Memproses temuan Macie dengan Amazon EventBridge - Amazon Macie
Bekerja dengan EventBridgeMembuat EventBridge aturan untuk temuan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memproses temuan Macie dengan Amazon EventBridge

Amazon EventBridge, sebelumnya Amazon CloudWatch Events, adalah layanan bus acara tanpa server. EventBridge mengirimkan aliran data real-time dari aplikasi dan layanan, dan merutekan data tersebut ke target seperti AWS Lambda fungsi, topik Amazon Simple Notification Service (AmazonSNS), dan aliran Amazon Kinesis. Untuk mempelajari selengkapnyaEventBridge, lihat Panduan EventBridge Pengguna Amazon.

Dengan EventBridge, Anda dapat mengotomatiskan pemantauan dan pemrosesan jenis acara tertentu. Ini termasuk peristiwa yang Amazon Macie publikasikan secara otomatis untuk temuan kebijakan baru dan temuan data sensitif. Ini juga mencakup peristiwa yang dipublikasikan oleh Macie secara otomatis untuk kejadian berikutnya dari temuan kebijakan yang ada. Untuk detail tentang cara dan waktu Macie memublikasikan peristiwa ini, lihat Mengonfigurasi pengaturan publikasi untuk temuan.

Dengan menggunakan EventBridge dan peristiwa yang diterbitkan Macie untuk temuan, Anda dapat memantau dan memproses temuan dalam waktu dekat. Anda kemudian dapat bertindak berdasarkan temuan dengan menggunakan aplikasi dan layanan lain. Misalnya, Anda mungkin menggunakannya EventBridge untuk mengirim jenis temuan baru tertentu ke suatu AWS Lambda fungsi. Fungsi Lambda kemudian dapat memproses dan mengirim data ke sistem manajemen insiden dan peristiwa keamanan Anda. SIEM Jika Anda mengintegrasikan Pemberitahuan AWS Pengguna dengan Macie, Anda juga dapat menggunakan acara untuk diberitahu tentang temuan secara otomatis melalui saluran pengiriman yang Anda tentukan.

Selain pemantauan dan pemrosesan otomatis, penggunaan EventBridge memungkinkan retensi jangka panjang dari data temuan Anda. Macie menyimpan temuan selama 90 hari. Dengan EventBridge, Anda dapat mengirim data temuan ke platform penyimpanan pilihan Anda dan menyimpan data selama yang Anda suka.

catatan

Untuk retensi jangka panjang, konfigurasikan juga Macie untuk menyimpan hasil penemuan data sensitif Anda dalam bucket S3. Hasil penemuan data sensitif adalah catatan yang mencatat detail tentang analisis yang dilakukan Macie pada objek S3 untuk menentukan apakah objek tersebut berisi data sensitif. Untuk mempelajari selengkapnya, lihat Menyimpan dan mempertahankan hasil penemuan data sensitif.

Bekerja dengan Amazon EventBridge

Dengan Amazon EventBridge, Anda membuat aturan untuk menentukan peristiwa mana yang ingin Anda pantau dan target mana yang ingin Anda lakukan tindakan otomatis untuk peristiwa tersebut. Target adalah tujuan yang EventBridge mengirimkan acara ke.

Untuk mengotomatiskan pemantauan dan pemrosesan tugas untuk temuan, Anda dapat membuat EventBridge aturan yang secara otomatis mendeteksi peristiwa pencarian Amazon Macie dan mengirimkan peristiwa tersebut ke aplikasi atau layanan lain untuk diproses atau tindakan lainnya. Anda dapat menyesuaikan aturan untuk mengirim hanya peristiwa yang memenuhi kriteria tertentu. Untuk melakukan ini, tentukan kriteria yang berasal dari. Skema EventBridge acara Amazon untuk temuan Macie

Misalnya, Anda dapat membuat aturan yang mengirimkan tipe temuan baru tertentu ke fungsi AWS Lambda . Fungsi Lambda kemudian dapat melakukan tugas-tugas seperti: memproses dan mengirim data ke SIEM sistem Anda; secara otomatis menerapkan jenis enkripsi sisi server tertentu ke objek S3; atau, membatasi akses ke objek S3 dengan mengubah daftar kontrol akses objek (). ACL Atau Anda dapat membuat aturan yang secara otomatis mengirimkan temuan tingkat keparahan tinggi baru ke SNS topik Amazon, yang kemudian memberi tahu tim respons insiden Anda tentang temuan tersebut.

Selain menjalankan fungsi Lambda dan memberi tahu topik SNS Amazon EventBridge , mendukung jenis target dan tindakan lainnya, seperti menyampaikan peristiwa ke aliran Amazon Kinesis, AWS Step Functions mengaktifkan mesin status, dan menjalankan perintah run. AWS Systems Manager Untuk informasi tentang target yang didukung, lihat Target bus acara di Panduan EventBridge Pengguna Amazon.

