以查看每个聚合事件的详细信息。您还可在此导航至 Amazon Macie 控制台上的每个相关调查发现信息。
## 为 Macie AWS 用户通知服务 调查结果启用和配置
AWS 用户通知服务 要启用为 Amazon Macie 调查结果生成通知,请在中为 Macie 创建通知配置。 用户通知服务*通知配置*指定规则标准。它还指定配送渠道和其他设置,用于监控和发送符合规则标准的亚马逊 EventBridge 事件的通知。有关创建通知配置的详细信息,请参阅*《AWS 用户通知服务 用户指南》*中的[AWS 用户通知服务入门](https://docs.aws.amazon.com/notifications/latest/userguide/getting-started.html)。
要为 Macie 调查发现创建通知配置,请选择以下事件规则选项:
+ 对于 **AWS 服务 名称**,请选择 **Macie**。
+ 对于 **事件类型**,选择 **Macie 调查发现**。
+ 对于**区域**,选择您使用 Macie 并希望收到调查结果通知的每个 AWS 区域 区域。
使用此配置,可以 用户通知服务 监控您的 EventBridge 事件, AWS 账户 并针对您所选区域中的所有 Macie 查找事件生成通知。事件匹配以下条件:
+ `source`equals`aws.macie`
+ `detail-type`equals`Macie Finding`
事件规则的基础 JSON 模式为:
```
{
"source": ["aws.macie"],
"detail-type": ["Macie Finding"]
}
```
要完善规则并仅针对调查发现子集生成通知,您可为此规则生成自定义 JSON 模式。为此,请指定源自 [Macie 调查结果的亚马逊 EventBridge 事件架构](findings-publish-event-schemas.md) 的其他标准。
如果您创建使用自定义 JSON 模式的规则,则可以为 Macie 调查发现创建多个通知配置。然后,您可以为每种配置自定义传递通道和其他设置,使其与针对特定调查发现类型的安全和合规工作流程保持一致。
例如,您可创建一个规则,当 Macie 生成或更新 *Policy:IAMUser/S3BucketPublic* 调查发现时通知您。在这种情况下,规则模式可能是:
```
{
"source": ["aws.macie"],
"detail-type": ["Macie Finding"],
"detail": {
"type": ["Policy:IAMUser/S3BucketPublic"]
}
}
```
您还可以创建另一条规则,在 Macie 为可公开访问的 S3 存储桶生成敏感数据调查发现时通知您。在这种情况下,规则模式可能是:
```
{
"source": ["aws.macie"],
"detail-type": ["Macie Finding"],
"detail": {
"type": [ { "prefix": "SensitiveData" } ],
"resourcesAffected": {
"effectivePermission": ["PUBLIC"]
}
}
}
```
如果您为 Macie 调查发现创建了多个通知配置,则最好确保每项配置规则的唯一性。否则,您可能会收到有关个别调查发现的重复通知。
要了解有关为规则自定义事件模式的更多信息,请参阅*《AWS 用户通知服务 用户指南》*中的[使用自定义 JSON 事件模式](https://docs.aws.amazon.com/notifications/latest/userguide/common-usecases.html)。
## 将 AWS 用户通知服务 字段映射到 Macie 查找字段
当为 Amazon Macie 的发现 AWS 用户通知服务 生成通知时,它会使用来自相应亚马逊事件中部分字段的数据填充通知。 EventBridge 此字段包括相关调查发现的关键细节,例如调查发现的类型和严重性以及受影响资源的名称。
如果您在 AWS 用户通知服务 控制台上查看通知,则该通知将包含该字段子集的所有数据。此外还提供了指向 Amazon Macie 控制台上的相关调查发现的链接。如果您通过其他传递通道查看该通知,则可能仅包含部分字段数据。这是因为 用户通知服务 定制了其通知的设计和结构,以适应其支持的每种交付渠道。
下表列出了调查发现通知中可能包含的字段。在表中,**通知字段**列描述(*斜体*)或表示通知中字段的名称。**查找结果事件字段**列使用点表示法来表示查找结果 EventBridge 的事件中相应 JSON 字段的名称。**描述**列描述了存储在此字段内的数据。
| 通知字段 | 调查发现事件字段 | 说明 |
| --- | --- | --- |
| *消息标题* | `detail.type` | 结果类型。 例如:`Policy:IAMUser/S3BucketPublic` 或 `SensitiveData:S3Object/Financial`。 |
| 摘要 | `detail.title` | 调查发现的简要描述 例如:`The S3 object contains financial information.` |
| 描述 | `detail.description` | 调查发现的完整描述 例如:`The S3 object contains financial information such as bank account numbers or credit card numbers.` |
| 严重性 | `detail.severity.description` | 调查发现严重程度的定性表示:`Low`、`Medium`或`High`。 |
| 调查发现 ID | `detail.id` | 调查发现的唯一标识符。 |
| 创建时间 | `detail.createdAt` | Macie 创建调查发现的日期和时间。 |
| 已更新 | `detail.updatedAt` | Macie 最近更新调查发现的日期和时间。 对于敏感数据调查发现,此值与*创建* (`detail.createdAt`) 字段值相同。所有敏感数据调查发现均被视为新发现(唯一的)。 |
| 受影响的 S3 存储桶 | `detail.resourcesAffected.s3Bucket.arn` | S3 存储桶的 Amazon 资源名称(ARN)。 |
| 受影响的 S3 对象 | `detail.resourcesAffected.s3Object.path` | 受影响的 S3 对象名称(*密钥*),包括存储对象和对象前缀(如适用)的存储桶名称。 此字段不包含在策略调查发现通知中。 |
| *敏感数据检测* | `detail.classificationDetails.result.sensitiveData.detections...` AND 或 && `detail.classificationDetails.result.customDataIdentifiers.detections...` | 这串联了事件中的多个字段,用于敏感数据的调查发现。此字段不包含在策略调查发现通知中。 如果托管数据标识符检测到敏感数据,则此字段指定所检测到的敏感数据的类别、类型和出现次数 (`count`)。例如:`PERSONAL_INFORMATION: USA_SOCIAL_SECURITY_NUMBER 100 occurrences`。 如果自定义数据标识符检测到敏感数据,则此字段指定自定义数据标识符的名称,以及检测到的敏感数据出现次数 (`count`)。例如:`Employee ID 20 occurrences`。 如果调查发现报告多种类型敏感数据,则通知包含最多四类数据。数据中首先填充适当的自定义标识符,然后填充适当的托管数据标识符。 |
