Traitement des résultats de Macie avec Amazon EventBridge - Amazon Macie
Utilisation de EventBridgeCréation de EventBridge règles pour les résultats

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Traitement des résultats de Macie avec Amazon EventBridge

Amazon EventBridge, anciennement Amazon CloudWatch Events, est un service de bus d'événements sans serveur. EventBridge fournit un flux de données en temps réel provenant d'applications et de services, et achemine ces données vers des cibles telles que AWS Lambda les fonctions, les rubriques Amazon Simple Notification Service (AmazonSNS) et les flux Amazon Kinesis. Pour en savoir plusEventBridge, consultez le guide de EventBridge l'utilisateur Amazon.

Vous pouvez ainsi automatiser la surveillance et le traitement de certains types d'événements. EventBridge Cela inclut les événements qu'Amazon Macie publie automatiquement en cas de nouvelles conclusions relatives aux politiques et de données sensibles. Cela inclut également les événements que Macie publie automatiquement pour les occurrences ultérieures de conclusions de politiques existantes. Pour plus de détails sur comment et quand Macie publie ces événements, consultezConfiguration des paramètres de publication pour les résultats.

En utilisant EventBridge les événements publiés par Macie pour les résultats, vous pouvez suivre et traiter les résultats en temps quasi réel. Vous pouvez ensuite agir sur la base des résultats en utilisant d'autres applications et services. Par exemple, vous pouvez l'utiliser EventBridge pour envoyer des types spécifiques de nouveaux résultats à une AWS Lambda fonction. La fonction Lambda peut ensuite traiter et envoyer les données à votre système de gestion des incidents et des événements de sécurité (SIEM). Si vous intégrez les notifications AWS utilisateur à Macie, vous pouvez également utiliser les événements pour être informé automatiquement des résultats via les canaux de diffusion que vous spécifiez.

Outre la surveillance et le traitement automatisés, l'utilisation de EventBridge permet de conserver à long terme les données de vos résultats. Macie conserve les résultats pendant 90 jours. Vous pouvez ainsi envoyer les données des résultats vers votre plateforme de stockage préférée et les stocker aussi longtemps que vous le souhaitez. EventBridge

Note

Pour une conservation à long terme, configurez également Macie pour stocker les résultats de la découverte de vos données sensibles dans un compartiment S3. Un résultat de découverte de données sensibles est un enregistrement qui enregistre les détails de l'analyse effectuée par Macie sur un objet S3 afin de déterminer si l'objet contient des données sensibles. Pour en savoir plus, consultez Stockage et conservation des résultats de découverte de données sensibles.

Travailler avec Amazon EventBridge

Avec Amazon EventBridge, vous créez des règles pour spécifier les événements que vous souhaitez surveiller et les cibles sur lesquelles vous souhaitez effectuer des actions automatisées pour ces événements. Une cible est une destination à laquelle EventBridge des événements sont envoyés.

Pour automatiser les tâches de surveillance et de traitement des résultats, vous pouvez créer une EventBridge règle qui détecte automatiquement les événements de recherche d'Amazon Macie et envoie ces événements à une autre application ou à un autre service pour traitement ou autre action. Vous pouvez personnaliser la règle afin d'envoyer uniquement les événements qui répondent à certains critères. Pour ce faire, spécifiez des critères dérivés deSchéma EventBridge d'événement Amazon pour les résultats de Macie.

Par exemple, vous pouvez créer une règle qui envoie des types de nouveau résultat spécifiques à une fonction AWS Lambda . La fonction Lambda peut ensuite effectuer des tâches telles que : traiter et envoyer les données à votre SIEM système ; appliquer automatiquement un certain type de chiffrement côté serveur à un objet S3 ; ou restreindre l'accès à un objet S3 en modifiant la liste de contrôle d'accès de l'objet (). ACL Vous pouvez également créer une règle qui envoie automatiquement les nouveaux résultats très graves à un SNS sujet Amazon, qui en informe ensuite votre équipe de réponse aux incidents.

Outre l'appel des fonctions Lambda et la notification des rubriques SNS Amazon EventBridge , il prend en charge d'autres types de cibles et d'actions, telles que le relais d'événements vers les flux Amazon Kinesis, l' AWS Step Functions activation de machines d'état et l'appel de la commande run. AWS Systems Manager Pour plus d'informations sur les cibles prises en charge, consultez la section relative aux cibles du bus d'événements dans le guide de EventBridge l'utilisateur Amazon.