Membuat EventBridge aturan Amazon untuk temuan Macie

Prosedur berikut menjelaskan cara menggunakan EventBridge konsol Amazon dan AWS Command Line Interface (AWS CLI) untuk membuat EventBridge aturan untuk temuan Amazon Macie. Aturan mendeteksi EventBridge peristiwa yang menggunakan skema dan pola peristiwa untuk temuan Macie, dan mengirimkan peristiwa tersebut ke AWS Lambda fungsi untuk diproses.

AWS Lambda adalah layanan komputasi yang dapat Anda gunakan untuk menjalankan kode tanpa menyediakan atau mengelola server. Anda mengemas kode Anda dan mengunggahnya AWS Lambda sebagai fungsi Lambda. AWS Lambda kemudian menjalankan fungsi ketika fungsi dipanggil. Fungsi dapat dipanggil secara manual oleh Anda, secara otomatis dalam respons terhadap peristiwa, atau dalam merespons atas permintaan dari aplikasi atau layanan. Untuk informasi tentang membuat dan memanggil fungsi Lambda, lihat Panduan Developer AWS Lambda.

Console

Ikuti langkah-langkah berikut untuk menggunakan EventBridge konsol Amazon untuk membuat aturan yang secara otomatis mengirimkan semua peristiwa pencarian Macie ke fungsi Lambda untuk diproses. Aturan menggunakan pengaturan default untuk aturan yang berjalan saat peristiwa tertentu diterima. Untuk detail tentang setelan aturan atau mempelajari cara membuat aturan yang menggunakan setelan khusus, lihat Membuat aturan yang bereaksi terhadap peristiwa di Panduan EventBridge Pengguna Amazon.

Tip

Anda juga dapat membuat aturan yang menggunakan pola kustom untuk mendeteksi dan hanya bertindak atas subset dari peristiwa temuan Macie. Subset ini dapat didasarkan pada bidang tertentu yang Macie sertakan dalam peristiwa temuan. Untuk mempelajari bidang yang tersedia, lihat Skema EventBridge acara Amazon untuk temuan Macie. Untuk mempelajari cara menggunakan pola kustom dalam aturan, lihat Membuat pola peristiwa di Panduan EventBridge Pengguna Amazon.

Sebelum Anda membuat aturan ini, buat fungsi Lambda yang Anda inginkan aturan tersebut digunakan sebagai target. Saat Anda membuat aturan tersebut, Anda harus menentukan fungsi ini sebagai target aturan.

Untuk membuat aturan peristiwa dengan menggunakan konsol tersebut

  1. Buka EventBridge konsol Amazon di https://console.aws.amazon.com/events/.

  2. Di panel navigasi, di bawah Bus, pilih Aturan.

  3. Di bagian Aturan, pilih Buat aturan.

  4. Pada halaman Define rule detail, lakukan hal berikut:

    • Untuk Nama, masukkan nama untuk aturan.

    • (Opsional) Untuk Deskripsi, masukkan deskripsi singkat tentang aturan.

    • Untuk bus Acara, pastikan bahwa default dipilih dan Aktifkan aturan pada bus acara yang dipilih diaktifkan.

    • Untuk Tipe aturan, pilih Aturan dengan pola peristiwa.

  5. Setelah selesai, pilih Selanjutnya.

  6. Pada halaman pola acara Build, lakukan hal berikut:

    • Untuk sumber Acara, pilih AWS acara atau acara EventBridge mitra.

    • (Opsional) Untuk acara Sampel, tinjau peristiwa pencarian sampel untuk Macie untuk mempelajari apa yang mungkin terkandung dalam suatu peristiwa. Untuk melakukan ini, pilih AWS acara. Kemudian, untuk acara Contoh, pilih Macie Finding.

    • Untuk metode Creation, pilih Gunakan formulir pola.

    • Untuk pola Acara, masukkan pengaturan berikut:

      • Untuk Sumber peristiwa, pilih AWS layanan.

      • Untuk AWS layanan, pilih Macie.

      • Untuk Tipe kejadian, pilih Temuan Macie.

  7. Setelah selesai, pilih Selanjutnya.

  8. Pada halaman Pilih target, lakukan hal berikut:

    • Untuk Tipe target, pilih AWS layanan.

    • Untuk Pilih target, pilih Fungsi Lambda. Kemudian, untuk Fungsi, pilih fungsi Lambda yang ingin Anda kirimi acara pencarian.

    • Untuk Konfigurasi versi/alias, masukkan pengaturan versi dan alias untuk fungsi Lambda target.

    • (Opsional) Untuk Pengaturan tambahan, masukkan pengaturan khusus untuk menentukan data peristiwa mana yang ingin Anda kirim ke fungsi Lambda. Anda juga dapat menentukan cara menangani peristiwa yang tidak berhasil dikirim ke fungsi.