## 更改 Macie 搜索结果的 AWS 用户通知服务 设置
您可以随时更改 Amazon Macie 搜索结果的 AWS 用户通知服务 设置。为此,请在 用户通知服务中编辑通知配置。要了解操作方法,请参阅*《AWS 用户通知服务 用户指南》*中的[管理通知配置](https://docs.aws.amazon.com/notifications/latest/userguide/managing-notifications.html)。
如果您的 Macie 调查发现包含多种通知配置,则更改一项通知配置不会影响其他配置设置。您可以编辑全部或部分配置。
## 禁用 M AWS 用户通知服务 acie 搜索结果
要停止生成和接收来自 AWS 用户通知服务 Amazon Macie 调查结果的通知,请删除中的通知配置。 用户通知服务要了解操作方法,请参阅*《AWS 用户通知服务 用户指南》*中的[管理通知配置](https://docs.aws.amazon.com/notifications/latest/userguide/managing-notifications.html)。
如果您的 Macie 调查发现包含多种通知配置,则删除一项通知配置不会影响其他配置设置。您可以删除全部或部分配置。
# 通过以下方式评估 Macie 的调查结果 AWS Security Hub CSPM
AWS Security Hub CSPM 是一项服务,可让您全面了解整个 AWS 环境中的安全状况,并帮助您根据安全行业标准和最佳实践检查您的环境。它部分通过使用、汇总、整理来自多个 AWS 服务 且受支持 AWS Partner Network 的安全解决方案的发现结果并对其进行优先级排序来实现。Security Hub CSPM 可帮助您分析安全趋势并确定优先级最高的安全问题。借助 Security Hub CSPM,您还可以汇总来自多个区域的调查结果 AWS 区域,然后评估和处理来自单个区域的所有聚合结果数据。要了解有关 Security Hub CSPM 的更多信息,请参阅《[AWS Security Hub 用户](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)指南》。
Amazon Macie 与 Security Hub CSPM 集成,这意味着你可以自动将调查结果从 Macie 发布到 Security Hub CSPM。然后,Security Hub CSPM 可以将这些发现纳入其对您的安全态势的分析中。此外,您可以使用 Security Hub CSPM 来评估和处理策略和敏感数据发现,将其作为环境中更大的聚合结果数据集的一部分。 AWS 换句话说,您可以在对组织的安全状况进行更广泛分析的同时,对 Macie 的调查发现进行评估,并在必要时对调查发现进行补救。Security Hub CSPM 降低了处理来自多个提供商的大量调查结果的复杂性。此外,它对所有调查发现(包括 Macie 调查发现)都使用标准格式。使用这种格式,即*AWS 安全调查发现格式 (ASFF)*,您无需执行耗时的数据转换工作。
**Topics**
+ [Macie 如何向 Security Hub CSPM 发布调查结果](#securityhub-integration-sending-findings)
+ [Macie 在 Security Hub CSPM 中发现的例子](#securityhub-integration-finding-example)
+ [将 Macie 与 Security Hub 集成 CSPM](#securityhub-integration-enable)
+ [停止向 Security Hub CSPM 发布 Macie 的调查结果](#securityhub-integration-disable)
## Macie 如何向其发布调查结果 AWS Security Hub CSPM
在中 AWS Security Hub CSPM,安全问题作为发现结果进行跟踪。有些发现来自由 AWS 服务(例如 Amazon Macie)或支持 AWS Partner Network 的安全解决方案检测到的问题。Security Hub CSPM 还有一套用于检测安全问题和生成调查发现的规则。
Security Hub CSPM 提供了管理来自所有这些来源的调查结果的工具。您可以查看和筛选结果列表,并查看单个调查发现的详细信息。要了解操作方法,请参阅《*AWS Security Hub 用户指南》*中的[查看查找历史记录和详细信息](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-viewing.html)。您还可以跟踪调查发现的调查状态。要了解如何操作,请参阅*《AWS Security Hub 用户指南》*中的[设置调查发现的工作流程状态](https://docs.aws.amazon.com/securityhub/latest/userguide/findings-workflow-status.html)。
Security Hub CSPM 中的所有调查发现都使用名为 *AWS 安全调查发现格式(ASFF)*的标准 JSON 格式。ASFF 包括有关问题根源、受影响资源以及调查发现当前状态的详细信息。有关更多信息,请参阅《AWS Security Hub 用户指南》**中的 [AWS 安全调查发现格式(ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html)。
### Macie 向 Security Hub CSPM 发布的调查结果类型
根据您为 Macie 账户选择的发布设置,Macie 可以将其创建的所有调查结果(包括敏感数据发现和政策发现)发布到 Security Hub CSPM。有关这些设置以及如何更改它们的信息,请参阅 [为调查发现配置发布设置](findings-publish-frequency.md)。默认情况下,Macie 仅向 Security Hub CSPM 发布新的和更新的政策调查结果。Macie 不会向 Security Hub CSPM 发布敏感数据发现。
#### 敏感数据调查发现
如果您将 Macie 配置为将[敏感数据发现结果](findings-types.md#findings-sensitive-data-types)发布到 Security Hub CSPM,则 Macie 会自动发布它为你的账户创建的每个敏感数据查找结果,并且会在处理完查找结果后立即发布。Macie 会对所有未按[抑制规则](findings-suppression.md)自动存档的敏感数据调查发现执行此操作。
如果您是组织的 Macie 管理员,则仅可发布您运行的敏感数据发现作业的调查发现,以及 Macie 为组织执行的自动敏感数据发现活动的调查发现。仅作业创建账户才能发布此作业产生的敏感数据调查发现。仅 Macie 管理员账户可为组织发布自动敏感数据发现活动中生成的敏感数据调查发现。
