本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 監控和處理 Macie 調查結果
為了支援與其他應用程式、服務和系統整合,例如監控或事件管理系統,Amazon Macie 會自動將政策和敏感資料調查結果作為事件發佈至 Amazon EventBridge。如需組織安全狀態的其他支援和更廣泛的分析,您可以將 Macie 設定為同時將政策和敏感資料調查結果發佈至其中AWS Security Hub CSPM。
**Amazon EventBridge**
Amazon EventBridge 前身為 Amazon CloudWatch Events,是一種無伺服器事件匯流排服務,可從應用程式和服務提供即時資料串流,並將該資料路由至AWS Lambda函數、Amazon Simple Notification Service 主題和 Amazon Kinesis 串流等目標。使用 EventBridge,您可以自動監控和處理特定類型的事件,包括 Macie 為問題清單發佈的事件。如需詳細資訊,請參閱 [使用 Amazon EventBridge 處理問題清單](findings-monitor-events-eventbridge.md)。
如果您AWS 使用者通知與 Macie 整合,也可以使用 EventBridge 事件自動產生有關 Macie 發佈問題清單之事件的通知。使用使用者通知,您可以建立自訂規則並設定交付管道,以接收有關 EventBridge 關注事件的通知。交付管道包括電子郵件、聊天應用程式中的 Amazon Q Developer,以及 中的推送通知AWS Console Mobile Application。您也可以在 的中央位置檢閱通知AWS 管理主控台。如需詳細資訊,請參閱 [使用 監控問題清單 AWS 使用者通知](findings-monitor-events-uno.md)。
**AWS Security Hub CSPM**
AWS Security Hub CSPM是一種安全服務,可讓您全面檢視整個AWS環境的安全狀態。它從AWS 服務和支援的安全解決方案收集AWS Partner Network安全資料,並協助您根據安全產業標準和最佳實務檢查環境。它還可協助您分析安全趨勢並識別高優先順序問題。
使用 Security Hub CSPM,您可以檢閱和評估 Macie 調查結果,作為組織安全狀態更廣泛分析的一部分。您也可以彙總來自多個 的問題清單AWS 區域,以及監控和處理來自單一區域的彙總問題清單資料。如需詳細資訊,請參閱 [使用 評估問題清單 AWS Security Hub CSPM](securityhub-integration.md)。
Macie 建立問題清單時,會自動將問題清單發佈至 EventBridge 做為新事件。根據您為帳戶選擇的發佈設定,Macie 也可以將調查結果發佈至 Security Hub CSPM。Macie 會在問題清單處理完成後,立即發佈每個新問題清單。如果 Macie 偵測到現有政策調查結果的後續出現,則會發佈調查結果的現有 EventBridge 事件更新。根據您的發佈設定,Macie 也可以將更新發佈至 Security Hub CSPM。Macie 會使用您在帳戶的發佈設定中指定的發佈頻率,定期發佈這些更新。
除了上述選項之外,您還可以使用 Amazon Macie API 直接查詢和擷取問題清單資料。Amazon Macie API 可讓您以程式設計方式完整存取資料。若要查詢資料,您可以將 HTTPS 請求直接傳送至 Macie,或使用目前版本的AWS SDK 或AWS命令列工具。如果您查詢資料,Macie 會在 JSON 回應中傳回結果。然後,您可以將結果傳遞至另一個服務或應用程式,以進行額外的處理、監控或報告。如需詳細資訊,請參閱 [Amazon Macie API 參考](https://docs.aws.amazon.com/macie/latest/APIReference/welcome.html)。
**Topics**
+ [設定問題清單的發佈設定](findings-publish-frequency.md)
+ [使用 Amazon EventBridge 處理問題清單](findings-monitor-events-eventbridge.md)
+ [使用 監控問題清單 AWS 使用者通知](findings-monitor-events-uno.md)
+ [使用 評估問題清單 AWS Security Hub CSPM](securityhub-integration.md)
+ [問題清單的 Amazon EventBridge 事件結構描述](findings-publish-event-schemas.md)
# 設定 Macie 問題清單的發佈設定
為了支援與其他應用程式、服務和系統的整合,Amazon Macie 會自動將政策調查結果和敏感資料調查結果作為事件發佈到 Amazon EventBridge。如需有關如何使用 EventBridge 監控和處理問題清單的資訊,請參閱 [使用 Amazon EventBridge 處理問題清單](findings-monitor-events-eventbridge.md)。
您可以使用您在帳戶的發佈設定中指定的目的地選項 AWS Security Hub CSPM ,將 Macie 設定為自動發佈問題清單至 。透過這些選項,您可以將 Macie 設定為僅發佈政策調查結果、僅發佈敏感資料調查結果,或同時將政策和敏感資料調查結果發佈至 Security Hub CSPM。您也可以設定 Macie 停止發佈任何問題清單至 Security Hub CSPM。如需有關如何使用 Security Hub CSPM 評估和處理問題清單的資訊,請參閱 [使用 評估問題清單 AWS Security Hub CSPM](securityhub-integration.md)。
對於政策調查結果,Macie 發佈調查結果到另一個 的時間 AWS 服務 取決於調查結果是否為新的,以及您為帳戶指定的發佈頻率。對於敏感資料調查結果,時間一律是立即的,Macie 會在處理完調查結果後立即發佈敏感資料調查結果。與政策調查結果不同,Macie 會將所有敏感資料調查結果視為新的 (唯一)。
請注意,Macie 不會發佈由[禁止規則](findings-suppression.md)自動封存的政策或敏感資料調查結果。換句話說,Macie 不會將隱藏的問題清單發佈至其他問題清單 AWS 服務。
**Topics**
+ [選擇發佈目的地](#findings-publish-destinations-change)
+ [變更發佈頻率](#findings-publish-frequency-change)
## 選擇問題清單的發佈目的地
除了 Amazon EventBridge 之外,您還可以設定 Amazon Macie 自動將政策和敏感資料調查結果發佈至 。 AWS Security Hub CSPM EventBridge 根據預設,Macie 只會將新的和更新的政策調查結果發佈至 Security Hub CSPM。若要變更或擴展預設組態,請調整您帳戶的發佈目的地設定。
當您調整目的地設定時,您可以選擇您希望 Macie 發佈至 Security Hub CSPM 的問題清單類別,僅限政策問題清單、僅限敏感資料問題清單,或同時選擇政策和敏感資料問題清單。您也可以選擇停止將問題清單的任何類別發佈至 Security Hub CSPM。
如果您變更目的地設定,您的變更僅適用於目前的 AWS 區域。如果您是組織的 Macie 管理員,您的變更僅適用於您的帳戶。它不適用於組織中的任何成員帳戶。如需詳細資訊,請參閱[管理多個 帳戶](macie-accounts.md)。
**選擇問題清單的發佈目的地**
請依照下列步驟,使用 Amazon Macie 主控台變更目的地設定。若要以程式設計方式執行此操作,請使用 Amazon Macie API 的 [PutFindingsPublicationConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/findings-publication-configuration.html) 操作。
1. 開啟位於 https://[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 的 Amazon Macie 主控台。
1. 在導覽窗格中,選擇**設定**。
1. 在**問題清單發佈**區段的**目的地**下,從下列選項中選擇:
+ 將**政策問題清單發佈至 Security Hub CSPM** – 選取此核取方塊,以開始自動將新的和更新的政策問題清單發佈至 Security Hub CSPM。若要停止將新的和更新的政策調查結果發佈至 Security Hub CSPM,請清除此核取方塊。
如果您選取此核取方塊,且您有現有的政策調查結果,Macie 不會將其發佈至 Security Hub CSPM。相反地,Macie 只會在您儲存變更後發佈其建立或更新的政策調查結果。
+ 將**敏感資料調查結果發佈至 Security Hub CSPM** – 選取此核取方塊,以開始自動將新的敏感資料調查結果發佈至 Security Hub CSPM。若要停止將新的敏感資料調查結果發佈至 Security Hub CSPM,請清除此核取方塊。
如果您選取此核取方塊,並且有現有的敏感資料調查結果,Macie 不會將其發佈到 Security Hub CSPM。相反地,Macie 只會發佈在您儲存變更後建立的敏感資料調查結果。
1. 選擇**儲存**。
如果您選擇將問題清單的任何類別發佈至 Security Hub CSPM,請確定您也在目前區域中啟用 Security Hub CSPM,並將其設定為接受 Macie 的問題清單。否則,您將無法存取 Security Hub CSPM 中的調查結果。若要了解如何接受 Security Hub CSPM 中的調查結果,請參閱*AWS Security Hub 《 使用者指南*》[中的了解 Security Hub CSPM 中的整合](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-providers.html)。
## 變更問題清單的發佈頻率
在 Amazon Macie 中,每個調查結果都有唯一的識別符。Macie 使用此識別符來判斷何時發佈問題清單到另一個 AWS 服務:
+ **新調查結果** – 當 Macie 建立新的政策或敏感資料調查結果時,它會為調查結果指派唯一識別符,作為處理調查結果的一部分。Macie 完成處理問題清單後,會立即將問題清單發佈至 Amazon EventBridge 做為新事件。根據帳戶的發佈設定,Macie 也會將調查結果發佈為新的調查結果 AWS Security Hub CSPM。
+ **更新調查結果** – 當 Macie 偵測到現有政策調查結果的後續出現時,它會新增有關後續出現的詳細資訊並增加出現次數,以更新現有調查結果。Macie 也會將這些更新發佈至現有的 EventBridge 事件,並根據您帳戶的發佈設定,發佈現有的 Security Hub CSPM 調查結果。根據預設,Macie 每 15 分鐘發佈一次更新,作為週期性發佈週期的一部分。這表示在最近發佈週期後更新的任何政策調查結果都會保留,並視需要再次更新,並包含在下一個發佈週期中 (大約 15 分鐘後)。
