Verarbeitung von Macie-Ergebnissen mit Amazon EventBridge - Amazon Macie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verarbeitung von Macie-Ergebnissen mit Amazon EventBridge

Amazon EventBridge, ehemals Amazon CloudWatch Events, ist ein serverloser Event-Bus-Service. EventBridge liefert einen Stream von Echtzeitdaten aus Anwendungen und Services und leitet diese Daten an Ziele wie AWS Lambda Funktionen, Amazon Simple Notification Service (AmazonSNS) -Themen und Amazon Kinesis Kinesis-Streams weiter. Weitere Informationen EventBridge finden Sie im EventBridge Amazon-Benutzerhandbuch.

Mit EventBridge können Sie die Überwachung und Verarbeitung bestimmter Arten von Ereignissen automatisieren. Dazu gehören Ereignisse, die Amazon Macie automatisch veröffentlicht, um neue politische Erkenntnisse und Erkenntnisse zu sensiblen Daten zu erhalten. Dies schließt auch Ereignisse ein, die Macie automatisch veröffentlicht, wenn es zu einem späteren Zeitpunkt zu bestehenden politischen Erkenntnissen kommt. Einzelheiten darüber, wie und wann Macie diese Ereignisse veröffentlicht, finden Sie unter. Konfiguration der Veröffentlichungseinstellungen für Ergebnisse

Mithilfe EventBridge der Ereignisse, die Macie veröffentlicht, können Sie Ergebnisse nahezu in Echtzeit überwachen und verarbeiten. Anschließend können Sie mithilfe anderer Anwendungen und Dienste auf der Grundlage der Ergebnisse handeln. Sie können dies beispielsweise verwenden, EventBridge um bestimmte Arten neuer Ergebnisse an eine AWS Lambda Funktion zu senden. Die Lambda-Funktion verarbeitet dann möglicherweise die Daten und sendet sie an Ihr Security Incident and Event Management (SIEM) -System. Wenn Sie Macie AWS-Benutzerbenachrichtigungen integrieren, können Sie die Ereignisse auch verwenden, um über die von Ihnen angegebenen Übertragungskanäle automatisch über Ergebnisse informiert zu werden.

Zusätzlich zur automatisierten Überwachung und Verarbeitung EventBridge ermöglicht die Verwendung von eine längerfristige Aufbewahrung Ihrer Befunddaten. Macie speichert die Ergebnisse 90 Tage lang. Mit EventBridge können Sie Ergebnisdaten an Ihre bevorzugte Speicherplattform senden und die Daten so lange speichern, wie Sie möchten.

Anmerkung

Für eine langfristige Aufbewahrung können Sie Macie auch so konfigurieren, dass Ihre Ergebnisse der Erkennung sensibler Daten in einem S3-Bucket gespeichert werden. Ein Erkennungsergebnis vertraulicher Daten ist ein Datensatz, der Details zu der Analyse protokolliert, die Macie an einem S3-Objekt durchgeführt hat, um festzustellen, ob das Objekt vertrauliche Daten enthält. Weitere Informationen hierzu finden Sie unter Speicherung und Beibehaltung der Erkennungsergebnisse von vertraulichen Daten.

Mit Amazon arbeiten EventBridge

Mit Amazon erstellen Sie Regeln EventBridge, um festzulegen, welche Ereignisse Sie überwachen möchten und für welche Ziele Sie automatisierte Aktionen für diese Ereignisse ausführen möchten. Ein Ziel ist ein Ziel, EventBridge an das Ereignisse gesendet werden.

Um Überwachungs- und Verarbeitungsaufgaben für Ergebnisse zu automatisieren, können Sie eine EventBridge Regel erstellen, die Amazon Macie-Fundereignisse automatisch erkennt und diese Ereignisse zur Verarbeitung oder anderen Aktion an eine andere Anwendung oder einen anderen Service sendet. Sie können die Regel so anpassen, dass nur die Ereignisse gesendet werden, die bestimmte Kriterien erfüllen. Geben Sie dazu Kriterien an, die sich aus dem EventBridge Amazon-Ereignisschema für Macie-Ergebnisse ableiten.