当 Macie 向 Security Hub CSPM 发布敏感数据发现时,它使用[AWS 安全调查结果格式 (ASFF),这是 Security Hub CSPM 中所有发现](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html)结果的标准格式。在 ASFF 中,该 `Types` 字段表示调查发现的类型。此字段使用的分类法与 Macie 中的调查发现类型分类法略有不同。
下表列出了 Macie 可以为每类敏感数据调查发现创建的 ASFF 调查发现类型。
| Macie 调查发现类型 | ASFF 结果类型 |
| --- | --- |
| SensitiveData:S3Object/Credentials | Sensitive Data Identifications/Passwords/SensitiveData:S3Object-Credentials |
| SensitiveData:S3Object/CustomIdentifier | Sensitive Data Identifications/PII/SensitiveData:S3Object-CustomIdentifier |
| SensitiveData:S3Object/Financial | Sensitive Data Identifications/Financial/SensitiveData:S3Object-Financial |
| SensitiveData:S3Object/Multiple | Sensitive Data Identifications/PII/SensitiveData:S3Object-Multiple |
| SensitiveData:S3Object/Personal | Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal |
#### 策略调查发现
如果您将 Macie 配置为将[策略结果](findings-types.md#findings-policy-types)发布到 Security Hub CSPM,则 Macie 会自动发布它创建的每个新策略调查结果,并且会在处理完发现后立即发布这些结果。如果 Macie 检测到后续出现现有策略发现,它会使用您为账户指定的发布频率,自动在 Security Hub CSPM 中发布现有发现的更新。Macie 对所有未按[抑制规则](findings-suppression.md)自动存档的策略调查发现执行此任务。
如果您是组织的 Macie 管理员,则发布内容仅限直属于您账户的 S3 存储桶的策略调查发现。对于组织中的成员账户创建或更新的策略调查发现,Macie 不会发布。这有助于确保 Security Hub CSPM 中没有重复的发现数据。
与敏感数据发现一样,Macie 在向 Sec AWS urity Hub CSPM 发布新的和更新的策略发现时使用安全调查结果格式 (ASFF)。在 ASFF 中,该 `Types` 字段使用的分类法与 Macie 中的调查发现类型分类法略有不同。
下表列出了 Macie 可针对每种策略调查发现创建的 ASFF 调查发现类型。如果 Macie 在 2021 年 1 月 28 日当天或之后在 Security Hub CSPM 中创建或更新了策略调查结果,则该发现的 Sec `Types` urity Hub CSPM 中的 ASFF 字段具有以下值之一。
| Macie 调查发现类型 | ASFF 结果类型 |
| --- | --- |
| Policy:IAMUser/S3BlockPublicAccessDisabled | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled |
| Policy:IAMUser/S3BucketEncryptionDisabled | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketEncryptionDisabled |
| Policy:IAMUser/S3BucketPublic | Effects/Data Exposure/Policy:IAMUser-S3BucketPublic |
| Policy:IAMUser/S3BucketReplicatedExternally | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketReplicatedExternally |
| Policy:IAMUser/S3BucketSharedExternally | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedExternally |
| Policy:IAMUser/S3BucketSharedWithCloudFront | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedWithCloudFront |
如果 Macie 在 2021 年 1 月 28 日之前创建或上次更新了策略调查结果,则该发现的 Security Hub CSPM 中的 ASFF `Types` 字段具有以下值之一:
+ Policy:IAMUser/S3BlockPublicAccessDisabled
+ Policy:IAMUser/S3BucketEncryptionDisabled
+ Policy:IAMUser/S3BucketPublic
+ Policy:IAMUser/S3BucketReplicatedExternally
+ Policy:IAMUser/S3BucketSharedExternally
前面列表中的值直接映射至 Macie 中**调查发现类型** (`type`) 字段的值。
**注意**
当您在 Security Hub CSPM 中查看和处理策略结果时,请注意以下例外情况:
当然 AWS 区域,早在2021年1月25日,Macie就开始使用ASFF查找类型来获取新的和更新的发现。
如果您在 Macie 开始在您的中使用 ASFF 查找类型之前对 Security Hub CSPM 中的策略发现采取了行动 AWS 区域,则该发现的 ASFF `Types` 字段的值将是前面列表中的 Macie 查找类型之一。它不会是上表列出的 ASFF 调查发现类型之一。对于您使用 AWS Security Hub CSPM 控制台或 AWS Security Hub CSPM API `BatchUpdateFindings` 操作执行的政策调查结果而言,情况确实如此。
### 将调查结果发布到 Security Hub CSPM 的延迟
当 Amazon Macie 创建新的策略或敏感数据调查发现时,它会在完成处理后立即将调查发现发布至 AWS Security Hub CSPM 。
如果 Macie 检测到后续出现现有策略发现,它会在 Security Hub CSPM 中发布现有发现的更新。更新的时间取决于您为 Macie 账户选择的发布频率。默认情况下,Macie 每 15 分钟发布一次更新。有关更多信息(包括如何更改账户设置),请参阅 [为调查发现配置发布设置](findings-publish-frequency.md)。