您可以變更 Macie 發佈更新至其他政策問題清單的頻率 AWS 服務。例如,您可以設定 Macie 每小時發佈更新。如果您這樣做,而且在 12:00 發生發佈,則在 12:00 之後發生的任何更新都會在 13:00 發佈。
如果您變更頻率,您的變更僅適用於目前的 AWS 區域。如果您是組織的 Macie 管理員,您的變更也適用於組織中的所有成員帳戶。如需詳細資訊,請參閱[管理多個 帳戶](macie-accounts.md)。
**變更已更新問題清單的發佈頻率**
請依照下列步驟,使用 Amazon Macie 主控台變更發佈頻率。若要以程式設計方式執行此操作,請使用 Amazon Macie API 的 [UpdateMacieSession](https://docs.aws.amazon.com/macie/latest/APIReference/macie.html) 操作。
1. 在 https://[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。
1. 在導覽窗格中,選擇**設定**。
1. 在**問題清單的發佈**區段中,在**政策問題清單的更新頻率**下,選擇您希望 Macie 將更新發佈至其他 中政策問題清單的頻率 AWS 服務。
1. 選擇**儲存**。
# 使用 Amazon EventBridge 處理 Macie 問題清單
前身為 Amazon CloudWatch Events 的 Amazon EventBridge 是一種無伺服器事件匯流排服務。EventBridge 會從應用程式和服務提供即時資料串流,並將該資料路由到 AWS Lambda 函數、Amazon Simple Notification Service (Amazon SNS) 主題和 Amazon Kinesis 串流等目標。若要進一步了解 EventBridge,請參閱 [Amazon EventBridge 使用者指南](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html)。
使用 EventBridge,您可以自動監控和處理特定類型的事件。這包括 Amazon Macie 為新的政策調查結果和敏感資料調查結果自動發佈的事件。這也包括 Macie 針對現有政策調查結果的後續出現而自動發佈的事件。如需有關 Macie 如何和何時發佈這些事件的詳細資訊,請參閱 [設定問題清單的發佈設定](findings-publish-frequency.md)。
透過使用 EventBridge 和 Macie 發佈的調查結果事件,您可以近乎即時地監控和處理調查結果。然後,您可以使用其他應用程式和服務對問題清單採取行動。例如,您可以使用 EventBridge 將特定類型的新問題清單傳送至 AWS Lambda 函數。然後,Lambda 函數可能會處理資料並將其傳送到您的安全事件和事件管理 (SIEM) 系統。如果您[AWS 使用者通知 與 Macie 整合](findings-monitor-events-uno.md),您也可以使用事件,透過您指定的交付管道自動通知問題清單。
除了自動化監控和處理之外,EventBridge 的使用還可讓您長期保留問題清單資料。Macie 會將問題清單存放 90 天。使用 EventBridge,您可以將問題清單資料傳送到您偏好的儲存平台,並隨心所欲地存放資料。
**注意**
對於長期保留,也請設定 Macie 將敏感資料探索結果存放在 S3 儲存貯體中。*敏感資料探索結果*是專門記錄 Macie 對於 S3 物件所進行分析的詳細資料記錄,可用於判斷物件是否包含敏感資料。如需詳細資訊,請參閱 [儲存及保留敏感資料探索結果](discovery-results-repository-s3.md)。
**Topics**
+ [使用 EventBridge](#findings-monitor-events-eventbridge-overview)
+ [為問題清單建立 EventBridge 規則](#findings-monitor-events-eventbridge-rule-cli)
## 使用 Amazon EventBridge
使用 Amazon EventBridge,您可以建立規則來指定要監控的事件,以及要為這些事件執行自動動作的目標。*目標*是 EventBridge 傳送事件的目標。
若要自動監控和處理問題清單的任務,您可以建立 EventBridge 規則,自動偵測 Amazon Macie 問題清單事件,並將這些事件傳送至另一個應用程式或服務進行處理或其他動作。您可以自訂規則,只傳送符合特定條件的事件。若要這樣做,請指定衍生自 的條件[Macie 調查結果的 Amazon EventBridge 事件結構描述](findings-publish-event-schemas.md)。
例如,您可以建立規則,將特定類型的新問題清單傳送至 AWS Lambda 函數。然後,Lambda 函數可以執行任務,例如:處理資料並將其傳送到 SIEM 系統;自動將特定類型的伺服器端加密套用至 S3 物件;或者,變更物件的存取控制清單 (ACL) 來限制對 S3 物件的存取。或者,您可以建立規則,自動將新的高嚴重性問題清單傳送至 Amazon SNS 主題,然後通知您的事件回應團隊問題清單。
除了叫用 Lambda 函數並通知 Amazon SNS 主題之外,EventBridge 還支援其他類型的目標和動作,例如將事件轉送至 Amazon Kinesis 串流、啟用 AWS Step Functions 狀態機器,以及叫用 AWS Systems Manager 執行命令。如需有關支援目標的資訊,請參閱《*Amazon EventBridge 使用者指南*》中的[事件匯流排目標](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html)。
## 為 Macie 調查結果建立 Amazon EventBridge 規則
下列程序說明如何使用 Amazon EventBridge 主控台和 [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) 為 Amazon Macie 調查結果建立 EventBridge 規則。此規則會偵測針對 Macie 調查結果使用事件結構描述和模式的 EventBridge 事件,並將這些事件傳送至 AWS Lambda 函數進行處理。
AWS Lambda 是一種運算服務,您可以用來執行程式碼,而無需佈建或管理伺服器。您可以封裝程式碼並將其上傳到 AWS Lambda 做為 *Lambda 函數*。 AWS Lambda 然後, 會在叫用函數時執行函數。函數可由您人工呼叫,可以自動回應事件,或回應應用程式或服務的請求。如需建立並調用 Lambda 函數的相關資訊,請參閱[AWS Lambda 開發人員指南](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)。
------
#### [ Console ]
請依照下列步驟使用 Amazon EventBridge 主控台建立規則,自動將所有 Macie 調查結果事件傳送至 Lambda 函數進行處理。規則會對收到特定事件時執行的規則使用預設設定。如需規則設定的詳細資訊,或了解如何建立使用自訂設定的規則,請參閱《*Amazon EventBridge 使用者指南*》中的[建立對事件做出反應的規則](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html)。
**提示**
您也可以建立使用自訂模式的規則,以僅偵測和處理一部分 Macie 調查結果事件。此子集可以根據 Macie 在調查結果事件中包含的特定欄位。若要了解可用的欄位,請參閱 [Macie 調查結果的 Amazon EventBridge 事件結構描述](findings-publish-event-schemas.md)。若要了解如何在規則中使用自訂模式,請參閱《*Amazon EventBridge 使用者指南*》中的[建立事件模式](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-pattern.html)。
建立此規則之前,請建立您希望規則用作目標的 Lambda 函數。在建立規則時,您需要將此函數指定為該規則的目標。
**使用主控台建立事件規則**
1. 前往 [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/) 開啟 Amazon EventBridge 主控台。
1. 在導覽窗格中的**匯流排**下,選擇**規則**。
1. 在 **Rules** (規則) 區段中,選擇 **Create Rule** (建立規則)。
1. 在**定義規則詳細資訊**頁面上,執行下列動作:
+ 對於 **Name** (名稱),請輸入規則的名稱。
+ (選用) 針對**描述**,輸入規則的簡短描述。
+ 針對**事件匯流排**,請確定已選取**預設值**,且**已開啟所選事件匯流排上的啟用規則**。
+ 針對**規則類型**,選擇**具有事件模式的規則**。
1. 完成後,請選擇**下一步**。
1. 在**建置事件模式**頁面上,執行下列動作:
+ 在**事件來源**欄位中,選擇 **AWS 事件或 EventBridge 合作夥伴事件**。
+ (選用) 對於**範例事件**,請檢閱 Macie 的調查結果事件範例,以了解事件可能包含的內容。若要這樣做,請選擇**AWS 事件**。然後,針對**範例事件**,選擇 **Macie Finding**。
+ 針對**建立方法**,選取**使用模式表單**。
+ 針對**事件模式**,輸入下列設定:
+ 在 **Event source (事件來源)**,選擇 **AWS 服務**。
+ 針對 **AWS 服務**,選擇 **Macie**。
+ 針對**事件類型**,選擇 **Macie 調查結果**。
1. 完成後,請選擇**下一步**。
1. 在**選取目標**頁面上,執行下列動作:
+ 對於 **Target types** (目標類型),選擇 **AWS 服務**。
+ 對於 **Select a target** (選取目標),選擇 **Lambda function** (Lambda 函數)。然後,針對 **函數**,選擇您要傳送調查結果事件的 Lambda 函數。
+ 針對**設定版本/別名**,輸入目標 Lambda 函數的版本和別名設定。
+ (選用) 對於**其他設定**,輸入自訂設定以指定要傳送至 Lambda 函數的事件資料。您也可以指定如何處理未成功交付至函數的事件。
1. 完成後,請選擇**下一步**。
1. 在**設定標籤**頁面上,選擇性地輸入要指派給規則的一或多個標籤。然後選擇**下一步**。
1. 在**檢閱和建立**頁面上,檢閱規則的設定並確認其正確無誤。
若要變更設定,請在包含設定的區段中選擇**編輯**,然後輸入正確的設定。您也可以使用導覽索引標籤前往包含設定的頁面。
1. 當您完成驗證設定時,請選擇**建立規則**。
------
