Mencatat API panggilan Macie dengan AWS CloudTrail - Amazon Macie
Acara manajemen Macie di CloudTrailContoh peristiwa Macie di CloudTrail

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mencatat API panggilan Macie dengan AWS CloudTrail

Amazon Macie terintegrasi dengan AWS CloudTrail, yang merupakan layanan yang menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau Layanan AWS. CloudTrailmenangkap semua API panggilan untuk Macie sebagai acara manajemen. Panggilan yang diambil termasuk panggilan dari konsol Amazon Macie dan panggilan terprogram ke operasi Amazon Macie. API Dengan menggunakan informasi yang dikumpulkan oleh CloudTrail, Anda dapat menentukan permintaan yang dibuat untuk Macie, alamat IP dari mana permintaan itu dibuat, kapan dibuat, dan detail tambahan.

Setiap entri peristiwa atau log berisi informasi tentang siapa yang membuat permintaan tersebut. Informasi identitas membantu Anda menentukan berikut hal ini:

  • Baik permintaan tersebut dibuat dengan kredensial pengguna root atau pengguna.

  • Apakah permintaan itu dibuat atas nama AWS IAM Identity Center pengguna.

  • Apakah permintaan tersebut dibuat dengan kredensial keamanan sementara untuk satu peran atau pengguna terfederasi.

  • Apakah permintaan itu dibuat oleh orang lain Layanan AWS.

CloudTrail Aktif dalam Akun AWS ketika Anda membuat akun dan Anda secara otomatis memiliki akses ke riwayat CloudTrail Acara. Riwayat CloudTrail acara menyediakan catatan yang dapat dilihat, dapat dicari, dapat diunduh, dan tidak dapat diubah dari 90 hari terakhir dari peristiwa manajemen yang direkam dalam Wilayah AWS. Untuk informasi selengkapnya, lihat Bekerja dengan riwayat CloudTrail Acara di AWS CloudTrail Panduan Pengguna. Tidak ada CloudTrail biaya untuk melihat riwayat Acara.

Untuk catatan peristiwa yang sedang berlangsung di Akun AWS 90 hari terakhir, buat jejak atau penyimpanan data acara CloudTrail Danau.

CloudTrail jalan setapak

Jejak memungkinkan CloudTrail untuk mengirimkan file log ke bucket Amazon S3. Semua jalur dibuat menggunakan AWS Management Console adalah Multi-region. Anda dapat membuat jalur Single-region atau Multi-region dengan menggunakan AWS CLI. Membuat jejak Multi-wilayah disarankan karena Anda menangkap aktivitas di semua Wilayah AWS di akun Anda. Jika Anda membuat jejak wilayah Tunggal, Anda hanya dapat melihat peristiwa yang dicatat di jejak Wilayah AWS. Untuk informasi selengkapnya tentang jalur, lihat Membuat jejak untuk Anda Akun AWSdan Menciptakan jejak untuk organisasi di AWS CloudTrail Panduan Pengguna.

Anda dapat mengirimkan satu salinan acara manajemen yang sedang berlangsung ke bucket Amazon S3 Anda tanpa biaya CloudTrail dengan membuat jejak, namun, ada biaya penyimpanan Amazon S3. Untuk informasi selengkapnya tentang CloudTrail harga, lihat AWS CloudTrail Harga. Untuk informasi tentang harga Amazon S3, lihat Harga Amazon S3.

CloudTrail Menyimpan data acara danau

CloudTrail Lake memungkinkan Anda menjalankan kueri SQL berbasis pada acara Anda. CloudTrail Lake mengonversi peristiwa yang ada dalam JSON format berbasis baris ke format Apache. ORC ORCadalah format penyimpanan kolumnar yang dioptimalkan untuk pengambilan data dengan cepat. Peristiwa digabungkan ke dalam penyimpanan data peristiwa, yang merupakan kumpulan peristiwa yang tidak dapat diubah berdasarkan kriteria yang Anda pilih dengan menerapkan pemilih acara tingkat lanjut. Penyeleksi yang Anda terapkan ke penyimpanan data acara mengontrol peristiwa mana yang bertahan dan tersedia untuk Anda kueri. Untuk informasi lebih lanjut tentang CloudTrail Danau, lihat Bekerja dengan AWS CloudTrail Danau di AWS CloudTrail Panduan Pengguna.

CloudTrail Penyimpanan data acara danau dan kueri menimbulkan biaya. Saat Anda membuat penyimpanan data acara, Anda memilih opsi harga yang ingin Anda gunakan untuk penyimpanan data acara. Opsi penetapan harga menentukan biaya untuk menelan dan menyimpan peristiwa, dan periode retensi default dan maksimum untuk penyimpanan data acara. Untuk informasi selengkapnya tentang CloudTrail harga, lihat AWS CloudTrail Harga.

Acara manajemen Macie di AWS CloudTrail

Acara manajemen memberikan informasi tentang operasi manajemen yang dilakukan pada sumber daya di Akun AWS. Ini juga dikenal sebagai operasi pesawat kontrol. Secara default, CloudTrail mencatat peristiwa manajemen.

Amazon Macie mencatat semua operasi pesawat kontrol Macie sebagai peristiwa manajemen di. CloudTrail Misalnya, panggilan keListFindings,DescribeBuckets, dan CreateClassificationJob operasi menghasilkan peristiwa manajemen di CloudTrail. Setiap acara mencakup eventSource bidang. Bidang ini menunjukkan Layanan AWS bahwa permintaan dibuat untuk. Untuk acara Macie, nilai untuk bidang ini adalah:macie2.amazonaws.com.