### 当 Security Hub CSPM 不可用时重试发布
如果 AWS Security Hub CSPM 不可用,Amazon Macie 会创建一个 Security Hub CSPM 尚未收到的调查结果队列。系统恢复后,Macie 会重试发布,直到 Security Hub CSPM 收到调查结果。
### 更新 Security Hub CSPM 中的现有调查发现
在 Amazon Macie 向其发布政策调查结果后 AWS Security Hub CSPM,Macie 会更新调查结果以反映该发现或发现活动中出现的任何其他事件。Macie 仅针对策略调查发现执行此操作。Macie 不会更新 Security Hub CSPM 中发现的敏感数据。与策略调查发现不同,所有敏感数据调查发现都被视为新的(唯一的)。
当 Macie 发布策略调查发现的更新时,Macie 会更新该调查发现的 **更新于** (`UpdatedAt`) 字段值。当 Macie 近期检测到后续调查发现生成过程中会发生潜在策略违规行为或问题时,您可通过此值进行判定。
如果此字段的现有值不是[ASFF 调查发现类型](#securityhub-integration-finding-types-policy),则 Macie 也可以更新**类型** (`Types`) 字段值。这取决于你是否根据Security Hub CSPM中的发现采取了行动。如果您尚未对调查发现执行操作,Macie 会将该字段的值更改为相应的 ASFF 调查发现类型。如果您使用 AWS Security Hub CSPM 控制台或 AWS Security Hub CSPM API 的操作对发现进行了`BatchUpdateFindings`操作,则 Macie 不会更改该字段的值。
## Macie 的发现示例 AWS Security Hub CSPM
当 Amazon Macie 向发布调查结果时 AWS Security Hub CSPM,它会使用[AWS 安全调查结果格式 (AS](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html) FF)。这是 Security Hub CSPM 中所有发现结果的标准格式。以下示例使用示例数据来演示 Macie 以这种格式发布到 Security Hub CSPM 的调查结果数据的结构和性质:
+ [敏感数据调查发现示例](#securityhub-integration-finding-example-sdf)
+ [策略调查发现示例](#securityhub-integration-finding-example-policy)
### 在 Security Hub CSPM 中发现敏感数据的示例
以下是 Macie 使用 ASFF 向 Security Hub CSPM 发布的敏感数据发现的示例。
```
{
"SchemaVersion": "2018-10-08",
"Id": "5be50fce24526e670df77bc00example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types":[
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
],
"CreatedAt": "2022-05-11T10:23:49.667Z",
"UpdatedAt": "2022-05-11T10:23:49.667Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "The S3 object contains personal information.",
"Description": "The object contains personal information such as first or last names, addresses, or identification numbers.",
"ProductFields": {
"JobArn": "arn:aws:macie2:us-east-1:111122223333:classification-job/698e99c283a255bb2c992feceexample",
"S3Object.Path": "amzn-s3-demo-bucket/2022 Sourcing.tsv",
"S3Object.Extension": "tsv",
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"OriginType": "SENSITIVE_DATA_DISCOVERY_JOB",
"S3Object.PublicAccess": "false",
"S3Object.Size": "14",
"S3Object.StorageClass": "STANDARD",
"S3Bucket.allowsUnencryptedObjectUploads": "TRUE",
"JobId": "698e99c283a255bb2c992feceexample",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/5be50fce24526e670df77bc00example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-12-30T18:16:25.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"BlockPublicPolicy": true,
"IgnorePublicAcls": true,
"RestrictPublicBuckets": true
}
}
}
},
{
"Type": "AwsS3Object",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket/2022 Sourcing.tsv",
"Partition": "aws",
"Region": "us-east-1",
"DataClassification": {
"DetailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/111122223333/Macie/us-east-1/
698e99c283a255bb2c992feceexample/111122223333/32b8485d-4f3a-3aa1-be33-aa3f0example.jsonl.gz",
"Result":{
"MimeType": "text/tsv",
"SizeClassified": 14,
"AdditionalOccurrences": false,
"Status": {
"Code": "COMPLETE"
},
"SensitiveData": [
{
"Category": "PERSONAL_INFORMATION",
"Detections": [
{
"Count": 1,
"Type": "USA_SOCIAL_SECURITY_NUMBER",
"Occurrences": {
"Cells": [
{
"Column": 10,
"Row": 1,
"ColumnName": "Other"
