Überwachung der Macie-Ergebnisse mit AWS-Benutzerbenachrichtigungen - Amazon Macie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überwachung der Macie-Ergebnisse mit AWS-Benutzerbenachrichtigungen

AWS-Benutzerbenachrichtigungen ist ein Dienst, der als zentraler Ort für Ihre AWS Benachrichtigungen auf dem AWS Management Console dient. Dazu gehören Benachrichtigungen wie CloudWatch Amazon-Alarme, AWS Support Fälle und Mitteilungen von anderen AWS-Services. Mit Benutzerbenachrichtigungen können Sie benutzerdefinierte Regeln und Lieferkanäle für den Empfang von Benachrichtigungen über bestimmte Arten von EventBridge Amazon-Ereignissen konfigurieren. Zu den Lieferkanälen gehören E-Mail, AWS Chatbot Chat-Benachrichtigungen und AWS Console Mobile Application Push-Benachrichtigungen. Sie können die Benachrichtigungen auch auf der AWS-Benutzerbenachrichtigungen Konsole überprüfen. Weitere Informationen Benutzerbenachrichtigungen dazu finden Sie im AWS-Benutzerbenachrichtigungen Benutzerhandbuch.

Amazon Macie lässt sich integrieren AWS-Benutzerbenachrichtigungen, was bedeutet, dass Sie so konfiguriert werden können, dass Sie über Ereignisse informiert werden, Benutzerbenachrichtigungen zu denen Macie Informationen EventBridge zu Richtlinien und vertraulichen Daten veröffentlicht. Wenn ein Suchereignis den von Ihnen angegebenen Kriterien entspricht, Benutzerbenachrichtigungen wird eine Benachrichtigung generiert. Die Benachrichtigung enthält wichtige Informationen zum zugehörigen Ergebnis, z. B. Art und Schweregrad des Ergebnisses sowie den Namen der betroffenen Ressource. Benutzerbenachrichtigungen kann die Benachrichtigung auch an einen oder mehrere von Ihnen angegebene Zustellungskanäle senden. Sie können Ihre Wahl der Lieferkanäle an Ihre Sicherheits- und Compliance-Workflows anpassen.

Sie können beispielsweise die Konfiguration so konfigurieren Benutzerbenachrichtigungen , dass Benachrichtigungen für bestimmte Arten von neuen Ergebnissen mit hohem Schweregrad generiert werden. Sie können AWS Chatbot auch einen Zustellungskanal für diese Benachrichtigungen angeben. Benutzerbenachrichtigungen erkennt dann EventBridge Ereignisse für die Ergebnisse, generiert Benachrichtigungen, die Daten aus den Ergebnissen enthalten, und sendet die Benachrichtigungen an AWS Chatbot. AWS Chatbot könnte die Benachrichtigungen dann an einen Slack-Channel oder einen Amazon Chime Chime-Chatroom weiterleiten, um Ihr Incident-Response-Team zu benachrichtigen.

Arbeitet mit AWS-Benutzerbenachrichtigungen

Mit erstellen Sie Regeln AWS-Benutzerbenachrichtigungen, um die Arten von EventBridge Amazon-Ereignissen festzulegen, für die Sie Benachrichtigungen überwachen und erhalten möchten. Eine Regel definiert Kriterien, die ein EventBridge Ereignis erfüllen muss, um eine Benachrichtigung zu generieren. Sie können auch einen oder mehrere Lieferkanäle für eine Regel auswählen. Lieferkanäle geben an, wo Sie Benachrichtigungen für Ereignisse erhalten möchten, die den Kriterien einer Regel entsprechen.

Wenn ein EventBridge Ereignis Benutzerbenachrichtigungen erkannt wird, das den Kriterien einer Regel entspricht, führt es die folgenden allgemeinen Aufgaben aus:

  1. Extrahiert eine Teilmenge der Daten aus dem Ereignis.

  2. Generiert eine Benachrichtigung, die die extrahierten Daten enthält.

  3. Sendet die Benachrichtigung an die Zustellungskanäle, die Sie für diesen Ereignistyp angeben.

Das Design und die Struktur der Benachrichtigung sind für jeden Zustellungskanal optimiert, an den sie gesendet wird.