Création de EventBridge règles Amazon pour les découvertes de Macie

Les procédures suivantes expliquent comment utiliser la EventBridge console Amazon et le AWS Command Line Interface (AWS CLI) pour créer une EventBridge règle pour les résultats d'Amazon Macie. La règle détecte les EventBridge événements qui utilisent le schéma et le modèle d'événements utilisés pour les résultats de Macie, et elle envoie ces événements à une AWS Lambda fonction pour traitement.

AWS Lambda est un service de calcul que vous pouvez utiliser pour exécuter du code sans provisionner ni gérer de serveurs. Vous empaqueter votre code et le télécharger en AWS Lambda tant que fonction Lambda. AWS Lambda exécute ensuite la fonction lorsque la fonction est invoquée. Une fonction peut être appelée manuellement, par vous, automatiquement en réponse à des événements, ou en réponse à des demandes d'applications ou de services. Pour en savoir plus sur la création et l'invocation de fonctions Lambda, consultez le Guide du développeur AWS Lambda.

Console

Suivez ces étapes pour utiliser la EventBridge console Amazon afin de créer une règle qui envoie automatiquement tous les événements de recherche Macie à une fonction Lambda pour traitement. La règle utilise les paramètres par défaut pour les règles qui s'exécutent lorsque des événements spécifiques sont reçus. Pour en savoir plus sur les paramètres des règles ou pour savoir comment créer une règle utilisant des paramètres personnalisés, consultez la section Création de règles qui réagissent aux événements dans le guide de EventBridge l'utilisateur Amazon.

Astuce

Vous pouvez également créer une règle qui utilise un modèle personnalisé pour détecter et agir uniquement sur un sous-ensemble d'événements de recherche Macie. Ce sous-ensemble peut être basé sur des champs spécifiques que Macie inclut dans un événement de recherche. Pour de plus amples informations sur les champs disponibles, veuillez consulter Schéma EventBridge d'événement Amazon pour les résultats de Macie. Pour en savoir plus sur l'utilisation de modèles personnalisés dans les règles, consultez la section Création de modèles d'événements dans le guide de EventBridge l'utilisateur Amazon.

Avant de créer cette règle, créez la fonction Lambda que vous souhaitez que la règle utilise comme cible. Lorsque vous créez la règle, vous devez spécifier cette fonction comme étant la cible de la règle.

Pour créer une règle d'événement à l'aide de la console

  1. Ouvrez la EventBridge console Amazon à l'adresse https://console.aws.amazon.com/events/.

  2. Dans le volet de navigation, sous Bus, sélectionnez Rules.

  3. Dans la section Rules (Règles) choisissez Create rule (Créer une règle).

  4. Sur la page détaillée de définition de la règle, procédez comme suit :

    • Pour Name (Nom), entrez le nom de la règle.

    • (Facultatif) Dans Description, entrez une brève description de la règle.

    • Pour le bus d'événements, assurez-vous que la valeur par défaut est sélectionnée et que l'option Activer la règle sur le bus d'événements sélectionné est activée.

    • Pour Type de règle, choisissez Règle avec un modèle d’événement.

  5. Lorsque vous avez terminé, choisissez Suivant.

  6. Sur la page Créer un modèle d'événement, procédez comme suit :

    • Dans Source de l'événement, choisissez AWS des événements ou des événements EventBridge partenaires.

    • (Facultatif) Pour Exemple d'événement, consultez un exemple d'événement de recherche pour Macie afin de savoir ce qu'un événement peut contenir. Pour ce faire, choisissez AWS des événements. Ensuite, pour Sample events, choisissez Macie Finding.

    • Pour Méthode de création, choisissez Utiliser le formulaire d’événement.

    • Pour Modèle d'événement, entrez les paramètres suivants :

      • Pour Event source (Source d’événement), choisissez AWS services.

      • Pour AWS service, choisissez Macie.

      • Pour Type d'événement, choisissez Macie Finding.

  7. Lorsque vous avez terminé, choisissez Suivant.

  8. Sur la page Sélectionner des cibles, procédez comme suit :

    • Pour Target types (Types de cibles), choisissez AWS service.

    • Pour Select a target (Sélectionner une cible), choisissez Lambda Function (Fonction Lambda). Ensuite, pour Function, choisissez la fonction Lambda à laquelle vous souhaitez envoyer des événements de recherche.

    • Pour Configurer la version/l'alias, entrez les paramètres de version et d'alias pour la fonction Lambda cible.

    • (Facultatif) Pour Paramètres supplémentaires, entrez des paramètres personnalisés pour spécifier les données d'événement que vous souhaitez envoyer à la fonction Lambda. Vous pouvez également spécifier comment gérer les événements qui ne sont pas transmis correctement à la fonction.