}
]
}
}
],
"TotalCount": 1
}
],
"CustomDataIdentifiers": {
"Detections": [
],
"TotalCount": 0
}
}
},
"Details": {
"AwsS3Object": {
"LastModified": "2022-04-22T18:16:46.000Z",
"ETag": "ebe1ca03ee8d006d457444445example",
"VersionId": "SlBC72z5hArgexOJifxw_IN57example",
"ServerSideEncryption": "aws:kms",
"SSEKMSKeyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
]
},
"Sample": false,
"ProcessedAt": "2022-05-11T10:23:49.667Z"
}
```
### 在 Security Hub CSPM 中发现的策略示例
以下是Macie在ASFF上向Security Hub CSPM发布的一项新政策发现的示例。
```
{
"SchemaVersion": "2018-10-08",
"Id": "36ca8ba0-caf1-4fee-875c-37760example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
],
"CreatedAt": "2022-04-24T09:27:43.313Z",
"UpdatedAt": "2022-04-24T09:27:43.313Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "Block Public Access settings are disabled for the S3 bucket",
"Description": "All Amazon S3 block public access settings are disabled for the Amazon S3 bucket. Access to the bucket is
controlled only by access control lists (ACLs) or bucket policies.",
"ProductFields": {
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"S3Bucket.allowsUnencryptedObjectUploads": "FALSE",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/36ca8ba0-caf1-4fee-875c-37760example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Tags": {
"Team": "Recruiting",
"Division": "HR"
},
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-11-25T18:24:38.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": false,
"BlockPublicPolicy": false,
"IgnorePublicAcls": false,
"RestrictPublicBuckets": false
}
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
]
},
"Sample": false
}
```
## 将 Macie 与 AWS Security Hub CSPM
要将 Amazon Macie 与 Amazon Macie 集成 AWS Security Hub CSPM,请为你启用 Security Hub CSPM。 AWS 账户要了解如何操作,请参阅《*AWS Security Hub 用户*指南》中的 “[启用 Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html)”。
当你同时启用 Macie 和 Security Hub CSPM 时,集成会自动启用。默认情况下,Macie 开始自动向 Security Hub CSPM 发布新的和更新的政策调查结果。您无需执行任何其他步骤,即可配置集成。如果您在启用集成时已有策略发现,Macie 不会将其发布到 Security Hub CSPM。相反,Macie 只发布它在启用集成后创建或更新的策略调查发现。
您可以选择通过选择 Macie 在 Security Hub CSPM 中发布策略发现更新的频率来自定义您的配置。您也可以选择将敏感数据发现发布到 Security Hub CSPM。要了解如何操作,请参阅[为调查发现配置发布设置](findings-publish-frequency.md)。
## 停止将 Macie 的调查结果发布给 AWS Security Hub CSPM
要停止向其发布亚马逊 Macie 调查结果 AWS Security Hub CSPM,您可以更改 Macie 账户的发布设置。要了解如何操作,请参阅[为调查发现选择发布目标](findings-publish-frequency.md#findings-publish-destinations-change)。你也可以使用 Security Hub CSPM 来做到这一点。要了解如何操作,请参阅*《AWS Security Hub 用户指南》*中的[禁用集成调查发现流](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integration-disable.html)。
# Macie 调查结果的亚马逊 EventBridge 事件架构
为了支持与其他应用程序、服务和系统(例如监控或事件管理系统)的集成,Amazon Macie 会自动将调查结果 EventBridge 作为事件发布给亚马逊。 EventBridge,前身为 Amazon CloudWatch Events,是一种无服务器事件总线服务,可将来自应用程序和其他应用程序的实时数据流传输 AWS 服务 到目标,例如 AWS Lambda 函数、亚马逊简单通知服务主题和 Amazon Kinesis 流。要了解更多信息 EventBridge,请参阅 [Amazon EventBridge 用户指南](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html)。
**注意**
如果您当前使用 CloudWatch 事件,请注意 EventBridge 和 CloudWatch 事件是相同的底层服务和 API。但是, EventBridge 包括其他功能,使您能够接收来自软件即服务 (SaaS) 应用程序和您自己的应用程序的事件。由于基础服务和 API 相同,因此 Macie 发现的事件架构也相同。