Um die Häufigkeit oder Anzahl der Benachrichtigungen zu steuern, die Sie erhalten, können Sie Aggregationseinstellungen für eine Regel konfigurieren. Wenn Sie diese Einstellungen aktivieren, Benutzerbenachrichtigungen werden Daten für mehrere Ereignisse in einer einzigen Benachrichtigung zusammengefasst. Sie können festlegen, dass aggregierte Ereignisbenachrichtigungen schnell und häufig gesendet werden. Dies ist bei Suchereignissen mit hohem Schweregrad möglicherweise sinnvoll. Oder senden Sie sie seltener, um weniger Benachrichtigungen zu erhalten, was Sie vielleicht bei Findereignissen mit geringem Schweregrad tun sollten. Wenn Sie Ereignisdaten kombinieren, können Sie mithilfe der Konsole einen Drilldown durchführen, um die Details jedes aggregierten Ereignisses zu überprüfen. AWS-Benutzerbenachrichtigungen Von dort aus können Sie auch zu jedem zugehörigen Fund auf der Amazon Macie Macie-Konsole navigieren.

Aktivierung und Konfiguration AWS-Benutzerbenachrichtigungen für Macie Findings

Um Benachrichtigungen für Amazon Macie Macie-Ergebnisse generieren AWS-Benutzerbenachrichtigungen zu können, erstellen Sie eine Benachrichtigungskonfiguration für Macie in. Benutzerbenachrichtigungen Eine Benachrichtigungskonfiguration legt die Kriterien für eine Regel fest. Es legt auch Lieferkanäle und andere Einstellungen für die Überwachung und den Versand von Benachrichtigungen über EventBridge Amazon-Ereignisse fest, die den Kriterien der Regel entsprechen. Ausführliche Informationen zum Erstellen einer Benachrichtigungskonfiguration finden Sie unter Erste Schritte mit AWS-Benutzerbenachrichtigungen im AWS-Benutzerbenachrichtigungen Benutzerhandbuch.

Um eine Benachrichtigungskonfiguration für Macie-Ergebnisse zu erstellen, wählen Sie die folgenden Optionen für die Ereignisregel:

  • Wählen Sie als AWS-Service Namen Macie aus.

  • Wählen Sie als Ereignistyp Macie Finding aus.

  • Wählen Sie unter Regionen die Regionen aus, AWS-Region in denen Sie Macie verwenden und über die Ergebnisse informiert werden möchten.

Bei dieser Konfiguration werden EventBridge Ereignisse für Sie Benutzerbenachrichtigungen überwacht AWS-Konto und Benachrichtigungen für alle Macie-Suchereignisse in den von Ihnen ausgewählten Regionen generiert. Die Ereignisse entsprechen den folgenden Kriterien:

  • sourceentspricht aws.macie

  • detail-typeist gleich Macie Finding

Das zugrunde liegende JSON Muster für die Ereignisregel ist:

{ "source": ["aws.macie"], "detail-type": ["Macie Finding"] }

Um die Regel zu verfeinern und Benachrichtigungen nur für eine Teilmenge der Ergebnisse zu generieren, können Sie das JSON Muster für die Regel anpassen. Geben Sie dazu zusätzliche Kriterien an, die sich aus dem ableiten. EventBridge Amazon-Ereignisschema für Macie-Ergebnisse

Wenn Sie eine Regel erstellen, die ein benutzerdefiniertes JSON Muster verwendet, können Sie mehrere Benachrichtigungskonfigurationen für Macie-Ergebnisse erstellen. Anschließend können Sie die Übermittlungskanäle und andere Einstellungen für jede Konfiguration an Ihre Sicherheits- und Compliance-Workflows für bestimmte Arten von Ergebnissen anpassen.