#### [ AWS CLI ]
請依照下列步驟使用 AWS CLI 建立 EventBridge 規則,將所有 Macie 調查結果事件傳送至 Lambda 函數進行處理。規則會對收到特定事件時執行的規則使用預設設定。在此程序中,命令會針對 Microsoft Windows 進行格式化。對於 Linux、macOS 或 Unix,請以反斜線 (\$1) 取代八進位 (^) 換行字元。
建立此規則之前,請建立您希望規則用作目標的 Lambda 函數。在建立函數時,請記住函數的 Amazon 資源名稱 (ARN)。在指定規則的目標時,需要輸入此 ARN。
**使用 建立事件規則 AWS CLI**
1. 建立規則,以偵測 Macie 發佈至 EventBridge 的所有調查結果的事件。若要這樣做,請執行 EventBridge [put-rule](https://docs.aws.amazon.com/cli/latest/reference/events/put-rule.html) 命令。例如:
```
C:\> aws events put-rule ^
--name MacieFindings ^
--event-pattern "{\"source\":[\"aws.macie\"]}"
```
其中 *MacieFindings* 是您想要用於規則的名稱。
**提示**
您也可以建立使用自訂模式 (`event-pattern`) 的規則,以僅偵測和處理一部分 Macie 調查結果事件。此子集可以根據 Macie 在調查結果事件中包含的特定欄位。若要了解可用的欄位,請參閱 [Macie 調查結果的 Amazon EventBridge 事件結構描述](findings-publish-event-schemas.md)。若要了解如何在規則中使用自訂模式,請參閱《*Amazon EventBridge 使用者指南*》中的[建立事件模式](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-pattern.html)。
如果命令執行成功,EventBridge 會使用規則的 ARN 來回應。請記住 ARN。您需要在步驟 3 輸入此名稱。
1. 指定要用作規則目標的 Lambda 函數。若要這樣做,請執行 EventBridge [put-targets](https://docs.aws.amazon.com/cli/latest/reference/events/put-targets.html) 命令。例如:
```
C:\> aws events put-targets ^
--rule MacieFindings ^
--targets Id=1,Arn=arn:aws:lambda:regionalEndpoint:accountID:function:my-findings-function
```
其中 *MacieFindings* 是您在步驟 1 中為規則指定的名稱,而 `Arn` 參數的值是您希望規則用作目標之函數的 ARN。
1. 新增允許規則叫用目標 Lambda 函數的許可。若要這樣做,請執行 Lambda [add-permission](https://docs.aws.amazon.com/cli/latest/reference/lambda/add-permission.html) 命令。例如:
```
C:\> aws lambda add-permission ^
--function-name my-findings-function ^
--statement-id Sid ^
--action lambda:InvokeFunction ^
--principal events.amazonaws.com ^
--source-arn arn:aws:events:regionalEndpoint:accountId:rule:MacieFindings
```
其中:
+ *my-findings-function* 是您希望規則用作目標的 Lambda 函數名稱。
+ *Sid* 是您用來描述 Lambda 函數政策中陳述式的陳述式識別符。
+ `source-arn` 為 EventBridge 規則的 ARN。
如果命令成功執行,您會收到類似以下的輸出:
```
{
"Statement": "{\"Sid\":\"sid\",
\"Effect\":\"Allow\",
\"Principal\":{\"Service\":\"events.amazonaws.com\"},
\"Action\":\"lambda:InvokeFunction\",
\"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:my-findings-function\",
\"Condition\":
{\"ArnLike\":
{\"AWS:SourceArn\":
\"arn:aws:events:us-east-1:111122223333:rule/MacieFindings\"}}}"
}
```
`Statement` 值是陳述式的 JSON 字串版本,且已新增至 Lambda 函數政策。
------
# 使用 監控 Macie 問題清單 AWS 使用者通知
AWS 使用者通知 是一種服務,可做為 上 AWS 通知的中心位置 AWS 管理主控台。這包括通知,例如 Amazon CloudWatch 警示、 AWS 支援 案例和其他 通訊 AWS 服務。使用 使用者通知,您可以設定自訂規則和交付管道,以接收有關特定類型 Amazon EventBridge 事件的通知。交付管道包括電子郵件、聊天應用程式中的 Amazon Q Developer,以及 中的推送通知 AWS Console Mobile Application。您也可以在 AWS 使用者通知 主控台上檢閱通知。若要進一步了解 使用者通知,請參閱[AWS 使用者通知 《 使用者指南》](https://docs.aws.amazon.com/notifications/latest/userguide/what-is-service.html)。
Amazon Macie 與 整合 AWS 使用者通知,這表示您可以設定 使用者通知 來通知您 Macie 發佈至 EventBridge 以取得政策和敏感資料調查結果的事件。如果問題清單事件符合您指定的條件, 使用者通知 會產生通知。通知包含相關調查結果的金鑰詳細資訊,例如調查結果的類型和嚴重性,以及受影響的資源名稱。 使用者通知 也可以將通知傳送到您指定的一或多個交付管道。您可以自訂您選擇的交付管道,以符合您的安全和合規工作流程。
例如,您可以將 使用者通知 設定為針對特定類型的高嚴重性新調查結果產生通知。您也可以將聊天應用程式中的 Amazon Q Developer 指定為這些通知的交付管道。 使用者通知 然後, 會偵測調查結果的 EventBridge 事件、產生包含調查結果資料的通知,並在聊天應用程式中傳送通知給 Amazon Q Developer。然後,聊天應用程式中的 Amazon Q Developer 可能會將通知路由到 Slack 頻道或 Amazon Chime 聊天室,以通知您的事件回應團隊。
**Topics**
+ [使用 AWS 使用者通知](#findings-monitor-events-uno-overview)
+ [啟用和設定問題清單的通知](#findings-monitor-events-uno-configure)
+ [映射通知欄位以尋找欄位](#findings-monitor-events-uno-schema)
+ [變更問題清單的通知設定](#findings-monitor-events-uno-change)
+ [停用問題清單的通知](#findings-monitor-events-uno-disable)
## 使用 AWS 使用者通知
使用 AWS 使用者通知,您可以建立規則來指定您要監控和接收通知的 Amazon EventBridge 事件類型。規則會定義 EventBridge 事件必須符合的條件,才能產生通知。您也可以為規則選擇一或多個交付管道。交付管道指定您希望接收符合規則條件之事件通知的位置。
如果 使用者通知 偵測到符合規則條件的 EventBridge 事件,則會執行下列一般任務:
1. 從事件擷取一部分的資料。
1. 產生包含擷取資料的通知。
1. 將通知傳送至您為該事件類型指定的交付管道。
通知的設計和結構已針對傳送至其中的每個交付管道進行最佳化。
若要控制接收通知的頻率或數量,您可以設定規則的彙總設定。如果您啟用這些設定, 會將多個事件的資料 使用者通知 合併為單一通知。您可以選擇快速且頻繁地傳送彙總事件通知,您可能會想要針對高嚴重性的問題清單事件執行此作業。或減少傳送頻率以接收較少的通知,您可能想要對低嚴重性問題清單事件執行此作業。如果您結合事件資料,您可以使用 AWS 使用者通知 主控台向下切入以檢閱每個彙總事件的詳細資訊。您也可以從該處導覽至 Amazon Macie 主控台上的每個相關調查結果。
## 針對 Macie AWS 使用者通知 問題清單啟用和設定
若要讓 AWS 使用者通知 產生 Amazon Macie 調查結果的通知,請在 中建立 Macie 的通知組態 使用者通知。*通知組態*會指定規則的條件。它還指定交付管道和其他設定,用於監控和傳送符合規則條件的 Amazon EventBridge 事件通知。如需建立通知組態的詳細資訊,請參閱*AWS 使用者通知 《 使用者指南*》中的 [入門 AWS 使用者通知](https://docs.aws.amazon.com/notifications/latest/userguide/getting-started.html)。
若要為 Macie 調查結果建立通知組態,請為事件規則選擇下列選項:
+ 針對**AWS 服務 名稱**,選擇 **Macie**。
+ 針對**事件類型**,選擇 **Macie 調查結果**。
+ 針對 **區域**,選取 AWS 區域 您使用 Macie 並希望收到問題清單通知的每個項目。
使用此組態, 使用者通知 可監控 的 EventBridge 事件, AWS 帳戶 並針對您所選區域中的所有 Macie 調查結果事件產生通知。事件符合下列條件:
+ `source` 等於 `aws.macie`
+ `detail-type` 等於 `Macie Finding`
事件規則的基礎 JSON 模式為:
```
{
"source": ["aws.macie"],
"detail-type": ["Macie Finding"]
}
```
若要精簡規則並僅針對問題清單子集產生通知,您可以自訂規則的 JSON 模式。若要這樣做,請指定衍生自 的其他條件[Macie 調查結果的 Amazon EventBridge 事件結構描述](findings-publish-event-schemas.md)。
如果您建立使用自訂 JSON 模式的規則,您可以為 Macie 調查結果建立多個通知組態。然後,您可以為每個組態量身打造交付管道和其他設定,以與特定問題清單類型的安全和合規工作流程保持一致。
例如,您可以建立一個規則,在 Macie 產生或更新*Policy:IAMUser/S3BucketPublic*問題清單時通知您。在此情況下,規則的模式可能是:
```
{
"source": ["aws.macie"],
"detail-type": ["Macie Finding"],
"detail": {