Macie 会自动发布所有新调查发现和现有策略的后续调查发现的事件,但使用[抑制规则](findings-suppression.md)自动存档的调查发现除外。这些事件是符合 AWS 事件 EventBridge 架构的 JSON 对象。每个事件都包含特定调查发现的 JSON 表示。由于数据结构化为 EventBridge 事件,因此您可以使用其他应用程序、服务和工具更轻松地监控、处理发现并根据发现采取行动。要详细了解 Macie 如何以及何时发布有关调查发现的事件,请参阅 [为调查发现配置发布设置](findings-publish-frequency.md)。
**Topics**
+ [Macie 调查发现的事件架构](#findings-publish-event-schema)
+ [策略调查发现事件示例](#findings-publish-event-example-policy)
+ [敏感数据调查发现事件示例](#findings-publish-event-example-classification)
## Macie 调查发现的事件架构
以下示例显示了亚马逊 Macie [ EventBridge 搜索结果的亚马逊事件](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html)架构。有关调查发现事件中包含字段的详细描述,请参阅 *Amazon Macie API 引用*中的[调查发现](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html)。调查发现事件的结构和字段与 Amazon Macie API 的 `Finding` 对象非常接近。
```
{
"version": "0",
"id": "event ID",
"detail-type": "Macie Finding",
"source": "aws.macie",
"account": "AWS 账户 ID (string)",
"time": "event timestamp (string)",
"region": "AWS 区域 (string)",
"resources": [
<-- ARNs of the resources involved in the event -->
],
"detail": {
<-- Details of a policy or sensitive data finding -->
},
"policyDetails": null, <-- Additional details of a policy finding or null for a sensitive data finding -->
"sample": Boolean,
"archived": Boolean
}
```
## 策略调查发现事件示例
以下示例使用示例数据演示[策略调查结果](findings-types.md#findings-policy-types)的 Amazon EventBridge 事件中对象和字段的结构和性质。在此示例中,该事件报告了后续出现的现有策略调查发现:Amazon Macie 检测到禁用阻止 S3 存储桶公开访问设置。以下字段和值可帮助您确定情况是否如此:
+ 该 `type` 字段设置为 `Policy:IAMUser/S3BlockPublicAccessDisabled`。
+ `createdAt` 和 `updatedAt` 字段的值不同。此指标表明,该事件报告了现有策略调查发现的后续发生。如果事件报告了新调查发现,则这些字段的值将相同。
+ `count` 字段设置为 `2`,表示这是调查发现的第二次出现。
+ 该 `category` 字段设置为 `POLICY`。
+ `classificationDetails` 字段值为 `null`,这有助于将此策略调查发现事件与敏感数据调查发现事件区分开来。对于敏感数据调查发现,此值将是一组对象和字段,这些对象和字段提供有关敏感数据的查找方式及数据内容。
请注意,`sample` 字段值设置为 `true`。此值强调这是文档中所使用的示例事件。
```
{
"version": "0",
"id": "0948ba87-d3b8-c6d4-f2da-732a1example",
"detail-type": "Macie Finding",
"source": "aws.macie",
"account": "123456789012",
"time": "2024-04-30T23:12:15Z",
"region":"us-east-1",
"resources": [],
"detail": {
"schemaVersion": "1.0",
"id": "64b917aa-3843-014c-91d8-937ffexample",
"accountId": "123456789012",
"partition": "aws",
"region": "us-east-1",
"type": "Policy:IAMUser/S3BlockPublicAccessDisabled",
"title": "Block public access settings are disabled for the S3 bucket",
"description": "All bucket-level block public access settings were disabled for the S3 bucket. Access to the bucket is controlled by account-level block public access settings, access control lists (ACLs), and the bucket’s bucket policy.",
"severity": {
"score": 3,
"description": "High"
},
"createdAt": "2024-04-29T15:46:02Z",
"updatedAt": "2024-04-30T23:12:15Z",
"count": 2,
"resourcesAffected": {
"s3Bucket": {
"arn": "arn:aws:s3:::amzn-s3-demo-bucket1",
"name": "amzn-s3-demo-bucket1",
"createdAt": "2020-04-03T20:46:56.000Z",
"owner":{
"displayName": "johndoe",
"id": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example"
},
"tags": [
{
"key": "Division",
"value": "HR"
},
{
"key": "Team",
"value": "Recruiting"
}
],
"defaultServerSideEncryption": {
"encryptionType": "aws:kms",
"kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"publicAccess": {
"permissionConfiguration": {
"bucketLevelPermissions": {
"accessControlList": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"bucketPolicy": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"blockPublicAccess": {