Sie können beispielsweise eine Regel erstellen, die bestimmte Arten neuer Ergebnisse an eine AWS Lambda Funktion sendet. Die Lambda-Funktion kann dann Aufgaben ausführen wie: die Daten verarbeiten und an Ihr SIEM System senden, automatisch eine bestimmte Art von serverseitiger Verschlüsselung auf ein S3-Objekt anwenden oder den Zugriff auf ein S3-Objekt einschränken, indem Sie die Zugriffskontrollliste des Objekts ändern ()ACL. Oder Sie können eine Regel erstellen, die automatisch neue Ergebnisse mit hohem Schweregrad an ein SNS Amazon-Thema sendet, das dann Ihr Incident-Response-Team über den Befund informiert.

Neben dem Aufrufen von Lambda-Funktionen und der Benachrichtigung von SNS Amazon-Themen werden auch andere Arten von Zielen und Aktionen EventBridge unterstützt, z. B. das Weiterleiten von Ereignissen an Amazon Kinesis-Streams, das Aktivieren von AWS Step Functions Zustandsmaschinen und das Aufrufen des Befehls run. AWS Systems Manager Informationen zu unterstützten Zielen finden Sie unter Event Bus-Ziele im EventBridge Amazon-Benutzerhandbuch.

EventBridge Amazon-Regeln für Macie-Ergebnisse erstellen

In den folgenden Verfahren wird erklärt, wie Sie mit der EventBridge Amazon-Konsole und dem AWS Command Line Interface (AWS CLI) eine EventBridge Regel für Amazon Macie-Ergebnisse erstellen. Die Regel erkennt EventBridge Ereignisse, die das Ereignisschema und -muster für Macie-Ergebnisse verwenden, und sendet diese Ereignisse zur Verarbeitung an eine AWS Lambda Funktion.

AWS Lambda ist ein Rechendienst, mit dem Sie Code ausführen können, ohne Server bereitzustellen oder zu verwalten. Sie verpacken Ihren Code und laden ihn AWS Lambda als Lambda-Funktion hoch. AWS Lambda führt dann die Funktion aus, wenn die Funktion aufgerufen wird. Eine Funktion kann manuell von Ihnen, automatisch als Reaktion auf Ereignisse oder als Reaktion auf Anforderungen von Anwendungen oder Diensten aufgerufen werden. Informationen zum Erstellen und Abrufen und Lambda-Funktionen finden Sie im AWS Lambda -Entwicklerhandbuch.

Console

Gehen Sie wie folgt vor, um mit der EventBridge Amazon-Konsole eine Regel zu erstellen, die automatisch alle Macie-Suchereignisse zur Verarbeitung an eine Lambda-Funktion sendet. Die Regel verwendet Standardeinstellungen für Regeln, die ausgeführt werden, wenn bestimmte Ereignisse empfangen werden. Einzelheiten zu Regeleinstellungen oder wie Sie eine Regel erstellen, die benutzerdefinierte Einstellungen verwendet, finden Sie im EventBridgeAmazon-Benutzerhandbuch unter Regeln erstellen, die auf Ereignisse reagieren.

Tipp

Sie können auch eine Regel erstellen, die ein benutzerdefiniertes Muster verwendet, um nur eine Teilmenge der Macie-Findereignisse zu erkennen und darauf zu reagieren. Diese Teilmenge kann auf bestimmten Feldern basieren, die Macie in ein Findereignis einbezieht. Weitere Informationen zu den verfügbaren Feldern finden Sie unter. EventBridge Amazon-Ereignisschema für Macie-Ergebnisse Weitere Informationen zur Verwendung benutzerdefinierter Muster in Regeln finden Sie unter Erstellen von Ereignismustern im EventBridge Amazon-Benutzerhandbuch.

Bevor Sie diese Regel erstellen, erstellen Sie die Lambda-Funktion, die die Regel als Ziel verwenden soll. Wenn Sie die Regel erstellen, müssen Sie diese Funktion als Ziel für die Regel angeben.

