Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Procesando los hallazgos de Macie con Amazon EventBridge
Amazon EventBridge, anteriormente Amazon CloudWatch Events, es un servicio de autobús para eventos sin servidor. EventBridge ofrece un flujo de datos en tiempo real desde aplicaciones y servicios y dirige esos datos a objetivos como AWS Lambda funciones, temas de Amazon Simple Notification Service (AmazonSNS) y transmisiones de Amazon Kinesis. Para obtener más informaciónEventBridge, consulta la Guía del EventBridge usuario de Amazon.
Con EventBridge él, puede automatizar el monitoreo y el procesamiento de ciertos tipos de eventos. Esto incluye eventos que Amazon Macie publica automáticamente para nuevos resultados de políticas y resultados información confidencial. También incluye los eventos que Macie publica automáticamente para que se repitan posteriormente los resultados de las políticas existentes. Para obtener más información sobre cómo y cuándo Macie publica estos eventos, consulte Configuración de los ajustes de publicación de los resultados .
Al utilizar EventBridge los eventos que Macie publica para sus hallazgos, puede monitorear y procesar los hallazgos casi en tiempo real. A continuación, podrá actuar en función de los resultados mediante el uso de otras aplicaciones y servicios. Por ejemplo, se puede utilizar EventBridge para enviar tipos específicos de nuevos hallazgos a una AWS Lambda función. A continuación, la función Lambda podría procesar y enviar los datos a su sistema de gestión de incidentes y eventos de seguridad (SIEM). Si se integra AWS User Notifications con Macie, también puede utilizar los eventos para recibir notificaciones automáticas de los hallazgos a través de los canales de distribución que especifique.
Además de la supervisión y el procesamiento automatizados, el uso de EventBridge permite conservar los datos de sus hallazgos a más largo plazo. Macie guarda los resultados durante 90 días. Con EventBridge él, puede enviar los datos de los hallazgos a su plataforma de almacenamiento preferida y almacenar los datos durante el tiempo que desee.
Para la retención a largo plazo, configure Macie para almacenar los resultados de la detección de información confidencial en un bucket de S3. Un resultado de detección de datos confidenciales es un registro de los detalles sobre el análisis que Macie realizó en un objeto de S3 para determinar si el objeto contiene datos sensibles. Para obtener más información, consulte Almacenamiento y retención de los resultados de descubrimiento de datos confidenciales.
Trabajando con Amazon EventBridge
Con Amazon EventBridge, creas reglas para especificar qué eventos quieres monitorizar y qué objetivos quieres que realicen acciones automatizadas para esos eventos. Un objetivo es un destino EventBridge al que se envían eventos.
Para automatizar las tareas de supervisión y procesamiento de los hallazgos, puede crear una EventBridge regla que detecte automáticamente los eventos de búsqueda de Amazon Macie y los envíe a otra aplicación o servicio para su procesamiento o cualquier otra acción. Puede personalizar la regla para que envíe solo los eventos que cumplan determinados criterios. Para ello, especifique los criterios que se deriven de Esquema de EventBridge eventos de Amazon para los hallazgos de Macie.
Por ejemplo, puede crear una regla que envíe tipos específicos de nuevos resultados a una función de AWS Lambda
. La función Lambda puede entonces realizar tareas como: procesar y enviar los datos al SIEM sistema; aplicar automáticamente un determinado tipo de cifrado del lado del servidor a un objeto S3; o restringir el acceso a un objeto S3 cambiando la lista de control de acceso del objeto (). ACL También puedes crear una regla que envíe automáticamente los nuevos hallazgos de alta gravedad a un SNS tema de Amazon y, a continuación, notifique el hallazgo a tu equipo de respuesta a incidentes.
Además de invocar funciones de Lambda y notificar temas de SNS Amazon EventBridge , admite otros tipos de objetivos y acciones, como la retransmisión de eventos a las transmisiones de Amazon Kinesis, la AWS Step Functions activación de máquinas de estado y la invocación del comando run. AWS Systems Manager Para obtener información sobre los objetivos compatibles, consulta los objetivos de Event Bus en la Guía del EventBridge usuario de Amazon.