"ignorePublicAcls": false,
"restrictPublicBuckets": false,
"blockPublicAcls": false,
"blockPublicPolicy": false
}
},
"accountLevelPermissions": {
"blockPublicAccess": {
"ignorePublicAcls": true,
"restrictPublicBuckets": true,
"blockPublicAcls": true,
"blockPublicPolicy": true
}
}
},
"effectivePermission": "NOT_PUBLIC"
},
"allowsUnencryptedObjectUploads": "FALSE"
},
"s3Object": null
},
"category": "POLICY",
"classificationDetails": null,
"policyDetails": {
"action": {
"actionType": "AWS_API_CALL",
"apiCallDetails": {
"api": "PutBucketPublicAccessBlock",
"apiServiceName": "s3.amazonaws.com",
"firstSeen": "2024-04-29T15:46:02.401Z",
"lastSeen": "2024-04-30T23:12:15.401Z"
}
},
"actor": {
"userIdentity": {
"type": "AssumedRole",
"assumedRole": {
"principalId": "AROA1234567890EXAMPLE:AssumedRoleSessionName",
"arn": "arn:aws:sts::123456789012:assumed-role/RoleToBeAssumed/MySessionName",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": false,
"creationDate": "2024-04-29T10:25:43.511Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AROA1234567890EXAMPLE",
"arn": "arn:aws:iam::123456789012:role/RoleToBeAssumed",
"accountId": "123456789012",
"userName": "RoleToBeAssumed"
}
}
},
"root": null,
"iamUser": null,
"federatedUser": null,
"awsAccount": null,
"awsService": null
},
"ipAddressDetails":{
"ipAddressV4": "192.0.2.0",
"ipOwner": {
"asn": "-1",
"asnOrg": "ExampleFindingASNOrg",
"isp": "ExampleFindingISP",
"org": "ExampleFindingORG"
},
"ipCountry": {
"code": "US",
"name": "United States"
},
"ipCity": {
"name": "Ashburn"
},
"ipGeoLocation": {
"lat": 39.0481,
"lon": -77.4728
}
},
"domainDetails": null
}
},
"sample": true,
"archived": false
}
}
```
## 敏感数据调查发现事件示例
以下示例使用示例数据来演示[敏感数据发现](findings-types.md#findings-sensitive-data-types)的 Amazon EventBridge 事件中对象和字段的结构和性质。在此示例中,该事件报告了一项新调查发现的敏感数据:Amazon Macie 在 S3 对象中发现了多个类别和类型的敏感数据。以下字段和值可帮助您确定情况是否如此:
+ 该 `type` 字段设置为 `SensitiveData:S3Object/Multiple`。
+ `createdAt` 和 `updatedAt` 字段值相同。与策略调查发现不同的是,敏感数据调查发现总是如此。所有敏感数据调查发现均被视为新调查发现。
+ `count` 字段设置为 `1`,表示这是一项新调查发现。与策略调查发现不同的是,敏感数据调查发现总是如此。所有敏感数据调查发现都被认为具有唯一性(新)。
+ 该 `category` 字段设置为 `CLASSIFICATION`。
+ `policyDetails` 字段值为 `null`,这有助于将敏感数据调查发现事件与策略调查发现事件区分开来。对于策略调查发现,此值将是一组对象和字段,这些对象和字段提供有关 S3 存储桶可能违反策略、安全性或隐私问题的信息。
请注意,`sample` 字段值设置为 `true`。此值强调这是文档中所使用的示例事件。
```
{
"version": "0",
"id": "14ddd0b1-7c90-b9e3-8a68-6a408example",
"detail-type": "Macie Finding",
"source": "aws.macie",
"account": "123456789012",
"time": "2024-04-20T08:19:10Z",
"region": "us-east-1",
"resources": [],
"detail": {
"schemaVersion": "1.0",
"id": "4ed45d06-c9b9-4506-ab7f-18a57example",
"accountId": "123456789012",
"partition": "aws",
"region": "us-east-1",
"type": "SensitiveData:S3Object/Multiple",
"title": "The S3 object contains multiple categories of sensitive data",
"description": "The S3 object contains more than one category of sensitive data.",
"severity": {
"score": 3,
"description": "High"
},
"createdAt": "2024-04-20T18:19:10Z",
"updatedAt": "2024-04-20T18:19:10Z",
"count": 1,
"resourcesAffected": {
"s3Bucket": {
"arn": "arn:aws:s3:::amzn-s3-demo-bucket2",
"name": "amzn-s3-demo-bucket2",
"createdAt": "2020-05-15T20:46:56.000Z",
"owner": {
"displayName": "johndoe",