Um eine Ereignisregel mithilfe der Konsole zu erstellen
  1. Öffnen Sie die EventBridge Amazon-Konsole unter https://console.aws.amazon.com/events/.

  2. Wählen Sie im Navigationsbereich unter Busse die Option Regeln aus.

  3. Wählen Sie im Abschnitt Rules (Regeln) die Option Create rule (Regel erstellen) aus.

  4. Gehen Sie auf der Detailseite Regel definieren wie folgt vor:

    • Geben Sie für Rule name (Regelname) einen Namen für die Regel ein.

    • (Optional) Geben Sie unter Beschreibung eine kurze Beschreibung der Regel ein.

    • Stellen Sie sicher, dass für Event Bus die Option Standard ausgewählt ist und die Option Regel auf dem ausgewählten Event-Bus aktivieren aktiviert ist.

    • Bei Rule type (Regeltyp) wählen Sie Rule with an event pattern (Regel mit einem Ereignismuster) aus.

  5. Wenn Sie fertig sind, wählen Sie Next (Weiter) aus.

  6. Gehen Sie auf der Seite Event-Pattern erstellen wie folgt vor:

    • Wählen Sie als Ereignisquelle AWS Ereignisse oder EventBridge Partnerereignisse aus.

    • (Optional) Sehen Sie sich unter Beispielereignis ein Beispiel für ein Findereignis für Macie an, um zu erfahren, was ein Ereignis beinhalten könnte. Wählen Sie dazu AWS Ereignisse aus. Wählen Sie dann für Beispielereignisse die Option Macie Finding aus.

    • Wählen Sie für Erstellungsmethode die Option Musterformular verwenden aus.

    • Geben Sie für Event Pattern die folgenden Einstellungen ein:

      • Wählen Sie für Ereignisquelle die Option AWS-Services aus.

      • Wählen Sie für AWS-ServiceMacie.

      • Wählen Sie als Ereignistyp die Option Macie Finding aus.

  7. Wenn Sie fertig sind, wählen Sie Next (Weiter) aus.

  8. Gehen Sie auf der Seite Ziele auswählen wie folgt vor:

    • Für Target types (Zieltypen), wählen Sie AWS-Service aus.

    • Für Select a target (Ein Ziel auswählen), wählen die Option Lambda function (Lambda-Funktion) aus. Wählen Sie dann für Function die Lambda-Funktion aus, an die Sie Suchereignisse senden möchten.

    • Geben Sie unter Version/Alias konfigurieren die Versions- und Aliaseinstellungen für die Lambda-Zielfunktion ein.

    • (Optional) Geben Sie für Zusätzliche Einstellungen benutzerdefinierte Einstellungen ein, um anzugeben, welche Ereignisdaten Sie an die Lambda-Funktion senden möchten. Sie können auch angeben, wie Ereignisse behandelt werden sollen, die nicht erfolgreich an die Funktion übermittelt wurden.

  9. Wenn Sie fertig sind, wählen Sie Next (Weiter) aus.

  10. Geben Sie auf der Seite Tags konfigurieren optional ein oder mehrere Tags ein, die der Regel zugewiesen werden sollen. Wählen Sie anschließend Weiter.

  11. Überprüfen Sie auf der Seite Überprüfen und erstellen die Einstellungen der Regel und stellen Sie sicher, dass sie korrekt sind.

    Um eine Einstellung zu ändern, wählen Sie in dem Abschnitt, der die Einstellung enthält, Bearbeiten aus und geben Sie dann die richtige Einstellung ein. Sie können auch die Navigationsregisterkarten verwenden, um zu der Seite zu gelangen, die eine Einstellung enthält.

  12. Wenn Sie mit der Überprüfung der Einstellungen fertig sind, wählen Sie Regel erstellen aus.

AWS CLI

Gehen Sie wie folgt vor, um mit der eine EventBridge Regel AWS CLI zu erstellen, die alle Macie-Suchereignisse zur Verarbeitung an eine Lambda-Funktion sendet. Die Regel verwendet Standardeinstellungen für Regeln, die ausgeführt werden, wenn bestimmte Ereignisse empfangen werden. In diesem Verfahren werden die Befehle für Microsoft Windows formatiert. Ersetzen Sie für Linux, macOS oder Unix das Zeilenfortsetzungszeichen Caret (^) durch einen umgekehrten Schrägstrich (\).