"type": ["Policy:IAMUser/S3BucketPublic"]
}
}
```
您也可以建立另一個規則,在 Macie 為可公開存取的 S3 儲存貯體產生敏感資料調查結果時通知您。在此情況下,規則的模式可能是:
```
{
"source": ["aws.macie"],
"detail-type": ["Macie Finding"],
"detail": {
"type": [ { "prefix": "SensitiveData" } ],
"resourcesAffected": {
"effectivePermission": ["PUBLIC"]
}
}
}
```
如果您為 Macie 調查結果建立多個通知組態,最好確保每個組態的規則是唯一的。否則,您可能會收到個別問題清單的重複通知。
若要進一步了解如何自訂規則的事件模式,請參閱*AWS 使用者通知 《 使用者指南*》中的[使用自訂的 JSON 事件模式](https://docs.aws.amazon.com/notifications/latest/userguide/common-usecases.html)。
## 將 AWS 使用者通知 欄位映射至 Macie 調查結果欄位
當 AWS 使用者通知 產生 Amazon Macie 調查結果的通知時,它會將對應 Amazon EventBridge 事件中欄位子集的資料填入通知。這些欄位提供相關調查結果的金鑰詳細資訊,例如調查結果的類型和嚴重性,以及受影響的資源名稱。
如果您在 AWS 使用者通知 主控台上檢閱通知,該通知會包含此欄位子集的所有資料。它也提供 Amazon Macie 主控台上相關調查結果的連結。如果您在其他交付管道中檢閱通知,它可能只包含部分欄位的資料。這是因為 會 使用者通知 量身打造其通知的設計和結構,以處理其支援的每種交付管道類型。
下表列出可能包含在問題清單通知中的欄位。在表格中,**通知欄位**欄描述 (*斜體*) 或指出通知中的欄位名稱。**問題清單事件欄位**欄使用點表示法來指出問題清單 EventBridge 事件中對應 JSON 欄位的名稱。**描述**欄說明存放在 欄位中的資料。
| 通知欄位 | 尋找事件欄位 | Description |
| --- | --- | --- |
| *訊息標題* | `detail.type` | 調查結果的類型。 例如:`Policy:IAMUser/S3BucketPublic` 或 `SensitiveData:S3Object/Financial`。 |
| 總結 | `detail.title` | 調查結果的簡短描述。 例如:`The S3 object contains financial information.` |
| Description | `detail.description` | 問題清單的完整描述。 例如:`The S3 object contains financial information such as bank account numbers or credit card numbers.` |
| 嚴重性 | `detail.severity.description` | 調查結果嚴重性的定性表示法:`Medium`、 `Low`或 `High`。 |
| 問題清單 ID | `detail.id` | 問題清單的唯一識別符。 |
| 已建立 | `detail.createdAt` | Macie 建立調查結果的日期和時間。 |
| Updated | `detail.updatedAt` | Macie 最近更新調查結果的日期和時間。 對於敏感資料調查結果,此值與*已建立* (`detail.createdAt`) 欄位的值相同。所有敏感資料調查結果都會被視為新的 (唯一)。 |
| 受影響的 S3 儲存貯體 | `detail.resourcesAffected.s3Bucket.arn` | 受影響 S3 儲存貯體的 Amazon Resource Name (ARN)。 |
| 受影響的 S3 物件 | `detail.resourcesAffected.s3Object.path` | 受影響 S3 物件的名稱 (*索引鍵*),包括存放物件的儲存貯體名稱,以及適用的物件字首。 此欄位不包含在政策調查結果的通知中。 |
| *敏感資料偵測* | `detail.classificationDetails.result.sensitiveData.detections...` 和/或 `detail.classificationDetails.result.customDataIdentifiers.detections...` | 這是敏感資料調查結果事件中多個欄位的串連。此欄位不包含在政策調查結果的通知中。 如果受管資料識別符偵測到敏感資料,此欄位會指定偵測到的敏感資料的類別、類型和出現次數 (`count`)。例如:`PERSONAL_INFORMATION: USA_SOCIAL_SECURITY_NUMBER 100 occurrences`。 如果自訂資料識別符偵測到敏感資料,此欄位會指定自訂資料識別符的名稱,以及偵測到的敏感資料出現次數 (`count`)。例如:`Employee ID 20 occurrences`。 如果問題清單報告多種類型的敏感資料,則通知會包含最多四種類型的資料。資料會先由任何適用的自訂資料識別符填入,然後由任何適用的受管資料識別符填入。 |
## 變更 Macie 調查結果 AWS 使用者通知 的設定
您可以隨時變更 Amazon Macie 調查結果 AWS 使用者通知 的設定。若要這樣做,請在 中編輯通知組態 使用者通知。若要了解如何操作,請參閱*AWS 使用者通知 《 使用者指南*》中的[管理通知組態](https://docs.aws.amazon.com/notifications/latest/userguide/managing-notifications.html)。
如果您有多個 Macie 調查結果的通知組態,變更一個組態的設定不會影響其他組態的設定。您可以編輯全部或部分組態。
## AWS 使用者通知 停用 Macie 問題清單
若要停止從 產生和接收 Amazon Macie 調查結果 AWS 使用者通知 的通知,請刪除其中的通知組態 使用者通知。若要了解如何執行,請參閱*AWS 使用者通知 《 使用者指南*》中的[管理通知組態](https://docs.aws.amazon.com/notifications/latest/userguide/managing-notifications.html)。
如果您有 Macie 調查結果的多個通知組態,刪除一個組態不會影響您的其他組態。您可以刪除全部或部分組態。
# 使用 評估 Macie 調查結果 AWS Security Hub CSPM
AWS Security Hub CSPM 是一項服務,可讓您全面檢視整個 AWS 環境的安全狀態,並協助您根據安全產業標準和最佳實務檢查環境。它透過取用、彙總、組織和排定來自多個 AWS 服務 和支援 AWS Partner Network 之安全解決方案的問題清單的優先順序,進行部分操作。Security Hub CSPM 可協助您分析安全趨勢,並識別最高優先順序的安全問題。使用 Security Hub CSPM,您也可以彙總多個調查結果 AWS 區域,然後評估和處理來自單一區域的所有彙總調查結果資料。若要進一步了解 Security Hub CSPM,請參閱 [AWS Security Hub 使用者指南](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)。
Amazon Macie 與 Security Hub CSPM 整合,這表示您可以將問題清單從 Macie 自動發佈到 Security Hub CSPM。然後,Security Hub CSPM 可以在分析您的安全狀態時包含這些調查結果。此外,您可以使用 Security Hub CSPM 來評估和處理政策和敏感資料問題清單,作為您 AWS 環境較大、彙總問題清單資料集的一部分。換句話說,您可以評估 Macie 問題清單,同時對組織的安全狀態執行更廣泛的分析,並視需要修復問題清單。Security Hub CSPM 可降低處理來自多個供應商大量調查結果的複雜性。此外,它對所有問題清單使用標準格式,包括 Macie 的問題清單。使用此格式是*AWS 安全調查結果格式 (ASFF)*,您不需要執行耗時的資料轉換工作。
**Topics**
+ [Macie 如何將問題清單發佈至 Security Hub CSPM](#securityhub-integration-sending-findings)
+ [Security Hub CSPM 中的 Macie 調查結果範例](#securityhub-integration-finding-example)
+ [將 Macie 與 Security Hub CSPM 整合](#securityhub-integration-enable)
+ [停止將 Macie 問題清單發佈至 Security Hub CSPM](#securityhub-integration-disable)
## Macie 如何發佈問題清單至 AWS Security Hub CSPM
在 中 AWS Security Hub CSPM,安全問題會追蹤為問題清單。有些問題清單來自 偵測到的問題 AWS 服務,例如 Amazon Macie,或受支援 AWS Partner Network 的安全解決方案。Security Hub CSPM 也有一組規則,可用來偵測安全問題並產生問題清單。
Security Hub CSPM 提供工具來管理所有這些來源的問題清單。您可以檢閱和篩選問題清單,並檢閱個別問題清單的詳細資訊。若要了解如何進行,請參閱*AWS Security Hub 《 使用者指南*》中的[檢閱問題清單歷史記錄和詳細資訊](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-viewing.html)。您也可以追蹤問題清單的調查狀態。若要了解如何進行,請參閱*AWS Security Hub 《 使用者指南*》中的[設定問題清單的工作流程狀態](https://docs.aws.amazon.com/securityhub/latest/userguide/findings-workflow-status.html)。
所有 Security Hub CSPM 中的調查結果都使用稱為 *AWS 安全調查結果格式 (ASFF)* 的標準 JSON 格式。ASFF 包含問題來源、受影響資源,以及問題清單目前狀態的詳細資訊。請參閱《*AWS Security Hub 使用者指南*》中的 [AWS 安全問題清單格式 (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html)。
### Macie 發佈至 Security Hub CSPM 的問題清單類型
根據您為 Macie 帳戶選擇的發佈設定,Macie 可以將其建立的所有調查結果發佈至 Security Hub CSPM,包括敏感資料調查結果和政策調查結果。如需這些設定以及如何變更設定的資訊,請參閱 [設定問題清單的發佈設定](findings-publish-frequency.md)。根據預設,Macie 只會將新的和更新的政策調查結果發佈至 Security Hub CSPM。Macie 不會將敏感資料調查結果發佈至 Security Hub CSPM。