"id": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example"
},
"tags":[
{
"key":"Division",
"value":"HR"
},
{
"key":"Team",
"value":"Recruiting"
}
],
"defaultServerSideEncryption": {
"encryptionType": "aws:kms",
"kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"publicAccess": {
"permissionConfiguration": {
"bucketLevelPermissions": {
"accessControlList": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"bucketPolicy":{
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"blockPublicAccess": {
"ignorePublicAcls": true,
"restrictPublicBuckets": true,
"blockPublicAcls": true,
"blockPublicPolicy": true
}
},
"accountLevelPermissions": {
"blockPublicAccess": {
"ignorePublicAcls": false,
"restrictPublicBuckets": false,
"blockPublicAcls": false,
"blockPublicPolicy": false
}
}
},
"effectivePermission": "NOT_PUBLIC"
},
"allowsUnencryptedObjectUploads": "TRUE"
},
"s3Object":{
"bucketArn": "arn:aws:s3:::amzn-s3-demo-bucket2",
"key": "2024 Sourcing.csv",
"path": "amzn-s3-demo-bucket2/2024 Sourcing.csv",
"extension": "csv",
"lastModified": "2024-04-19T22:08:25.000Z",
"versionId": "",
"serverSideEncryption": {
"encryptionType": "aws:kms",
"kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"size": 4750,
"storageClass": "STANDARD",
"tags":[
{
"key":"Division",
"value":"HR"
},
{
"key":"Team",
"value":"Recruiting"
}
],
"publicAccess": false,
"etag": "6bb7fd4fa9d36d6b8fb8882caexample"
}
},
"category": "CLASSIFICATION",
"classificationDetails": {
"jobArn": "arn:aws:macie2:us-east-1:123456789012:classification-job/3ce05dbb7ec5505def334104bexample",
"jobId": "3ce05dbb7ec5505def334104bexample",
"result": {
"status": {
"code": "COMPLETE",
"reason": null
},
"sizeClassified": 4750,
"mimeType": "text/csv",
"additionalOccurrences": true,
"sensitiveData": [
{
"category": "PERSONAL_INFORMATION",
"totalCount": 65,
"detections": [
{
"type": "USA_SOCIAL_SECURITY_NUMBER",
"count": 30,
"occurrences": {
"lineRanges": null,
"offsetRanges": null,
"pages": null,
"records": null,
"cells": [
{
"row": 2,
"column": 1,
"columnName": "SSN",
"cellReference": null
},
{
"row": 3,
"column": 1,
"columnName": "SSN",
"cellReference": null
},
{
"row": 4,
"column": 1,
"columnName": "SSN",
"cellReference": null
}
]
}
},
{
"type": "NAME",
"count": 35,
"occurrences": {
"lineRanges": null,
"offsetRanges": null,
"pages": null,
"records": null,
"cells": [
{
"row": 2,
"column": 3,
"columnName": "Name",
"cellReference": null
},
{
"row": 3,
"column": 3,
"columnName": "Name",
"cellReference": null
}
]
}
}
]
},
{
"category": "FINANCIAL_INFORMATION",
"totalCount": 30,
"detections": [
{
"type": "CREDIT_CARD_NUMBER",
"count": 30,
"occurrences": {
"lineRanges": null,
"offsetRanges": null,
"pages": null,
"records": null,
"cells": [
{
"row": 2,
"column": 14,
"columnName": "CCN",
"cellReference": null
},
{
"row": 3,
"column": 14,
"columnName": "CCN",
"cellReference": null
}
]
}
}
]
}
],
"customDataIdentifiers": {
"totalCount": 0,
"detections": []
}
},
"detailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/123456789012/Macie/us-east-1/3ce05dbb7ec5505def334104bexample/d48bf16d-0deb-3e49-9d8c-d407cexample.jsonl.gz",
"originType": "SENSITIVE_DATA_DISCOVERY_JOB"
},
"policyDetails": null,
"sample": true,
"archived": false
}
}
```