Sie könnten beispielsweise eine Regel erstellen, die Sie benachrichtigt, wenn Macie eine generiert oder aktualisiert Policy:IAMUser/S3BucketPublicfinden. In diesem Fall könnte das Muster für die Regel wie folgt aussehen:

{ "source": ["aws.macie"], "detail-type": ["Macie Finding"], "detail": { "type": ["Policy:IAMUser/S3BucketPublic"] } }

Und Sie könnten eine weitere Regel erstellen, die Sie benachrichtigt, wenn Macie einen Fund sensibler Daten für einen öffentlich zugänglichen S3-Bucket generiert. In diesem Fall könnte das Muster für die Regel wie folgt aussehen:

{ "source": ["aws.macie"], "detail-type": ["Macie Finding"], "detail": { "type": [ { "prefix": "SensitiveData" } ], "resourcesAffected": { "effectivePermission": ["PUBLIC"] } } }

Wenn Sie mehrere Benachrichtigungskonfigurationen für Macie-Ergebnisse erstellen, sollten Sie sicherstellen, dass die Regel für jede Konfiguration eindeutig ist. Andernfalls erhalten Sie möglicherweise doppelte Benachrichtigungen für einzelne Ergebnisse.

Weitere Informationen zum Anpassen von Ereignismustern für Regeln finden Sie im AWS-Benutzerbenachrichtigungen Benutzerhandbuch unter Verwenden von benutzerdefinierten JSON Ereignismustern.

AWS-Benutzerbenachrichtigungen Felder den Macie-Suchfeldern zuordnen

Wenn eine Benachrichtigung für ein Amazon Macie Macie-Ergebnis AWS-Benutzerbenachrichtigungen generiert wird, füllt es die Benachrichtigung mit Daten aus einer Teilmenge von Feldern im entsprechenden Amazon-Ereignis. EventBridge Diese Felder enthalten wichtige Informationen zum zugehörigen Ergebnis, z. B. Art und Schweregrad des Ergebnisses sowie den Namen der betroffenen Ressource.

Wenn Sie eine Benachrichtigung auf der AWS-Benutzerbenachrichtigungen Konsole überprüfen, enthält die Benachrichtigung alle Daten für diese Teilmenge von Feldern. Es enthält auch einen Link zu dem zugehörigen Ergebnis auf der Amazon Macie Macie-Konsole. Wenn Sie eine Benachrichtigung in anderen Lieferkanälen überprüfen, enthält sie möglicherweise nur Daten für einige der Felder. Das liegt daran, Benutzerbenachrichtigungen dass das Design und die Struktur der Benachrichtigungen so angepasst werden, dass sie für jeden unterstützten Lieferkanaltyp geeignet sind.

In der folgenden Tabelle sind die Felder aufgeführt, die in einer Benachrichtigung über ein Ergebnis enthalten sein könnten. In der Tabelle beschreibt die Spalte Benachrichtigungsfeld den Namen eines Felds in einer Benachrichtigung (kursiv) oder gibt diesen an. In der Spalte „Suchereignis“ wird in Punktschreibweise der Name des entsprechenden JSON Felds in einem EventBridge Ereignis für einen Befund angegeben. In der Spalte Beschreibung werden die Daten beschrieben, die in dem Feld gespeichert sind.

Feld „Benachrichtigung“ Event-Feld wird gesucht Beschreibung

Überschrift der Nachricht

detail.type

Der Typ des Ergebnisses.

Beispiel: Policy:IAMUser/S3BucketPublic oder SensitiveData:S3Object/Financial.

Übersicht

detail.title

Die kurze Beschreibung des Ergebnisses.

Zum Beispiel: The S3 object contains financial information.

Beschreibung

detail.description

Die vollständige Beschreibung des Ergebnisses.

Zum Beispiel: The S3 object contains financial information such as bank account numbers or credit card numbers.

Schweregrad

detail.severity.description

Die qualitative Darstellung des Schweregrads des Befundes:Low,Medium, oderHigh.

Die ID des Ergebnisses

detail.id

Die eindeutige Kennung für den Befund.

