Elaborazione dei risultati di Macie con Amazon EventBridge - Amazon Macie

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Elaborazione dei risultati di Macie con Amazon EventBridge

Amazon EventBridge, precedentemente Amazon CloudWatch Events, è un servizio di bus eventi senza server. EventBridge fornisce un flusso di dati in tempo reale da applicazioni e servizi e indirizza tali dati verso destinazioni quali AWS Lambda funzioni, argomenti di Amazon Simple Notification Service (AmazonSNS) e flussi Amazon Kinesis. Per ulteriori informazioniEventBridge, consulta la Amazon EventBridge User Guide.

Con EventBridge, puoi automatizzare il monitoraggio e l'elaborazione di determinati tipi di eventi. Ciò include gli eventi che Amazon Macie pubblica automaticamente in base a nuove policy e rilevazioni di dati sensibili. Sono inclusi anche gli eventi che Macie pubblica automaticamente in caso di successive rilevazioni di policy esistenti. Per dettagli su come e quando Macie pubblica questi eventi, vedi. Configurazione delle impostazioni di pubblicazione per i risultati

Utilizzando EventBridge e utilizzando gli eventi pubblicati da Macie per i risultati, puoi monitorare ed elaborare i risultati quasi in tempo reale. È quindi possibile agire in base ai risultati utilizzando altre applicazioni e servizi. Ad esempio, è possibile utilizzare EventBridge per inviare tipi specifici di nuovi risultati a una AWS Lambda funzione. La funzione Lambda potrebbe quindi elaborare e inviare i dati al sistema di gestione degli incidenti di sicurezza e degli eventi (SIEM). Se esegui l'integrazione Notifiche all'utente AWS con Macie, puoi anche utilizzare gli eventi per ricevere automaticamente notifiche dei risultati tramite i canali di distribuzione da te specificati.

Oltre al monitoraggio e all'elaborazione automatizzati, l'uso di EventBridge consente la conservazione a lungo termine dei dati dei risultati. Macie archivia i risultati per 90 giorni. Con EventBridge, puoi inviare i dati dei risultati alla tua piattaforma di archiviazione preferita e archiviarli per tutto il tempo che desideri.

Nota

Per una conservazione a lungo termine, configura anche Macie in modo che memorizzi i risultati della scoperta dei dati sensibili in un bucket S3. Un risultato di scoperta di dati sensibili è un record che registra i dettagli dell'analisi eseguita da Macie su un oggetto S3 per determinare se l'oggetto contiene dati sensibili. Per ulteriori informazioni, consulta Archiviazione e mantenimento dei risultati di rilevamento dei dati sensibili.

Lavorare con Amazon EventBridge

Con Amazon EventBridge, crei regole per specificare quali eventi vuoi monitorare e quali obiettivi desideri eseguire azioni automatizzate per tali eventi. Un target è una destinazione a cui EventBridge invia eventi.

Per automatizzare le attività di monitoraggio ed elaborazione dei risultati, puoi creare una EventBridge regola che rileva automaticamente gli eventi di ricerca di Amazon Macie e li invia a un'altra applicazione o servizio per l'elaborazione o altre azioni. Puoi personalizzare la regola per inviare solo gli eventi che soddisfano determinati criteri. A tale scopo, specificate i criteri che derivano da. Schema di EventBridge eventi Amazon per i risultati di Macie

Ad esempio, è possibile creare una regola che invia tipi specifici di nuovi risultati a una AWS Lambda funzione. La funzione Lambda può quindi eseguire attività come: elaborare e inviare i dati al SIEM sistema; applicare automaticamente un certo tipo di crittografia lato server a un oggetto S3; oppure limitare l'accesso a un oggetto S3 modificando l'elenco di controllo degli accessi dell'oggetto (). ACL Oppure puoi creare una regola che invii automaticamente nuovi risultati ad alta gravità a un SNS argomento di Amazon, che a sua volta notifica la scoperta al team di risposta agli incidenti.

Oltre a richiamare funzioni Lambda e notificare argomenti SNS Amazon EventBridge , supporta altri tipi di obiettivi e azioni, come l'inoltro di eventi ai flussi di Amazon Kinesis, l' AWS Step Functions attivazione di macchine a stati e l'invocazione del comando run. AWS Systems Manager Per informazioni sulle destinazioni supportate, consulta Event bus targets nella Amazon EventBridge User Guide.

Creazione di EventBridge regole Amazon per i risultati di Macie

Le seguenti procedure spiegano come utilizzare la EventBridge console Amazon e AWS Command Line Interface (AWS CLI) per creare una EventBridge regola per i risultati di Amazon Macie. La regola rileva EventBridge gli eventi che utilizzano lo schema e il pattern degli eventi per i risultati di Macie e invia tali eventi a una AWS Lambda funzione per l'elaborazione.

AWS Lambda è un servizio di elaborazione che è possibile utilizzare per eseguire codice senza fornire o gestire server. Impacchettate il codice e lo caricate AWS Lambda come funzione Lambda. AWS Lambda quindi esegue la funzione quando la funzione viene richiamata. Puoi richiamare una funzione manualmente, come risposta automatica agli eventi o in risposta a richieste provenienti da applicazioni o servizi. Per ulteriori informazioni su come creare e richiamare le funzioni Lambda, consulta Guida per gli sviluppatori di AWS Lambda.