Untuk daftar operasi pesawat kontrol yang dicatat oleh Macie CloudTrail, lihat Operasi di Referensi Amazon API Macie.

Contoh peristiwa Macie di AWS CloudTrail

Peristiwa mewakili permintaan tunggal dari sumber mana pun dan mencakup informasi tentang API operasi yang diminta, tanggal dan waktu operasi, parameter permintaan, dan sebagainya. CloudTrail file log bukanlah jejak tumpukan yang diurutkan dari API panggilan publik, sehingga peristiwa tidak muncul dalam urutan tertentu.

Contoh berikut menunjukkan CloudTrail peristiwa yang menunjukkan operasi Amazon Macie. Untuk detail tentang informasi yang mungkin berisi suatu peristiwa, lihat CloudTrailmerekam konten di AWS CloudTrail Panduan Pengguna.

Contoh: Daftar temuan

Contoh berikut menunjukkan CloudTrail acara untuk operasi Amazon Macie ListFindings. Dalam contoh ini, sebuah AWS Identity and Access Management (IAM) user (Mary_Major) menggunakan konsol Amazon Macie untuk mengambil subset informasi tentang temuan kebijakan saat ini untuk akun mereka.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "123456789012",
        "arn": "arn:aws:iam::123456789012:user/Mary_Major",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "Mary_Major",
        "sessionContext":{
            "attributes": {
                "creationdate": "2023-11-14T15:49:57Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-11-14T16:09:56Z",
    "eventSource": "macie2.amazonaws.com",
    "eventName": "ListFindings",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "198.51.100.1",
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36",
    "requestParameters": {
        "sortCriteria": {
            "attributeName": "updatedAt",
            "orderBy": "DESC"
        },
        "findingCriteria": {
            "criterion": {
                "archived": {
                    "eq": [
                        "false"
                    ]
                },
                "category": {
                    "eq": [
                        "POLICY"
                    ]
                }
            }
        },
        "maxResults": 25,
        "nextToken": ""
    },
    "responseElements": null,
    "requestID": "d58af6be-1115-4a41-91f8-ace03example",
    "eventID": "ad97fac5-f7cf-4ff9-9cf2-d0676example",
    "readOnly": true,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management"
}

Contoh: Mengambil sampel data sensitif untuk temuan

Contoh ini menunjukkan CloudTrail peristiwa untuk mengambil dan mengungkapkan sampel data sensitif yang dilaporkan Amazon Macie dalam sebuah temuan. Dalam contoh ini, sebuah AWS Identity and Access Management (IAM) user (JohnDoe) menggunakan konsol Amazon Macie untuk mengambil dan mengungkapkan sampel data sensitif. Akun pengguna dikonfigurasi untuk mengambil IAM peran (MacieReveal) untuk mengambil dan mengungkapkan sampel data sensitif dari objek Amazon Simple Storage Service (Amazon S3) yang terpengaruh.

Peristiwa berikut menunjukkan detail tentang permintaan pengguna untuk mengambil dan mengungkapkan sampel data sensitif dengan melakukan operasi Amazon GetSensitiveDataOccurrencesMacie.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "UU4MH7OYK5ZCOAEXAMPLE:JohnDoe",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/JohnDoe",
        "accountId": "111122223333",
        "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "UU4MH7OYK5ZCOAEXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Admin",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-12-12T14:40:23Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-12-12T17:04:47Z",
    "eventSource": "macie2.amazonaws.com",
    "eventName": "GetSensitiveDataOccurrences",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "198.51.100.252",
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36",
    "requestParameters": {
        "findingId": "3ad9d8cd61c5c390bede45cd2example"
    },
    "responseElements": null,
    "requestID": "c30cb760-5102-47e7-88d8-ff2e8example",
    "eventID": "baf52d92-f9c3-431a-bfe8-71c81example",
    "readOnly": true,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

Acara berikutnya menunjukkan detail tentang Macie kemudian mengasumsikan IAM peran yang ditentukan (MacieReveal) dengan melakukan AWS Security Token Service (AWS STS) AssumeRoleoperasi.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "reveal-samples.macie.amazonaws.com"
    },
    "eventTime": "2023-12-12T17:04:47Z",
    "eventSource": "sts.amazonaws.com",
    "eventName": "AssumeRole",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "reveal-samples.macie.amazonaws.com",
    "userAgent": "reveal-samples.macie.amazonaws.com",
    "requestParameters": {
        "roleArn": "arn:aws:iam::111122223333:role/MacieReveal",
        "roleSessionName": "RevealCrossAccount"
    },
    "responseElements": {
        "credentials": {
            "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
            "sessionToken": "XXYYaz...
EXAMPLE_SESSION_TOKEN
XXyYaZAz",
            "expiration": "Dec 12, 2023, 6:04:47 PM"
        },
        "assumedRoleUser": {
            "assumedRoleId": "AROAXOTKAROCSNEXAMPLE:RevealCrossAccount",
            "arn": "arn:aws:sts::111122223333:assumed-role/MacieReveal/RevealCrossAccount"
        }
    },
    "requestID": "d905cea8-2dcb-44c1-948e-19419example",
    "eventID": "74ee4d0c-932d-3332-87aa-8bcf3example",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::IAM::Role",
            "ARN": "arn:aws:iam::111122223333:role/MacieReveal"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

Untuk informasi tentang isi CloudTrail acara, lihat isi CloudTrail rekaman di AWS CloudTrail Panduan Pengguna.