Bekerja dengan Notifikasi Pengguna AWS Mengaktifkan dan mengonfigurasi notifikasi untuk temuan Memetakan bidang notifikasi untuk menemukan bidang Mengubah setelan notifikasi untuk temuan Menonaktifkan notifikasi untuk temuan

Memantau temuan Macie dengan Notifikasi Pengguna AWS

Notifikasi Pengguna AWS adalah layanan yang bertindak sebagai lokasi pusat untuk AWS notifikasi Anda di AWS Management Console. Ini termasuk pemberitahuan seperti CloudWatch alarm Amazon, AWS Support kasing, dan komunikasi dari orang lain Layanan AWS. Dengan Notifikasi Pengguna, Anda dapat mengonfigurasi aturan khusus dan saluran pengiriman untuk menerima pemberitahuan tentang jenis EventBridge peristiwa Amazon tertentu. Saluran pengiriman termasuk email, pemberitahuan AWS Chatbot obrolan, dan pemberitahuan AWS Console Mobile Application push. Anda juga dapat meninjau notifikasi di Notifikasi Pengguna AWS konsol. Untuk mempelajari selengkapnya Notifikasi Pengguna, lihat Panduan Notifikasi Pengguna AWS Pengguna.

Amazon Macie terintegrasi dengan Notifikasi Pengguna AWS, yang berarti Anda dapat mengonfigurasi Notifikasi Pengguna untuk memberi tahu Anda tentang peristiwa yang dipublikasikan Macie EventBridge untuk kebijakan dan temuan data sensitif. Jika peristiwa temuan cocok dengan kriteria yang Anda tentukan, Notifikasi Pengguna buat notifikasi. Pemberitahuan mencakup detail kunci dari temuan terkait, seperti jenis dan tingkat keparahan temuan, dan nama sumber daya yang terpengaruh. Notifikasi Pengguna juga dapat mengirim notifikasi ke satu atau beberapa saluran pengiriman yang Anda tentukan. Anda dapat menyesuaikan pilihan saluran pengiriman agar selaras dengan alur kerja keamanan dan kepatuhan Anda.

Misalnya, Anda dapat mengonfigurasi Notifikasi Pengguna untuk menghasilkan notifikasi untuk jenis temuan baru dan tingkat keparahan tinggi tertentu. Anda juga dapat menentukan AWS Chatbot sebagai saluran pengiriman untuk notifikasi tersebut. Notifikasi Pengguna kemudian mendeteksi EventBridge peristiwa untuk temuan, menghasilkan pemberitahuan yang menyertakan data dari temuan, dan mengirimkan pemberitahuan ke AWS Chatbot. AWS Chatbot kemudian dapat merutekan notifikasi ke saluran Slack atau ruang obrolan Amazon Chime untuk memberi tahu tim respons insiden Anda.

Topik

Bekerja dengan Notifikasi Pengguna AWS
Mengaktifkan dan mengonfigurasi notifikasi untuk temuan
Memetakan bidang notifikasi untuk menemukan bidang
Mengubah setelan notifikasi untuk temuan
Menonaktifkan notifikasi untuk temuan

Bekerja dengan Notifikasi Pengguna AWS

Dengan Notifikasi Pengguna AWS, Anda membuat aturan untuk menentukan jenis EventBridge acara Amazon yang ingin Anda pantau dan terima notifikasi. Aturan mendefinisikan kriteria bahwa suatu EventBridge peristiwa harus cocok untuk menghasilkan pemberitahuan. Anda juga dapat memilih satu atau lebih saluran pengiriman untuk suatu aturan. Saluran pengiriman menentukan tempat Anda ingin menerima pemberitahuan untuk acara yang sesuai dengan kriteria aturan.

Jika Notifikasi Pengguna mendeteksi EventBridge peristiwa yang cocok dengan kriteria aturan, ia melakukan tugas umum berikut:

Mengekstrak subset data dari acara tersebut.
Menghasilkan notifikasi yang berisi data yang diekstraksi.
Mengirim notifikasi ke saluran pengiriman yang Anda tentukan untuk jenis acara tersebut.

Desain dan struktur notifikasi dioptimalkan untuk setiap saluran pengiriman yang dikirimkan.

Untuk mengontrol frekuensi atau jumlah notifikasi yang Anda terima, Anda dapat mengonfigurasi pengaturan agregasi untuk suatu aturan. Jika Anda mengaktifkan pengaturan ini, Notifikasi Pengguna gabungkan data untuk beberapa acara menjadi satu pemberitahuan. Anda dapat memilih untuk mengirim pemberitahuan acara agregat dengan cepat dan sering, yang mungkin ingin Anda lakukan untuk menemukan acara dengan tingkat keparahan tinggi. Atau kirim mereka lebih jarang untuk menerima lebih sedikit pemberitahuan, yang mungkin ingin Anda lakukan untuk acara pencarian tingkat keparahan rendah. Jika Anda menggabungkan data peristiwa, Anda dapat menelusuri untuk meninjau detail setiap peristiwa gabungan menggunakan Notifikasi Pengguna AWS konsol. Dari sana, Anda juga dapat menavigasi ke setiap temuan terkait di konsol Amazon Macie.