Erstellt

detail.createdAt

Datum und Uhrzeit der Erstellung des Ergebnisses durch Macie.

Aktualisiert

detail.updatedAt

Datum und Uhrzeit der letzten Aktualisierung des Ergebnisses durch Macie.

Bei Ergebnissen mit sensiblen Daten entspricht dieser Wert dem Wert für das Feld Created (detail.createdAt). Alle Ergebnisse sensibler Daten werden als neu (einzigartig) betrachtet.

Betroffener S3-Bucket

detail.resourcesAffected.s3Bucket.arn

Der Amazon-Ressourcenname (ARN) des betroffenen S3-Buckets.

Betroffenes S3-Objekt

detail.resourcesAffected.s3Object.path

Der Name (Schlüssel) des betroffenen S3-Objekts, einschließlich des Namens des Buckets, in dem das Objekt gespeichert ist, und gegebenenfalls des Präfixes des Objekts.

Dieses Feld ist nicht in Benachrichtigungen für Richtlinienfeststellungen enthalten.

Erkennung sensibler Daten

detail.classificationDetails.result.sensitiveData.detections...

Und/oder

detail.classificationDetails.result.customDataIdentifiers.detections...

Dies ist eine Verkettung mehrerer Felder in einem Ereignis, bei dem sensible Daten gefunden werden. Dieses Feld ist nicht in Benachrichtigungen zu politischen Ergebnissen enthalten.

Wenn eine verwaltete Daten-ID die sensiblen Daten erkannt hat, gibt dieses Feld die Kategorie, den Typ und die Anzahl (count) der Vorkommen der erkannten vertraulichen Daten an. Beispiel: PERSONAL_INFORMATION: USA_SOCIAL_SECURITY_NUMBER 100 occurrences.

Wenn eine benutzerdefinierte Daten-ID die vertraulichen Daten erkannt hat, gibt dieses Feld den Namen der benutzerdefinierten Daten-ID und die Anzahl (count) der Vorkommen der vertraulichen Daten an, die erkannt wurden. Beispiel: Employee ID 20 occurrences.

Wenn ein Ergebnis mehrere Arten vertraulicher Daten meldet, enthält die Benachrichtigung Daten für bis zu vier Typen. Die Daten werden zuerst mit allen zutreffenden benutzerdefinierten Datenkennungen und dann mit allen zutreffenden verwalteten Datenkennungen aufgefüllt.

AWS-Benutzerbenachrichtigungen Einstellungen für Macie-Ergebnisse ändern

Sie können Ihre AWS-Benutzerbenachrichtigungen Einstellungen für Amazon Macie Macie-Ergebnisse jederzeit ändern. Bearbeiten Sie dazu die Benachrichtigungskonfiguration in Benutzerbenachrichtigungen. Wie das geht, erfahren Sie im AWS-Benutzerbenachrichtigungen Benutzerhandbuch unter Verwaltung von Benachrichtigungskonfigurationen.

Wenn Sie mehrere Benachrichtigungskonfigurationen für Macie-Befunde haben, hat das Ändern der Einstellungen für eine Konfiguration keine Auswirkungen auf die Einstellungen für Ihre anderen Konfigurationen. Sie können alle oder nur einige Ihrer Konfigurationen bearbeiten.

Deaktivierung AWS-Benutzerbenachrichtigungen für Macie-Ergebnisse

Um das Generieren und Empfangen von Benachrichtigungen AWS-Benutzerbenachrichtigungen für Amazon Macie Macie-Ergebnisse zu beenden, löschen Sie die Benachrichtigungskonfiguration in Benutzerbenachrichtigungen. Wie das geht, erfahren Sie im AWS-Benutzerbenachrichtigungen Benutzerhandbuch unter Verwaltung von Benachrichtigungskonfigurationen.

Wenn Sie mehrere Benachrichtigungskonfigurationen für Macie-Befunde haben, hat das Löschen einer Konfiguration keine Auswirkungen auf Ihre anderen Konfigurationen. Sie können alle oder nur einige Ihrer Konfigurationen löschen.