本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 監控 Macie 問題清單 AWS 使用者通知
AWS 使用者通知 是一種服務,可做為 上 AWS 通知的中心位置 AWS 管理主控台。這包括通知,例如 Amazon CloudWatch 警示、 AWS 支援 案例和其他 通訊 AWS 服務。使用 使用者通知,您可以設定自訂規則和交付管道,以接收有關特定類型 Amazon EventBridge 事件的通知。交付管道包括電子郵件、聊天應用程式中的 Amazon Q Developer,以及 中的推送通知 AWS Console Mobile Application。您也可以在 AWS 使用者通知 主控台上檢閱通知。若要進一步了解 使用者通知,請參閱[AWS 使用者通知 《 使用者指南》](https://docs.aws.amazon.com/notifications/latest/userguide/what-is-service.html)。
Amazon Macie 與 整合 AWS 使用者通知,這表示您可以設定 使用者通知 來通知您 Macie 發佈至 EventBridge 以取得政策和敏感資料調查結果的事件。如果問題清單事件符合您指定的條件, 使用者通知 會產生通知。通知包含相關調查結果的金鑰詳細資訊,例如調查結果的類型和嚴重性,以及受影響的資源名稱。 使用者通知 也可以將通知傳送到您指定的一或多個交付管道。您可以自訂您選擇的交付管道,以符合您的安全和合規工作流程。
例如,您可以將 使用者通知 設定為針對特定類型的高嚴重性新調查結果產生通知。您也可以將聊天應用程式中的 Amazon Q Developer 指定為這些通知的交付管道。 使用者通知 然後, 會偵測調查結果的 EventBridge 事件、產生包含調查結果資料的通知,並在聊天應用程式中傳送通知給 Amazon Q Developer。然後,聊天應用程式中的 Amazon Q Developer 可能會將通知路由到 Slack 頻道或 Amazon Chime 聊天室,以通知您的事件回應團隊。
**Topics**
+ [使用 AWS 使用者通知](#findings-monitor-events-uno-overview)
+ [啟用和設定問題清單的通知](#findings-monitor-events-uno-configure)
+ [映射通知欄位以尋找欄位](#findings-monitor-events-uno-schema)
+ [變更問題清單的通知設定](#findings-monitor-events-uno-change)
+ [停用問題清單的通知](#findings-monitor-events-uno-disable)
## 使用 AWS 使用者通知
使用 AWS 使用者通知,您可以建立規則來指定您要監控和接收通知的 Amazon EventBridge 事件類型。規則會定義 EventBridge 事件必須符合的條件,才能產生通知。您也可以為規則選擇一或多個交付管道。交付管道指定您希望接收符合規則條件之事件通知的位置。
如果 使用者通知 偵測到符合規則條件的 EventBridge 事件,則會執行下列一般任務:
1. 從事件擷取一部分的資料。
1. 產生包含擷取資料的通知。
1. 將通知傳送至您為該事件類型指定的交付管道。
通知的設計和結構已針對傳送至其中的每個交付管道進行最佳化。
若要控制接收通知的頻率或數量,您可以設定規則的彙總設定。如果您啟用這些設定, 會將多個事件的資料 使用者通知 合併為單一通知。您可以選擇快速且頻繁地傳送彙總事件通知,您可能會想要針對高嚴重性的問題清單事件執行此作業。或減少傳送頻率以接收較少的通知,您可能想要對低嚴重性問題清單事件執行此作業。如果您結合事件資料,您可以使用 AWS 使用者通知 主控台向下切入以檢閱每個彙總事件的詳細資訊。您也可以從該處導覽至 Amazon Macie 主控台上的每個相關調查結果。
## 針對 Macie AWS 使用者通知 問題清單啟用和設定
若要讓 AWS 使用者通知 產生 Amazon Macie 調查結果的通知,請在 中建立 Macie 的通知組態 使用者通知。*通知組態*會指定規則的條件。它還指定交付管道和其他設定,用於監控和傳送符合規則條件的 Amazon EventBridge 事件通知。如需建立通知組態的詳細資訊,請參閱*AWS 使用者通知 《 使用者指南*》中的 [入門 AWS 使用者通知](https://docs.aws.amazon.com/notifications/latest/userguide/getting-started.html)。
若要為 Macie 調查結果建立通知組態,請為事件規則選擇下列選項:
+ 針對**AWS 服務 名稱**,選擇 **Macie**。
+ 針對**事件類型**,選擇 **Macie 調查結果**。
+ 針對 **區域**,選取 AWS 區域 您使用 Macie 並希望收到問題清單通知的每個項目。
使用此組態, 使用者通知 可監控 的 EventBridge 事件, AWS 帳戶 並針對您所選區域中的所有 Macie 調查結果事件產生通知。事件符合下列條件:
+ `source` 等於 `aws.macie`
+ `detail-type` 等於 `Macie Finding`
事件規則的基礎 JSON 模式為:
```
{
"source": ["aws.macie"],
"detail-type": ["Macie Finding"]
}
```
若要精簡規則並僅針對問題清單子集產生通知,您可以自訂規則的 JSON 模式。若要這樣做,請指定衍生自 的其他條件[Macie 調查結果的 Amazon EventBridge 事件結構描述](findings-publish-event-schemas.md)。
如果您建立使用自訂 JSON 模式的規則,您可以為 Macie 調查結果建立多個通知組態。然後,您可以為每個組態量身打造交付管道和其他設定,以與特定問題清單類型的安全和合規工作流程保持一致。
例如,您可以建立一個規則,在 Macie 產生或更新*Policy:IAMUser/S3BucketPublic*問題清單時通知您。在此情況下,規則的模式可能是:
```
{
"source": ["aws.macie"],
"detail-type": ["Macie Finding"],
"detail": {
"type": ["Policy:IAMUser/S3BucketPublic"]
}
}
```