#### 敏感資料調查結果
如果您設定 Macie 將[敏感資料調查結果](findings-types.md#findings-sensitive-data-types)發佈到 Security Hub CSPM,Macie 會自動發佈它為您的帳戶建立的每個敏感資料調查結果,並在它完成處理調查結果後立即這樣做。Macie 會針對未被[禁止規則](findings-suppression.md)自動封存的所有敏感資料調查結果執行此操作。
如果您是組織的 Macie 管理員,則發佈僅限於您執行之敏感資料探索任務的調查結果,以及 Macie 為組織執行的自動化敏感資料探索活動。只有建立任務的帳戶可以發佈任務產生的敏感資料調查結果。只有 Macie 管理員帳戶可以發佈自動化敏感資料探索為其組織產生的敏感資料調查結果。
當 Macie 將敏感資料調查結果發佈至 Security Hub CSPM 時,會使用 [AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html),這是 Security Hub CSPM 中所有調查結果的標準格式。在 ASFF 中, `Types` 欄位表示調查結果的類型。此欄位使用的分類與 Macie 中的調查結果類型分類略有不同。
下表列出 Macie 可以建立之每種敏感資料調查結果的 ASFF 調查結果類型。
| Macie 調查結果類型 | ASFF 問題清單類型 |
| --- | --- |
| SensitiveData:S3Object/Credentials | Sensitive Data Identifications/Passwords/SensitiveData:S3Object-Credentials |
| SensitiveData:S3Object/CustomIdentifier | Sensitive Data Identifications/PII/SensitiveData:S3Object-CustomIdentifier |
| SensitiveData:S3Object/Financial | Sensitive Data Identifications/Financial/SensitiveData:S3Object-Financial |
| SensitiveData:S3Object/Multiple | Sensitive Data Identifications/PII/SensitiveData:S3Object-Multiple |
| SensitiveData:S3Object/Personal | Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal |
#### 政策調查結果
如果您設定 Macie 將[政策調查結果](findings-types.md#findings-policy-types)發佈到 Security Hub CSPM,Macie 會自動發佈其建立的每個新政策調查結果,並在它完成處理調查結果後立即這樣做。如果 Macie 偵測到現有政策調查結果的後續出現,它會使用您為帳戶指定的發佈頻率,自動發佈更新至 Security Hub CSPM 中的現有調查結果。Macie 會對未由[禁止規則](findings-suppression.md)自動封存的所有政策調查結果執行這些任務。
如果您是組織的 Macie 管理員,則發佈僅限於您的 帳戶直接擁有的 S3 儲存貯體的政策調查結果。Macie 不會發佈其為組織中的成員帳戶建立或更新的政策調查結果。這有助於確保您在 Security Hub CSPM 中沒有重複的問題清單資料。
如同敏感資料調查結果的情況,Macie 會在將新的和更新的政策調查結果發佈至 Security Hub CSPM 時使用 AWS 安全調查結果格式 (ASFF)。在 ASFF 中, `Types` 欄位使用與 Macie 中調查結果類型分類略有不同的分類。
下表列出 Macie 可以建立之每種政策調查結果的 ASFF 調查結果類型。如果 Macie 在 2021 年 1 月 28 日或之後在 Security Hub CSPM 中建立或更新政策調查結果,則該調查結果具有下列其中一個適用於 Security Hub CSPM 中 ASFF `Types` 欄位的值。
| Macie 調查結果類型 | ASFF 問題清單類型 |
| --- | --- |
| Policy:IAMUser/S3BlockPublicAccessDisabled | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled |
| Policy:IAMUser/S3BucketEncryptionDisabled | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketEncryptionDisabled |
| Policy:IAMUser/S3BucketPublic | Effects/Data Exposure/Policy:IAMUser-S3BucketPublic |
| Policy:IAMUser/S3BucketReplicatedExternally | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketReplicatedExternally |
| Policy:IAMUser/S3BucketSharedExternally | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedExternally |
| Policy:IAMUser/S3BucketSharedWithCloudFront | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedWithCloudFront |
如果 Macie 在 2021 年 1 月 28 日之前建立或上次更新政策調查結果,則該調查結果在 Security Hub CSPM 中的 ASFF `Types` 欄位具有下列其中一個值:
+ Policy:IAMUser/S3BlockPublicAccessDisabled
+ Policy:IAMUser/S3BucketEncryptionDisabled
+ Policy:IAMUser/S3BucketPublic
+ Policy:IAMUser/S3BucketReplicatedExternally
+ Policy:IAMUser/S3BucketSharedExternally
上述清單中的值會直接對應至 Macie 中**問題清單類型** (`type`) 欄位的值。
**備註**
當您檢閱和處理 Security Hub CSPM 中的政策調查結果時,請注意下列例外狀況:
當然 AWS 區域,Macie 最早會在 2021 年 1 月 25 日開始將 ASFF 調查結果類型用於新的和更新的調查結果。
如果您在 Macie 開始在 中使用 ASFF 調查結果類型之前,對 Security Hub CSPM 中的政策調查結果採取行動 AWS 區域,調查結果的 ASFF `Types` 欄位的值將是上述清單中的 Macie 調查結果類型之一。它不會是上表中其中一個 ASFF 調查結果類型。對於您使用 AWS Security Hub CSPM 主控台或 API `BatchUpdateFindings`操作執行的政策調查結果, AWS Security Hub CSPM 這是如此。
### 將問題清單發佈至 Security Hub CSPM 的延遲
當 Amazon Macie 建立新的政策或敏感資料調查結果時,它會在完成處理調查結果 AWS Security Hub CSPM 後立即將調查結果發佈至 。
如果 Macie 偵測到現有政策調查結果的後續出現,則會將更新發佈至 Security Hub CSPM 中的現有調查結果。更新的時間取決於您為 Macie 帳戶選擇的發佈頻率。根據預設,Macie 每 15 分鐘發佈一次更新。如需詳細資訊,包括如何變更帳戶的設定,請參閱 [設定問題清單的發佈設定](findings-publish-frequency.md)。
### 無法使用 Security Hub CSPM 時重試發佈
如果 AWS Security Hub CSPM 無法使用,Amazon Macie 會建立 Security Hub CSPM 尚未收到的問題清單佇列。當系統還原時,Macie 會重試發佈,直到 Security Hub CSPM 收到問題清單為止。
### 更新 Security Hub CSPM 中的現有調查結果
Amazon Macie 發佈政策調查結果到 之後 AWS Security Hub CSPM,Macie 會更新調查結果,以反映調查結果或調查結果活動的任何其他出現情況。Macie 只會針對政策調查結果執行此操作。Macie 不會更新 Security Hub CSPM 中的敏感資料調查結果。與政策調查結果不同,所有敏感資料調查結果都會視為新的 (唯一)。
當 Macie 發佈政策調查結果的更新時,Macie 會更新調查結果的**更新時間 **(`UpdatedAt`) 欄位的值。您可以使用此值來判斷 Macie 最近何時偵測到造成問題清單的潛在政策違規或問題的後續發生。
如果問題清單的現有值不是 [ASFF 問題清單類型,Macie 也可能會更新問題清單](#securityhub-integration-finding-types-policy)類型 ****(`Types`) 欄位的值。這取決於您是否已對 Security Hub CSPM 中的調查結果採取行動。如果您尚未對調查結果採取行動,Macie 會將欄位的值變更為適當的 ASFF 調查結果類型。如果您已對問題清單採取動作,請使用 AWS Security Hub CSPM 主控台或 AWS Security Hub CSPM API `BatchUpdateFindings`的操作,Macie 不會變更欄位的值。
## 中的 Macie 調查結果範例 AWS Security Hub CSPM
當 Amazon Macie 發佈問題清單到 時 AWS Security Hub CSPM,會使用[AWS 安全問題清單格式 (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html)。這是 Security Hub CSPM 中所有調查結果的標準格式。下列範例使用範例資料,示範 Macie 以此格式發佈至 Security Hub CSPM 之調查結果資料的結構和性質:
+ [敏感資料調查結果的範例](#securityhub-integration-finding-example-sdf)
+ [政策調查結果的範例](#securityhub-integration-finding-example-policy)
### Security Hub CSPM 中的敏感資料調查結果範例
以下是 Macie 使用 ASFF 發佈至 Security Hub CSPM 的敏感資料調查結果範例。
```
{
"SchemaVersion": "2018-10-08",