Mengaktifkan dan mengonfigurasi temuan Notifikasi Pengguna AWS Macie

Untuk mengaktifkan pemberitahuan Notifikasi Pengguna AWS untuk temuan Amazon Macie, buat konfigurasi notifikasi untuk Macie di. Notifikasi PenggunaKonfigurasi notifikasi menentukan kriteria untuk aturan. Ini juga menentukan saluran pengiriman dan pengaturan lain untuk memantau dan mengirim pemberitahuan tentang EventBridge peristiwa Amazon yang sesuai dengan kriteria aturan. Untuk informasi terperinci tentang membuat konfigurasi notifikasi, lihat Memulai Notifikasi Pengguna AWS di Panduan Notifikasi Pengguna AWS Pengguna.

Untuk membuat konfigurasi notifikasi untuk temuan Macie, pilih opsi berikut untuk aturan acara:

Untuk Layanan AWS nama, pilih Macie.
Untuk Tipe kejadian, pilih Temuan Macie.
Untuk Wilayah, pilih masing-masing Wilayah AWS di mana Anda menggunakan Macie dan ingin diberitahu tentang temuan.

Dengan konfigurasi ini, Notifikasi Pengguna memantau EventBridge peristiwa untuk Anda Akun AWS dan menghasilkan notifikasi untuk semua peristiwa pencarian Macie di Wilayah yang Anda pilih. Acara sesuai dengan kriteria berikut:

sourcesama aws.macie
detail-typesama Macie Finding

JSONPola yang mendasari aturan acara adalah:


{
    "source": ["aws.macie"],
    "detail-type": ["Macie Finding"]
}

Untuk menyempurnakan aturan dan menghasilkan notifikasi hanya untuk subset temuan, Anda dapat menyesuaikan JSON pola aturan. Untuk melakukan ini, tentukan kriteria tambahan yang berasal dari. Skema EventBridge acara Amazon untuk temuan Macie

Jika Anda membuat aturan yang menggunakan JSON pola kustom, Anda dapat membuat beberapa konfigurasi notifikasi untuk temuan Macie. Anda kemudian dapat menyesuaikan saluran pengiriman dan pengaturan lainnya untuk setiap konfigurasi agar selaras dengan alur kerja keamanan dan kepatuhan Anda untuk jenis temuan tertentu.

Misalnya, Anda dapat membuat satu aturan yang memberi tahu Anda jika Macie membuat atau memperbarui Policy:IAMUser/S3BucketPublicmenemukan. Dalam hal ini, pola aturan mungkin:


{
    "source": ["aws.macie"],
    "detail-type": ["Macie Finding"],
    "detail": {
        "type": ["Policy:IAMUser/S3BucketPublic"]
    }
}

Dan Anda dapat membuat aturan lain yang memberi tahu Anda jika Macie menghasilkan temuan data sensitif untuk bucket S3 yang dapat diakses publik. Dalam hal ini, pola aturan mungkin:


{
    "source": ["aws.macie"],
    "detail-type": ["Macie Finding"],
    "detail": {
        "type": [ { "prefix": "SensitiveData" } ],
        "resourcesAffected": {
            "effectivePermission": ["PUBLIC"]
        }
    }
}

Jika Anda membuat beberapa konfigurasi notifikasi untuk temuan Macie, sebaiknya pastikan aturan untuk setiap konfigurasi unik. Jika tidak, Anda mungkin menerima pemberitahuan duplikat untuk temuan individu.

Untuk mempelajari lebih lanjut tentang menyesuaikan pola peristiwa untuk aturan, lihat Menggunakan pola JSON peristiwa yang disesuaikan di Panduan Notifikasi Pengguna AWS Pengguna.

Memetakan Notifikasi Pengguna AWS bidang ke bidang pencarian Macie

Saat Notifikasi Pengguna AWS menghasilkan notifikasi untuk penemuan Amazon Macie, notifikasi akan diisi dengan data dari subset bidang di acara Amazon yang sesuai. EventBridge Bidang ini memberikan rincian kunci dari temuan terkait, seperti jenis dan tingkat keparahan temuan, dan nama sumber daya yang terpengaruh.

Jika Anda meninjau notifikasi di Notifikasi Pengguna AWS konsol, notifikasi mencakup semua data untuk subset bidang ini. Ini juga menyediakan tautan ke temuan terkait di konsol Amazon Macie. Jika Anda meninjau pemberitahuan di saluran pengiriman lain, mungkin berisi data hanya untuk beberapa bidang. Ini karena Notifikasi Pengguna menyesuaikan desain dan struktur notifikasinya agar berfungsi dengan setiap jenis saluran pengiriman yang didukungnya.