Bevor Sie diese Regel erstellen, erstellen Sie die Lambda-Funktion, die die Regel als Ziel verwenden soll. Wenn Sie die Funktion erstellen, notieren Sie sich den Amazon-Ressourcennamen (ARN) der Funktion. Sie müssen dies eingeben, ARN wenn Sie das Ziel für die Regel angeben.

Um eine Ereignisregel zu erstellen, verwenden Sie AWS CLI
  1. Erstellen Sie eine Regel, die Ereignisse für alle Ergebnisse erkennt, für die Macie veröffentlicht. EventBridge Führen Sie dazu den Befehl EventBridge put-rule aus. Beispielsweise:

    C:\> aws events put-rule ^ --name MacieFindings ^ --event-pattern "{\"source\":[\"aws.macie\"]}"

    Wo MacieFindings ist der Name, den Sie für die Regel verwenden möchten.

    Tipp

    Sie können auch eine Regel erstellen, die ein benutzerdefiniertes Muster (event-pattern) verwendet, um nur eine Teilmenge der Macie-Suchereignisse zu erkennen und darauf zu reagieren. Diese Teilmenge kann auf bestimmten Feldern basieren, die Macie in ein Findereignis einbezieht. Weitere Informationen zu den verfügbaren Feldern finden Sie unter. EventBridge Amazon-Ereignisschema für Macie-Ergebnisse Weitere Informationen zur Verwendung benutzerdefinierter Muster in Regeln finden Sie unter Erstellen von Ereignismustern im EventBridge Amazon-Benutzerhandbuch.

    Wenn der Befehl erfolgreich ausgeführt wird, EventBridge antwortet er mit ARN der Regel. Beachten Sie diesARN. Sie müssen ihn in Schritt 3 eingeben.

  2. Geben Sie die Lambda-Funktion an, die als Ziel für die Regel verwendet werden soll. Führen Sie dazu den Befehl EventBridge put-targets aus. Beispielsweise:

    C:\> aws events put-targets ^ --rule MacieFindings ^ --targets Id=1,Arn=arn:aws:lambda:regionalEndpoint:accountID:function:my-findings-function

    Wo MacieFindings ist der Name, den Sie in Schritt 1 für die Regel angegeben haben, und der Wert für den Arn Parameter entspricht ARN der Funktion, die die Regel als Ziel verwenden soll.

  3. Fügen Sie Berechtigungen hinzu, die es der Regel ermöglichen, die Lambda-Zielfunktion aufzurufen. Führen Sie dazu den Lambda-Befehl add-permission aus. Beispielsweise:

    C:\> aws lambda add-permission ^ --function-name my-findings-function ^ --statement-id Sid ^ --action lambda:InvokeFunction ^ --principal events.amazonaws.com ^ --source-arn arn:aws:events:regionalEndpoint:accountId:rule:MacieFindings

    Wobei gilt:

    • my-findings-function ist der Name der Lambda-Funktion, die die Regel als Ziel verwenden soll.

    • Sid ist ein Anweisungsbezeichner, den Sie definieren, um die Anweisung in der Lambda-Funktionsrichtlinie zu beschreiben.

    • source-arnist der Teil ARN der EventBridge Regel.

    Wenn der Befehl erfolgreich ausgeführt wird, erhalten Sie eine Ausgabe, die der folgenden ähnelt:

    { "Statement": "{\"Sid\":\"sid\", \"Effect\":\"Allow\", \"Principal\":{\"Service\":\"events.amazonaws.com\"}, \"Action\":\"lambda:InvokeFunction\", \"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:my-findings-function\", \"Condition\": {\"ArnLike\": {\"AWS:SourceArn\": \"arn:aws:events:us-east-1:111122223333:rule/MacieFindings\"}}}" }

    Der Statement Wert ist eine JSON Zeichenkettenversion der Anweisung, die der Lambda-Funktionsrichtlinie hinzugefügt wurde.