"Id": "5be50fce24526e670df77bc00example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types":[
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
],
"CreatedAt": "2022-05-11T10:23:49.667Z",
"UpdatedAt": "2022-05-11T10:23:49.667Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "The S3 object contains personal information.",
"Description": "The object contains personal information such as first or last names, addresses, or identification numbers.",
"ProductFields": {
"JobArn": "arn:aws:macie2:us-east-1:111122223333:classification-job/698e99c283a255bb2c992feceexample",
"S3Object.Path": "amzn-s3-demo-bucket/2022 Sourcing.tsv",
"S3Object.Extension": "tsv",
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"OriginType": "SENSITIVE_DATA_DISCOVERY_JOB",
"S3Object.PublicAccess": "false",
"S3Object.Size": "14",
"S3Object.StorageClass": "STANDARD",
"S3Bucket.allowsUnencryptedObjectUploads": "TRUE",
"JobId": "698e99c283a255bb2c992feceexample",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/5be50fce24526e670df77bc00example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-12-30T18:16:25.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"BlockPublicPolicy": true,
"IgnorePublicAcls": true,
"RestrictPublicBuckets": true
}
}
}
},
{
"Type": "AwsS3Object",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket/2022 Sourcing.tsv",
"Partition": "aws",
"Region": "us-east-1",
"DataClassification": {
"DetailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/111122223333/Macie/us-east-1/
698e99c283a255bb2c992feceexample/111122223333/32b8485d-4f3a-3aa1-be33-aa3f0example.jsonl.gz",
"Result":{
"MimeType": "text/tsv",
"SizeClassified": 14,
"AdditionalOccurrences": false,
"Status": {
"Code": "COMPLETE"
},
"SensitiveData": [
{
"Category": "PERSONAL_INFORMATION",
"Detections": [
{
"Count": 1,
"Type": "USA_SOCIAL_SECURITY_NUMBER",
"Occurrences": {
"Cells": [
{
"Column": 10,
"Row": 1,
"ColumnName": "Other"
}
]
}
}
],
"TotalCount": 1
}
],
"CustomDataIdentifiers": {
"Detections": [
],
"TotalCount": 0
}
}
},
"Details": {
"AwsS3Object": {
"LastModified": "2022-04-22T18:16:46.000Z",
"ETag": "ebe1ca03ee8d006d457444445example",
"VersionId": "SlBC72z5hArgexOJifxw_IN57example",
"ServerSideEncryption": "aws:kms",
"SSEKMSKeyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
]
},
"Sample": false,
"ProcessedAt": "2022-05-11T10:23:49.667Z"
}
```
### Security Hub CSPM 中的政策調查結果範例
以下是 Macie 在 ASFF 中發佈至 Security Hub CSPM 的新政策調查結果範例。
```
{
"SchemaVersion": "2018-10-08",
"Id": "36ca8ba0-caf1-4fee-875c-37760example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
],
"CreatedAt": "2022-04-24T09:27:43.313Z",
"UpdatedAt": "2022-04-24T09:27:43.313Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "Block Public Access settings are disabled for the S3 bucket",
"Description": "All Amazon S3 block public access settings are disabled for the Amazon S3 bucket. Access to the bucket is
controlled only by access control lists (ACLs) or bucket policies.",
"ProductFields": {
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"S3Bucket.allowsUnencryptedObjectUploads": "FALSE",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/36ca8ba0-caf1-4fee-875c-37760example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Tags": {
"Team": "Recruiting",
"Division": "HR"
},
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-11-25T18:24:38.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": false,
"BlockPublicPolicy": false,
"IgnorePublicAcls": false,
"RestrictPublicBuckets": false
}
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
]
},
"Sample": false
}
```
## 將 Macie 與 整合 AWS Security Hub CSPM
若要整合 Amazon Macie 與 AWS Security Hub CSPM,請為您的 啟用 Security Hub CSPM AWS 帳戶。若要了解如何啟用,請參閱*AWS Security Hub 《 使用者指南*》中的[啟用 Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html)。
當您同時啟用 Macie 和 Security Hub CSPM 時,會自動啟用整合。根據預設,Macie 開始自動將新的和更新的政策調查結果發佈至 Security Hub CSPM。您不需要採取其他步驟來設定整合。如果您在啟用整合時有現有的政策調查結果,Macie 不會將其發佈到 Security Hub CSPM。相反地,Macie 只會發佈在啟用整合後建立或更新的政策調查結果。
您可以選擇性地自訂組態,方法是選擇 Macie 在 Security Hub CSPM 中發佈政策調查結果更新的頻率。您也可以選擇將敏感資料調查結果發佈至 Security Hub CSPM。若要了解作法,請參閱[設定問題清單的發佈設定](findings-publish-frequency.md)。
## 停止發佈 Macie 問題清單至 AWS Security Hub CSPM
若要停止發佈 Amazon Macie 調查結果至 AWS Security Hub CSPM,您可以變更 Macie 帳戶的發佈設定。若要了解作法,請參閱[選擇問題清單的發佈目的地](findings-publish-frequency.md#findings-publish-destinations-change)。您也可以使用 Security Hub CSPM 來執行此操作。若要了解如何進行,請參閱*AWS Security Hub 《 使用者指南*》中的[從 整合停用問題清單的流程](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integration-disable.html)。
# Macie 調查結果的 Amazon EventBridge 事件結構描述
為了支援與其他應用程式、服務和系統整合,例如監控或事件管理系統,Amazon Macie 會自動將調查結果發佈至 Amazon EventBridge 做為事件。EventBridge 前身為 Amazon CloudWatch Events,是一種無伺服器事件匯流排服務,可從應用程式和其他 將即時資料串流交付 AWS 服務 至 函數、Amazon Simple Notification Service 主題和 Amazon Kinesis 串流等 AWS Lambda 目標。若要進一步了解 EventBridge,請參閱 [Amazon EventBridge 使用者指南](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html)。