  9. Setelah selesai, pilih Selanjutnya.

  10. Pada halaman Konfigurasi tag, secara opsional masukkan satu atau beberapa tag untuk ditetapkan ke aturan. Lalu pilih Berikutnya.

  11. Pada halaman Tinjau dan buat, tinjau setelan aturan dan verifikasi apakah sudah benar.

    Untuk mengubah pengaturan, pilih Edit di bagian yang berisi pengaturan, lalu masukkan pengaturan yang benar. Anda juga dapat menggunakan tab navigasi untuk membuka halaman yang berisi pengaturan.

  12. Setelah selesai memverifikasi pengaturan, pilih Buat aturan.

AWS CLI

Ikuti langkah-langkah ini untuk menggunakan aturan AWS CLI untuk membuat EventBridge aturan yang mengirimkan semua peristiwa pencarian Macie ke fungsi Lambda untuk diproses. Aturan menggunakan pengaturan default untuk aturan yang berjalan saat peristiwa tertentu diterima. Dalam prosedur ini, perintah diformat untuk Microsoft Windows. Untuk Linux, macOS, atau Unix, ganti karakter kelanjutan baris tanda sisipan (^) dengan garis miring terbalik (\).

Sebelum Anda membuat aturan ini, buat fungsi Lambda yang Anda inginkan aturannya untuk digunakan sebagai target. Saat Anda membuat fungsi, perhatikan Amazon Resource Name (ARN) dari fungsi tersebut. Anda harus memasukkan ini ARN ketika Anda menentukan target untuk aturan.

Untuk membuat aturan acara dengan menggunakan AWS CLI

  1. Buat aturan yang mendeteksi peristiwa untuk semua temuan yang diterbitkan Macie. EventBridge Untuk melakukan ini, jalankan perintah EventBridge put-rule. Sebagai contoh:

    C:\> aws events put-rule ^
--name MacieFindings ^
--event-pattern "{\"source\":[\"aws.macie\"]}"

    Di mana MacieFindings adalah nama yang Anda inginkan untuk aturan tersebut.

    Tip

    Anda juga dapat membuat aturan yang menggunakan pola kustom (event-pattern) untuk mendeteksi dan menindaklanjuti hanya sebagian dari peristiwa pencarian Macie. Subset ini dapat didasarkan pada bidang tertentu yang Macie sertakan dalam peristiwa temuan. Untuk mempelajari bidang yang tersedia, lihat Skema EventBridge acara Amazon untuk temuan Macie. Untuk mempelajari cara menggunakan pola kustom dalam aturan, lihat Membuat pola peristiwa di Panduan EventBridge Pengguna Amazon.

    Jika perintah berjalan dengan sukses, EventBridge merespons dengan aturan. ARN Perhatikan iniARN. Anda harus memasukkannya pada langkah 3.

  2. Tentukan fungsi Lambda yang akan digunakan sebagai target aturan. Untuk melakukan ini, jalankan perintah EventBridge put-target. Sebagai contoh:

    C:\> aws events put-targets ^
--rule MacieFindings ^
--targets Id=1,Arn=arn:aws:lambda:regionalEndpoint:accountID:function:my-findings-function

    Di mana MacieFindings adalah nama yang Anda tentukan untuk aturan di langkah 1, dan nilai untuk Arn parameter adalah fungsi yang Anda inginkan aturan untuk digunakan sebagai target. ARN

  3. Tambahkan izin yang memungkinkan aturan untuk memanggil fungsi Lambda target. Untuk melakukan ini, jalankan perintah add-permission Lambda. Sebagai contoh:

    C:\> aws lambda add-permission ^
--function-name my-findings-function ^
--statement-id Sid ^
--action lambda:InvokeFunction ^
--principal events.amazonaws.com ^
--source-arn arn:aws:events:regionalEndpoint:accountId:rule:MacieFindings

    Di mana:

    • my-findings-function adalah nama fungsi Lambda yang Anda inginkan aturan untuk digunakan sebagai target.

    • Sid adalah pengidentifikasi pernyataan yang Anda definisikan untuk menggambarkan pernyataan dalam kebijakan fungsi Lambda.

    • source-arnadalah ARN EventBridge aturan.

    Jika perintah berhasil berjalan, Anda akan menerima output yang sama dengan yang berikut ini:

    {
  "Statement": "{\"Sid\":\"sid\",
    \"Effect\":\"Allow\",
    \"Principal\":{\"Service\":\"events.amazonaws.com\"},
    \"Action\":\"lambda:InvokeFunction\",
    \"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:my-findings-function\",
    \"Condition\":
      {\"ArnLike\":
        {\"AWS:SourceArn\":
         \"arn:aws:events:us-east-1:111122223333:rule/MacieFindings\"}}}"
}

    StatementNilai adalah versi JSON string dari pernyataan yang ditambahkan ke kebijakan fungsi Lambda.