Creando EventBridge reglas de Amazon para los hallazgos de Macie
En los siguientes procedimientos se explica cómo utilizar la EventBridge consola de Amazon y el AWS Command Line Interface
(AWS CLI) para crear una EventBridge regla para las conclusiones de Amazon Macie. La regla detecta EventBridge los eventos que utilizan el esquema y el patrón de eventos para los hallazgos de Macie y los envía a una AWS Lambda función para su procesamiento.
AWS Lambda es un servicio informático que puede utilizar para ejecutar código sin aprovisionar ni administrar servidores. Empaqueta el código y lo carga AWS Lambda como una función Lambda. AWS Lambda luego ejecuta la función cuando se invoca la función. Una función se puede invocar manualmente, automáticamente en respuesta a eventos o en respuesta a solicitudes de aplicaciones o servicios. Para obtener más información acerca de crear e invocar funciones de Lambda, consulte la AWS Lambda Guía para desarrolladores.
- Console
-
Siga estos pasos para usar la EventBridge consola de Amazon y crear una regla que envíe automáticamente todos los eventos de búsqueda de Macie a una función de Lambda para su procesamiento. La regla usa la configuración predeterminada para las reglas que se ejecutan cuando se reciben eventos específicos. Para obtener más información sobre la configuración de las reglas o para aprender a crear una regla que utilice una configuración personalizada, consulte Creación de reglas que reaccionen a los eventos en la Guía del EventBridge usuario de Amazon.
También puede crear una regla que utilice un patrón de eventos personalizado para detectar y actuar únicamente sobre un subconjunto de eventos de resultados de MAcie.. Este subconjunto se puede basar en campos específicos que Macie incluya en un evento de resultado. Para obtener más información sobre los campos disponibles, consulte Esquema de EventBridge eventos de Amazon para los hallazgos de Macie. Para obtener información sobre el uso de patrones personalizados en las reglas, consulta Cómo crear patrones de eventos en la Guía del EventBridge usuario de Amazon.
Antes de crear la regla, cree la función de Lambda que quiere que la regla utilice como destino. Cuando cree la regla, tendrá que especificar esta función como destino.
Crear una regla para un evento utilizando la consola de
Abre la EventBridge consola de Amazon en https://console.aws.amazon.com/events/.
-
En el panel de navegación, en Autobuses, selecciona Reglas.
-
En la sección Rules (Reglas ), elija Create rule (Crear regla).
-
En la página Definir detalle de la regla, haga lo siguiente:
-
En Name (Nombre), ingrese el nombre de la regla.
-
(Opcional) En Descripción, ingrese una breve descripción de la regla de autorización.
-
En el caso del Bus de eventos, asegúrese de que esté seleccionada la opción predeterminada y que esté activada la opción Habilitar la regla en el bus de eventos seleccionado.
-
En Tipo de regla, elija Regla con un patrón de evento.
-
Cuando haya terminado, elija Siguiente.
-
En la página Crear patrón de evento, realice una de las siguientes acciones:
-
En Origen del evento, selecciona AWS eventos o eventos EventBridge asociados.
-
(Opcional) En el caso de un evento de muestra, revise un ejemplo de evento de resultados para que Macie sepa qué puede contener un evento. Para ello, seleccione AWS
eventos. A continuación, en Ejemplos de eventos, seleccione Resultados de Macie.
-
En Método de creación, elija Usar forma de patrón.
-
En Patrón de eventos, introduce los siguientes ajustes:
-
En Origen del evento, elija Servicios de AWS.
-
Para Servicio de AWS, elija Macie.
-
En Tipo de evento, elija Resultado de Macie.
-
Cuando haya terminado, elija Siguiente.
-
En la página Seleccionar destinos, haga lo siguiente:
-
Para Target types (Tipos de destino), elija Servicio de AWS.
-
En Select a target (Seleccione destino), elija Lambda function (Función de Lambda). Luego, en Función, elija la función de Lambda a la que quiera enviar los eventos de resultados.
-
En Configurar version/alias, ingrese la configuración de versión y alias de la función de Lambda de destino.
-
(Opcional) En Configuración adicional, introduzca una configuración personalizada para especificar qué datos de eventos desea enviar a la función de Lambda. También puede especificar cómo gestionar los eventos que no se envíen correctamente a la función.