**注意**
如果您目前使用 CloudWatch Events,請注意 EventBridge 和 CloudWatch Events 是相同的基礎服務和 API。不過,EventBridge 包含其他功能,可讓您從軟體即服務 (SaaS) 應用程式和您自己的應用程式接收事件。由於基礎服務和 API 相同,Macie 調查結果的事件結構描述也相同。
Macie 會自動發佈所有新問題清單和現有政策問題清單後續出現的事件,但由[禁止規則](findings-suppression.md)自動封存的問題清單除外。這些事件是符合事件 EventBridge 結構描述的 JSON 物件 AWS 。每個事件都包含特定調查結果的 JSON 表示法。由於資料結構為 EventBridge 事件,因此您可以使用其他應用程式、服務和工具,更輕鬆地監控、處理問題清單並對其採取行動。如需有關 Macie 如何和何時發佈問題清單事件的詳細資訊,請參閱 [設定問題清單的發佈設定](findings-publish-frequency.md)。
**Topics**
+ [Macie 調查結果的事件結構描述](#findings-publish-event-schema)
+ [政策調查結果的事件範例](#findings-publish-event-example-policy)
+ [敏感資料調查結果的事件範例](#findings-publish-event-example-classification)
## Macie 調查結果的事件結構描述
下列範例顯示 [Amazon Macie 調查結果的 Amazon EventBridge 事件](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html)結構描述。 Amazon Macie 如需問題清單事件中可包含之欄位的詳細說明,請參閱《*Amazon Macie API 參考*》中的[問題清單](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html)。調查結果事件的結構和欄位會與 Amazon Macie API 的`Finding`物件緊密對應。
```
{
"version": "0",
"id": "event ID",
"detail-type": "Macie Finding",
"source": "aws.macie",
"account": "AWS 帳戶 ID (string)",
"time": "event timestamp (string)",
"region": "AWS 區域 (string)",
"resources": [
<-- ARNs of the resources involved in the event -->
],
"detail": {
<-- Details of a policy or sensitive data finding -->
},
"policyDetails": null, <-- Additional details of a policy finding or null for a sensitive data finding -->
"sample": Boolean,
"archived": Boolean
}
```
## 政策調查結果的事件範例
下列範例使用範例資料來示範[政策調查結果](findings-types.md#findings-policy-types)的 Amazon EventBridge 事件中物件和欄位的結構和性質。在此範例中,事件會報告後續出現的現有政策調查結果:Amazon Macie 偵測到封鎖 S3 儲存貯體的公開存取設定已停用。下列欄位和值可協助您判斷此情況:
+ `type` 欄位設定為 `Policy:IAMUser/S3BlockPublicAccessDisabled`。
+ `createdAt` 和 `updatedAt` 欄位有不同的值。這是事件報告後續出現現有政策調查結果的一個指標。如果事件報告了新的問題清單,則這些欄位的值會相同。
+ `count` 欄位設定為 `2`,表示這是問題清單的第二次出現。
+ `category` 欄位設定為 `POLICY`。
+ `classificationDetails` 欄位的值為 `null`,有助於區分政策調查結果的此事件與敏感資料調查結果的事件。對於敏感資料調查結果,此值會是一組物件和欄位,提供如何和找到哪些敏感資料的相關資訊。
另請注意, `sample` 欄位的值為 `true`。此值強調這是用於 文件的範例事件。
```
{
"version": "0",
"id": "0948ba87-d3b8-c6d4-f2da-732a1example",
"detail-type": "Macie Finding",
"source": "aws.macie",
"account": "123456789012",
"time": "2024-04-30T23:12:15Z",
"region":"us-east-1",
"resources": [],
"detail": {
"schemaVersion": "1.0",
"id": "64b917aa-3843-014c-91d8-937ffexample",
"accountId": "123456789012",
"partition": "aws",
"region": "us-east-1",
"type": "Policy:IAMUser/S3BlockPublicAccessDisabled",
"title": "Block public access settings are disabled for the S3 bucket",
"description": "All bucket-level block public access settings were disabled for the S3 bucket. Access to the bucket is controlled by account-level block public access settings, access control lists (ACLs), and the bucket’s bucket policy.",
"severity": {
"score": 3,
"description": "High"
},
"createdAt": "2024-04-29T15:46:02Z",
"updatedAt": "2024-04-30T23:12:15Z",
"count": 2,
"resourcesAffected": {
"s3Bucket": {
"arn": "arn:aws:s3:::amzn-s3-demo-bucket1",
"name": "amzn-s3-demo-bucket1",
"createdAt": "2020-04-03T20:46:56.000Z",
"owner":{
"displayName": "johndoe",
"id": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example"
},
"tags": [
{
"key": "Division",
"value": "HR"
},
{
"key": "Team",
"value": "Recruiting"
}
],
"defaultServerSideEncryption": {
"encryptionType": "aws:kms",
"kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"publicAccess": {
"permissionConfiguration": {
"bucketLevelPermissions": {
"accessControlList": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"bucketPolicy": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"blockPublicAccess": {
"ignorePublicAcls": false,
"restrictPublicBuckets": false,
"blockPublicAcls": false,
"blockPublicPolicy": false
}
},
"accountLevelPermissions": {
"blockPublicAccess": {
"ignorePublicAcls": true,
"restrictPublicBuckets": true,
"blockPublicAcls": true,
"blockPublicPolicy": true
}
}
},
"effectivePermission": "NOT_PUBLIC"
},
"allowsUnencryptedObjectUploads": "FALSE"
},
"s3Object": null
},
"category": "POLICY",
"classificationDetails": null,
"policyDetails": {
"action": {
"actionType": "AWS_API_CALL",
"apiCallDetails": {
"api": "PutBucketPublicAccessBlock",
"apiServiceName": "s3.amazonaws.com",
"firstSeen": "2024-04-29T15:46:02.401Z",
"lastSeen": "2024-04-30T23:12:15.401Z"
}
},
"actor": {
"userIdentity": {
"type": "AssumedRole",
"assumedRole": {
"principalId": "AROA1234567890EXAMPLE:AssumedRoleSessionName",
"arn": "arn:aws:sts::123456789012:assumed-role/RoleToBeAssumed/MySessionName",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": false,
"creationDate": "2024-04-29T10:25:43.511Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AROA1234567890EXAMPLE",
"arn": "arn:aws:iam::123456789012:role/RoleToBeAssumed",
"accountId": "123456789012",
"userName": "RoleToBeAssumed"
}
}
},
"root": null,
"iamUser": null,
"federatedUser": null,
"awsAccount": null,
"awsService": null
},
"ipAddressDetails":{
"ipAddressV4": "192.0.2.0",
"ipOwner": {
"asn": "-1",
"asnOrg": "ExampleFindingASNOrg",
"isp": "ExampleFindingISP",