  9. Lorsque vous avez terminé, choisissez Suivant.

  10. Sur la page Configurer les balises, entrez éventuellement une ou plusieurs balises à attribuer à la règle. Ensuite, sélectionnez Suivant.

  11. Sur la page Réviser et créer, passez en revue les paramètres de la règle et vérifiez qu'ils sont corrects.

    Pour modifier un paramètre, choisissez Modifier dans la section contenant le paramètre, puis entrez le paramètre correct. Vous pouvez également utiliser les onglets de navigation pour accéder à la page contenant un paramètre.

  12. Lorsque vous avez terminé de vérifier les paramètres, choisissez Create rule.

AWS CLI

Procédez comme suit pour utiliser le AWS CLI afin de créer une EventBridge règle qui envoie tous les événements de recherche Macie à une fonction Lambda pour traitement. La règle utilise les paramètres par défaut pour les règles qui s'exécutent lorsque des événements spécifiques sont reçus. Dans cette procédure, les commandes sont formatées pour Microsoft Windows. Pour Linux, macOS ou Unix, remplacez le caractère de continuation de ligne (^) par une barre oblique inverse (\).

Avant de créer cette règle, créez la fonction Lambda que vous souhaitez que la règle utilise comme cible. Lorsque vous créez la fonction, notez le nom de ressource Amazon (ARN) de la fonction. Vous devez le saisir ARN lorsque vous spécifiez la cible de la règle.

Pour créer une règle d'événement à l'aide du AWS CLI

  1. Créez une règle qui détecte les événements pour tous les résultats publiés par Macie. EventBridge Pour ce faire, exécutez la commande EventBridge put-rule. Par exemple :

    C:\> aws events put-rule ^
--name MacieFindings ^
--event-pattern "{\"source\":[\"aws.macie\"]}"

    MacieFindings est le nom que vous souhaitez donner à la règle.

    Astuce

    Vous pouvez également créer une règle qui utilise un modèle personnalisé (event-pattern) pour détecter et agir uniquement sur un sous-ensemble d'événements de recherche Macie. Ce sous-ensemble peut être basé sur des champs spécifiques que Macie inclut dans un événement de recherche. Pour de plus amples informations sur les champs disponibles, veuillez consulter Schéma EventBridge d'événement Amazon pour les résultats de Macie. Pour en savoir plus sur l'utilisation de modèles personnalisés dans les règles, consultez la section Création de modèles d'événements dans le guide de EventBridge l'utilisateur Amazon.

    Si la commande s'exécute correctement, EventBridge répond par ARN la règle. Notez ceciARN. Vous devrez l'entrer au cours de l'étape 3.

  2. Spécifiez la fonction Lambda à utiliser comme cible pour la règle. Pour ce faire, exécutez la commande EventBridge put-targets. Par exemple :

    C:\> aws events put-targets ^
--rule MacieFindings ^
--targets Id=1,Arn=arn:aws:lambda:regionalEndpoint:accountID:function:my-findings-function

    MacieFindings est le nom que vous avez spécifié pour la règle à l'étape 1, et la valeur du Arn paramètre est celle ARN de la fonction que vous souhaitez que la règle utilise comme cible.

  3. Ajoutez des autorisations qui permettent à la règle d'appeler la fonction Lambda cible. Pour ce faire, exécutez la commande Lambda add permission. Par exemple :

    C:\> aws lambda add-permission ^
--function-name my-findings-function ^
--statement-id Sid ^
--action lambda:InvokeFunction ^
--principal events.amazonaws.com ^
--source-arn arn:aws:events:regionalEndpoint:accountId:rule:MacieFindings

    Où :

    • my-findings-function est le nom de la fonction Lambda que vous souhaitez que la règle utilise comme cible.

    • Sid est un identifiant d'instruction que vous définissez pour décrire l'instruction dans la politique de fonction Lambda.

    • source-arnc'est ARN la EventBridge règle.

    Si la commande s'exécute correctement, vous recevez un résultat similaire à ce qui suit :

    {
  "Statement": "{\"Sid\":\"sid\",
    \"Effect\":\"Allow\",
    \"Principal\":{\"Service\":\"events.amazonaws.com\"},
    \"Action\":\"lambda:InvokeFunction\",
    \"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:my-findings-function\",
    \"Condition\":
      {\"ArnLike\":
        {\"AWS:SourceArn\":
         \"arn:aws:events:us-east-1:111122223333:rule/MacieFindings\"}}}"
}

    La Statement valeur est une version JSON sous forme de chaîne de l'instruction qui a été ajoutée à la politique de fonction Lambda.