-
Cuando haya terminado, elija Siguiente.
-
En la página Configurar etiquetas, si lo desea, introduzca una o más etiquetas para asignarlas a la regla. A continuación, elija Next.
-
En la página Revisar y crear, revise cada configuración y compruebe que es correcta.
Para cambiar una configuración, elija Editar en la sección que contiene la configuración y, a continuación, escriba la configuración adecuada. También puede usar las pestañas de navegación para ir a la página que contiene una configuración.
-
Cuando termine de verificar la configuración, elija Crear regla.
- AWS CLI
-
Siga estos pasos AWS CLI para crear una EventBridge regla que envíe todos los eventos de búsqueda de Macie a una función Lambda para su procesamiento. La regla usa la configuración predeterminada para las reglas que se ejecutan cuando se reciben eventos específicos. En este procedimiento, los comandos se formatean para Microsoft Windows. Para Unix, Linux y macOS, reemplace el carácter de continuación de línea de intercalación (^) por una barra invertida (\).
Antes de crear la regla, cree la función de Lambda que quiere que la regla utilice como destino. Al crear la función, anote el nombre del recurso de Amazon (ARN) de la función. Deberás introducirlo ARN cuando especifiques el objetivo de la regla.
Para crear una regla de eventos mediante el AWS CLI
-
Cree una regla que detecte los eventos de todos los hallazgos en los que Macie publique. EventBridge Para ello, ejecute el comando EventBridge put-rule. Por ejemplo:
C:\>
aws events put-rule ^
--name MacieFindings
^
--event-pattern "{\"source\":[\"aws.macie\"]}"
Donde MacieFindings
es el nombre que desea para la regla.
También puede crear una regla que utilice un patrón personalizado (event-pattern
) para detectar únicamente un subconjunto de eventos de búsqueda de Macie y actuar en consecuencia. Este subconjunto se puede basar en campos específicos que Macie incluya en un evento de resultado. Para obtener más información sobre los campos disponibles, consulte Esquema de EventBridge eventos de Amazon para los hallazgos de Macie. Para obtener información sobre el uso de patrones personalizados en las reglas, consulta Cómo crear patrones de eventos en la Guía del EventBridge usuario de Amazon.
Si el comando se ejecuta correctamente, EventBridge responde con ARN la regla. Tenga en cuenta estoARN. Tendrá que ingresarlo en el paso 3.
-
Especifique la función de Lambda que se va a utilizar como destino de la regla. Para ello, ejecute el comando EventBridge put-targets. Por ejemplo:
C:\>
aws events put-targets ^
--rule MacieFindings
^
--targets Id=1,Arn=arn:aws:lambda:regionalEndpoint:accountID:function:my-findings-function
Donde MacieFindings
es el nombre que especificó para la regla en el paso 1 y el valor del Arn
parámetro es el ARN de la función que desea que la regla utilice como destino.
-
Agregue permisos que permitan a la regla invocar la función de Lambda de destino. Para ello, ejecute el comando Lambda add-permission. Por ejemplo:
C:\>
aws lambda add-permission ^
--function-name my-findings-function
^
--statement-id Sid
^
--action lambda:InvokeFunction ^
--principal events.amazonaws.com ^
--source-arn arn:aws:events:regionalEndpoint:accountId:rule:MacieFindings
Donde:
-
my-findings-function
es el nombre de la función Lambda que desea que la regla utilice como destino.
-
Sid
es un identificador de sentencia que se define para describir la sentencia en la política de funciones de Lambda.
-
source-arn
es el ARN de la EventBridge regla.
Si el comando se ejecuta correctamente, verá un resultado similar al siguiente:
{
"Statement": "{\"Sid\":\"sid\",
\"Effect\":\"Allow\",
\"Principal\":{\"Service\":\"events.amazonaws.com\"},
\"Action\":\"lambda:InvokeFunction\",
\"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:my-findings-function\",
\"Condition\":
{\"ArnLike\":
{\"AWS:SourceArn\":
\"arn:aws:events:us-east-1:111122223333:rule/MacieFindings\"}}}"
}
El Statement
valor es una versión en JSON cadena de la sentencia que se agregó a la política de funciones de Lambda.