"org": "ExampleFindingORG"
},
"ipCountry": {
"code": "US",
"name": "United States"
},
"ipCity": {
"name": "Ashburn"
},
"ipGeoLocation": {
"lat": 39.0481,
"lon": -77.4728
}
},
"domainDetails": null
}
},
"sample": true,
"archived": false
}
}
```
## 敏感資料調查結果的事件範例
下列範例使用範例資料來示範[敏感資料調查結果](findings-types.md#findings-sensitive-data-types)的 Amazon EventBridge 事件中物件和欄位的結構和性質。在此範例中,事件會報告新的敏感資料調查結果:Amazon Macie 在 S3 物件中找到多個敏感資料的類別和類型。下列欄位和值可協助您判斷此情況:
+ `type` 欄位設定為 `SensitiveData:S3Object/Multiple`。
+ `createdAt` 和 `updatedAt` 欄位具有相同的值。與政策調查結果不同,敏感資料調查結果一律如此。所有敏感資料調查結果都會被視為新的。
+ `count` 欄位設定為 `1`,表示這是新的問題清單。與政策調查結果不同,敏感資料調查結果一律如此。所有敏感資料調查結果都視為唯一 (新)。
+ `category` 欄位設定為 `CLASSIFICATION`。
+ `policyDetails` 欄位的值為 `null`,這有助於將此敏感資料調查結果的事件與政策調查結果的事件區分開來。對於政策調查結果,此值會是一組物件和欄位,提供有關潛在政策違規或 S3 儲存貯體安全性或隱私權問題的資訊。
另請注意, `sample` 欄位的值為 `true`。此值強調這是用於 文件的範例事件。
```
{
"version": "0",
"id": "14ddd0b1-7c90-b9e3-8a68-6a408example",
"detail-type": "Macie Finding",
"source": "aws.macie",
"account": "123456789012",
"time": "2024-04-20T08:19:10Z",
"region": "us-east-1",
"resources": [],
"detail": {
"schemaVersion": "1.0",
"id": "4ed45d06-c9b9-4506-ab7f-18a57example",
"accountId": "123456789012",
"partition": "aws",
"region": "us-east-1",
"type": "SensitiveData:S3Object/Multiple",
"title": "The S3 object contains multiple categories of sensitive data",
"description": "The S3 object contains more than one category of sensitive data.",
"severity": {
"score": 3,
"description": "High"
},
"createdAt": "2024-04-20T18:19:10Z",
"updatedAt": "2024-04-20T18:19:10Z",
"count": 1,
"resourcesAffected": {
"s3Bucket": {
"arn": "arn:aws:s3:::amzn-s3-demo-bucket2",
"name": "amzn-s3-demo-bucket2",
"createdAt": "2020-05-15T20:46:56.000Z",
"owner": {
"displayName": "johndoe",
"id": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example"
},
"tags":[
{
"key":"Division",
"value":"HR"
},
{
"key":"Team",
"value":"Recruiting"
}
],
"defaultServerSideEncryption": {
"encryptionType": "aws:kms",
"kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"publicAccess": {
"permissionConfiguration": {
"bucketLevelPermissions": {
"accessControlList": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"bucketPolicy":{
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"blockPublicAccess": {
"ignorePublicAcls": true,
"restrictPublicBuckets": true,
"blockPublicAcls": true,
"blockPublicPolicy": true
}
},
"accountLevelPermissions": {
"blockPublicAccess": {
"ignorePublicAcls": false,
"restrictPublicBuckets": false,
"blockPublicAcls": false,
"blockPublicPolicy": false
}
}
},
"effectivePermission": "NOT_PUBLIC"
},
"allowsUnencryptedObjectUploads": "TRUE"
},
"s3Object":{
"bucketArn": "arn:aws:s3:::amzn-s3-demo-bucket2",
"key": "2024 Sourcing.csv",
"path": "amzn-s3-demo-bucket2/2024 Sourcing.csv",
"extension": "csv",
"lastModified": "2024-04-19T22:08:25.000Z",
"versionId": "",
"serverSideEncryption": {
"encryptionType": "aws:kms",
"kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"size": 4750,
"storageClass": "STANDARD",
"tags":[
{
"key":"Division",
"value":"HR"
},
{
"key":"Team",
"value":"Recruiting"
}
],
"publicAccess": false,
"etag": "6bb7fd4fa9d36d6b8fb8882caexample"
}
},
"category": "CLASSIFICATION",
"classificationDetails": {
"jobArn": "arn:aws:macie2:us-east-1:123456789012:classification-job/3ce05dbb7ec5505def334104bexample",
"jobId": "3ce05dbb7ec5505def334104bexample",
"result": {
"status": {
"code": "COMPLETE",
"reason": null
},
"sizeClassified": 4750,
"mimeType": "text/csv",
"additionalOccurrences": true,
"sensitiveData": [
{
"category": "PERSONAL_INFORMATION",
"totalCount": 65,
"detections": [
{
"type": "USA_SOCIAL_SECURITY_NUMBER",
"count": 30,
"occurrences": {
"lineRanges": null,
"offsetRanges": null,
"pages": null,
"records": null,
"cells": [
{
"row": 2,
"column": 1,
"columnName": "SSN",
"cellReference": null
},
{
"row": 3,
"column": 1,
"columnName": "SSN",
"cellReference": null
},
{
"row": 4,
"column": 1,
"columnName": "SSN",
"cellReference": null
}
]
}
},
{
"type": "NAME",
"count": 35,
"occurrences": {
"lineRanges": null,
"offsetRanges": null,
"pages": null,
"records": null,
"cells": [
{
"row": 2,
"column": 3,
"columnName": "Name",
"cellReference": null
},
{
"row": 3,
"column": 3,
"columnName": "Name",
"cellReference": null
}
]
}
}
]
},
{
"category": "FINANCIAL_INFORMATION",
"totalCount": 30,
"detections": [
{
"type": "CREDIT_CARD_NUMBER",
"count": 30,
"occurrences": {
"lineRanges": null,
"offsetRanges": null,
"pages": null,
"records": null,
"cells": [
{
"row": 2,
"column": 14,
"columnName": "CCN",
"cellReference": null
},
{
"row": 3,
"column": 14,
"columnName": "CCN",
"cellReference": null
}
]
}
}
]
}
],
"customDataIdentifiers": {
"totalCount": 0,
"detections": []
}
},
"detailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/123456789012/Macie/us-east-1/3ce05dbb7ec5505def334104bexample/d48bf16d-0deb-3e49-9d8c-d407cexample.jsonl.gz",
"originType": "SENSITIVE_DATA_DISCOVERY_JOB"
},
"policyDetails": null,
"sample": true,
"archived": false
}
}
```