Tabel berikut mencantumkan bidang yang mungkin disertakan dalam pemberitahuan untuk temuan. Dalam tabel, kolom bidang Pemberitahuan menjelaskan (dalam huruf miring) atau menunjukkan nama bidang dalam pemberitahuan. Kolom bidang Finding event menggunakan notasi titik untuk menunjukkan nama JSON bidang yang sesuai dalam suatu EventBridge peristiwa untuk temuan. Kolom Deskripsi menjelaskan data yang disimpan di bidang.

Bidang pemberitahuan	Menemukan bidang acara	Deskripsi
Judul pesan	`detail.type`	Jenis temuannya. Misalnya: `Policy:IAMUser/S3BucketPublic` atau `SensitiveData:S3Object/Financial`.
Ringkasan	`detail.title`	Deskripsi singkat dari temuan tersebut. Misalnya: `The S3 object contains financial information.`
Deskripsi	`detail.description`	Deskripsi lengkap dari temuan tersebut. Misalnya: `The S3 object contains financial information such as bank account numbers or credit card numbers.`
Kepelikan	`detail.severity.description`	Representasi kualitatif dari tingkat keparahan temuan:`Low`,`Medium`, atau`High`.
ID Temuan	`detail.id`	Pengenal unik untuk temuan.
Dibuat	`detail.createdAt`	Tanggal dan waktu ketika Macie menciptakan temuan.
Diperbarui	`detail.updatedAt`	Tanggal dan waktu ketika Macie baru-baru ini memperbarui temuan. Untuk temuan data sensitif, nilai ini sama dengan nilai untuk bidang Created (`detail.createdAt`). Semua temuan data sensitif dianggap baru (unik).
Ember S3 yang terpengaruh	`detail.resourcesAffected.s3Bucket.arn`	Nama Sumber Daya Amazon (ARN) dari bucket S3 yang terpengaruh.
Objek S3 yang terpengaruh	`detail.resourcesAffected.s3Object.path`	Nama (kunci) objek S3 yang terpengaruh, termasuk nama bucket yang menyimpan objek dan, jika berlaku, awalan objek. Bidang ini tidak termasuk dalam pemberitahuan untuk temuan kebijakan.
Deteksi data sensitif	`detail.classificationDetails.result.sensitiveData.detections...` Dan/atau `detail.classificationDetails.result.customDataIdentifiers.detections...`	Ini adalah gabungan dari beberapa bidang dalam suatu peristiwa untuk penemuan data sensitif. Bidang ini tidak termasuk dalam pemberitahuan untuk temuan kebijakan. Jika pengenal data terkelola mendeteksi data sensitif, bidang ini menentukan kategori, tipe, dan nomor (`count`) kemunculan data sensitif yang terdeteksi. Sebagai contoh: `PERSONAL_INFORMATION: USA_SOCIAL_SECURITY_NUMBER 100 occurrences`. Jika pengidentifikasi data kustom mendeteksi data sensitif, bidang ini menentukan nama pengenal data kustom dan nomor (`count`) kemunculan data sensitif yang terdeteksi. Sebagai contoh: `Employee ID 20 occurrences`. Jika temuan melaporkan beberapa jenis data sensitif, notifikasi mencakup data hingga empat jenis. Data diisi terlebih dahulu oleh pengidentifikasi data kustom yang berlaku dan kemudian oleh pengidentifikasi data terkelola yang berlaku.

Mengubah Notifikasi Pengguna AWS pengaturan untuk temuan Macie

Anda dapat mengubah Notifikasi Pengguna AWS pengaturan untuk temuan Amazon Macie kapan saja. Untuk melakukan ini, edit konfigurasi notifikasi di Notifikasi Pengguna. Untuk mempelajari caranya, lihat Mengelola konfigurasi notifikasi di Panduan Notifikasi Pengguna AWS Pengguna.

Jika Anda memiliki beberapa konfigurasi notifikasi untuk temuan Macie, mengubah pengaturan untuk satu konfigurasi tidak memengaruhi pengaturan untuk konfigurasi Anda yang lain. Anda dapat mengedit semua atau hanya beberapa konfigurasi Anda.

Menonaktifkan temuan Notifikasi Pengguna AWS Macie

Untuk berhenti membuat dan menerima notifikasi dari Notifikasi Pengguna AWS temuan Amazon Macie, hapus konfigurasi notifikasi di. Notifikasi Pengguna Untuk mempelajari caranya, lihat Mengelola konfigurasi notifikasi di Panduan Notifikasi Pengguna AWS Pengguna.

Jika Anda memiliki beberapa konfigurasi notifikasi untuk temuan Macie, penghapusan satu konfigurasi tidak memengaruhi konfigurasi Anda yang lain. Anda dapat menghapus semua atau hanya beberapa konfigurasi Anda.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Memproses temuan dengan Amazon EventBridge

Skema EventBridge acara Amazon untuk temuan