您也可以建立另一個規則,在 Macie 為可公開存取的 S3 儲存貯體產生敏感資料調查結果時通知您。在此情況下,規則的模式可能是:
```
{
"source": ["aws.macie"],
"detail-type": ["Macie Finding"],
"detail": {
"type": [ { "prefix": "SensitiveData" } ],
"resourcesAffected": {
"effectivePermission": ["PUBLIC"]
}
}
}
```
如果您為 Macie 調查結果建立多個通知組態,最好確保每個組態的規則是唯一的。否則,您可能會收到個別問題清單的重複通知。
若要進一步了解如何自訂規則的事件模式,請參閱*AWS 使用者通知 《 使用者指南*》中的[使用自訂的 JSON 事件模式](https://docs.aws.amazon.com/notifications/latest/userguide/common-usecases.html)。
## 將 AWS 使用者通知 欄位映射至 Macie 調查結果欄位
當 AWS 使用者通知 產生 Amazon Macie 調查結果的通知時,它會將對應 Amazon EventBridge 事件中欄位子集的資料填入通知。這些欄位提供相關調查結果的金鑰詳細資訊,例如調查結果的類型和嚴重性,以及受影響的資源名稱。
如果您在 AWS 使用者通知 主控台上檢閱通知,該通知會包含此欄位子集的所有資料。它也提供 Amazon Macie 主控台上相關調查結果的連結。如果您在其他交付管道中檢閱通知,它可能只包含部分欄位的資料。這是因為 會 使用者通知 量身打造其通知的設計和結構,以處理其支援的每種交付管道類型。
下表列出可能包含在問題清單通知中的欄位。在表格中,**通知欄位**欄描述 (*斜體*) 或指出通知中的欄位名稱。**問題清單事件欄位**欄使用點表示法來指出問題清單 EventBridge 事件中對應 JSON 欄位的名稱。**描述**欄說明存放在 欄位中的資料。
| 通知欄位 | 尋找事件欄位 | Description |
| --- | --- | --- |
| *訊息標題* | `detail.type` | 調查結果的類型。 例如:`Policy:IAMUser/S3BucketPublic` 或 `SensitiveData:S3Object/Financial`。 |
| 總結 | `detail.title` | 調查結果的簡短描述。 例如:`The S3 object contains financial information.` |
| Description | `detail.description` | 問題清單的完整描述。 例如:`The S3 object contains financial information such as bank account numbers or credit card numbers.` |
| 嚴重性 | `detail.severity.description` | 調查結果嚴重性的定性表示法:`Medium`、 `Low`或 `High`。 |
| 問題清單 ID | `detail.id` | 問題清單的唯一識別符。 |
| 已建立 | `detail.createdAt` | Macie 建立調查結果的日期和時間。 |
| Updated | `detail.updatedAt` | Macie 最近更新調查結果的日期和時間。 對於敏感資料調查結果,此值與*已建立* (`detail.createdAt`) 欄位的值相同。所有敏感資料調查結果都會被視為新的 (唯一)。 |
| 受影響的 S3 儲存貯體 | `detail.resourcesAffected.s3Bucket.arn` | 受影響 S3 儲存貯體的 Amazon Resource Name (ARN)。 |
| 受影響的 S3 物件 | `detail.resourcesAffected.s3Object.path` | 受影響 S3 物件的名稱 (*索引鍵*),包括存放物件的儲存貯體名稱,以及適用的物件字首。 此欄位不包含在政策調查結果的通知中。 |
| *敏感資料偵測* | `detail.classificationDetails.result.sensitiveData.detections...` 和/或 `detail.classificationDetails.result.customDataIdentifiers.detections...` | 這是敏感資料調查結果事件中多個欄位的串連。此欄位不包含在政策調查結果的通知中。 如果受管資料識別符偵測到敏感資料,此欄位會指定偵測到的敏感資料的類別、類型和出現次數 (`count`)。例如:`PERSONAL_INFORMATION: USA_SOCIAL_SECURITY_NUMBER 100 occurrences`。 如果自訂資料識別符偵測到敏感資料,此欄位會指定自訂資料識別符的名稱,以及偵測到的敏感資料出現次數 (`count`)。例如:`Employee ID 20 occurrences`。 如果問題清單報告多種類型的敏感資料,則通知會包含最多四種類型的資料。資料會先由任何適用的自訂資料識別符填入,然後由任何適用的受管資料識別符填入。 |
## 變更 Macie 調查結果 AWS 使用者通知 的設定
您可以隨時變更 Amazon Macie 調查結果 AWS 使用者通知 的設定。若要這樣做,請在 中編輯通知組態 使用者通知。若要了解如何操作,請參閱*AWS 使用者通知 《 使用者指南*》中的[管理通知組態](https://docs.aws.amazon.com/notifications/latest/userguide/managing-notifications.html)。
如果您有多個 Macie 調查結果的通知組態,變更一個組態的設定不會影響其他組態的設定。您可以編輯全部或部分組態。
## AWS 使用者通知 停用 Macie 問題清單
若要停止從 產生和接收 Amazon Macie 調查結果 AWS 使用者通知 的通知,請刪除其中的通知組態 使用者通知。若要了解如何執行,請參閱*AWS 使用者通知 《 使用者指南*》中的[管理通知組態](https://docs.aws.amazon.com/notifications/latest/userguide/managing-notifications.html)。
如果您有 Macie 調查結果的多個通知組態,刪除一個組態不會影響您的其他組態。您可以刪除全部或部分組態。