Console

Segui questi passaggi per utilizzare la EventBridge console Amazon per creare una regola che invii automaticamente tutti gli eventi di ricerca di Macie a una funzione Lambda per l'elaborazione. La regola utilizza le impostazioni predefinite per le regole che vengono eseguite quando vengono ricevuti eventi specifici. Per dettagli sulle impostazioni delle regole o per scoprire come creare una regola che utilizza impostazioni personalizzate, consulta la sezione Creazione di regole che reagiscono agli eventi nella Amazon EventBridge User Guide.

Suggerimento

Puoi anche creare una regola che utilizzi uno schema personalizzato per rilevare e agire solo su un sottoinsieme di eventi di ricerca di Macie. Questo sottoinsieme può essere basato su campi specifici che Macie include in un evento di ricerca. Per maggiori informazioni sui campi disponibili, consulta. Schema di EventBridge eventi Amazon per i risultati di Macie Per ulteriori informazioni sull'utilizzo di modelli personalizzati nelle regole, consulta la sezione Creazione di modelli di eventi nella Amazon EventBridge User Guide.

Prima di creare questa regola, create la funzione Lambda che desiderate che la regola utilizzi come destinazione. Quando crei la regola, dovrai specificare questa funzione come sua destinazione.

Per creare una regola di evento utilizzando la console
  1. Apri la EventBridge console Amazon all'indirizzo https://console.aws.amazon.com/events/.

  2. Nel pannello di navigazione, in Autobus, scegli Regole.

  3. Nella sezione Rules (Regole), scegli Create rule (Crea regola).

  4. Nella pagina di dettaglio Definisci regola, procedi come segue:

    • In Name (Nome), inserisci un nome per la regola.

    • (Facoltativo) In Descrizione, inserisci una breve descrizione della regola.

    • Per Event bus, assicuratevi che sia selezionato il valore predefinito e che l'opzione Abilita la regola sul bus eventi selezionato sia attivata.

    • Per Rule type (Tipo di regola), scegli Rule with an event pattern (Regola con un modello di eventi).

  5. Al termine, selezionare Next (Avanti).

  6. Nella pagina Crea modello di eventi, procedi come segue:

    • Per Origine dell'evento, scegli AWS eventi o eventi EventBridge partner.

    • (Facoltativo) Per un evento di esempio, esamina un esempio di evento di ricerca per Macie per scoprire cosa potrebbe contenere un evento. Per fare ciò, scegli AWS gli eventi. Quindi, per gli eventi di esempio, scegli Macie Finding.

    • In Metodo di creazione scegli Utilizza modulo del modello.

    • Per Event pattern, inserisci le seguenti impostazioni:

      • In Event source (Origine eventi), selezionare Servizi AWS.

      • Per Servizio AWS, scegli Macie.

      • Per Tipo di evento, scegli Macie Finding.

  7. Al termine, selezionare Next (Avanti).

  8. Nella pagina Seleziona destinazioni, procedi come segue:

    • Per Target types (Tipi di target), scegli Servizio AWS.

    • Per Select a target (Seleziona destinazione), scegli Lambda function (Funzione Lambda). Quindi, per Funzione, scegliete la funzione Lambda a cui inviare gli eventi di ricerca.

    • Per Configura versione/alias, inserisci le impostazioni della versione e dell'alias per la funzione Lambda di destinazione.

    • (Facoltativo) Per Impostazioni aggiuntive, immettete impostazioni personalizzate per specificare quali dati degli eventi desiderate inviare alla funzione Lambda. Puoi anche specificare come gestire gli eventi che non vengono consegnati correttamente alla funzione.

  9. Al termine, selezionare Next (Avanti).

  10. Nella pagina Configura tag, inserisci facoltativamente uno o più tag da assegnare alla regola. Quindi scegli Successivo.

  11. Nella pagina Rivedi e crea, rivedi le impostazioni della regola e verifica che siano corrette.

    Per modificare un'impostazione, scegli Modifica nella sezione che contiene l'impostazione, quindi inserisci l'impostazione corretta. Puoi anche utilizzare le schede di navigazione per andare alla pagina che contiene un'impostazione.

  12. Al termine della verifica delle impostazioni, scegli Crea regola.

AWS CLI

Segui questi passaggi per AWS CLI creare una EventBridge regola che invii tutti gli eventi di ricerca di Macie a una funzione Lambda per l'elaborazione. La regola utilizza le impostazioni predefinite per le regole che vengono eseguite quando vengono ricevuti eventi specifici. In questa procedura, i comandi sono formattati per Microsoft Windows. Per Linux, macOS o Unix, sostituisci il carattere di continuazione di riga del cursore (^) con una barra rovesciata (\).

Prima di creare questa regola, create la funzione Lambda che desiderate che la regola utilizzi come destinazione. Quando crei la funzione, annota l'Amazon Resource Name (ARN) della funzione. Dovrai inserirlo ARN quando specifichi l'obiettivo per la regola.

Per creare una regola di evento utilizzando il AWS CLI
  1. Crea una regola che rilevi gli eventi per tutti i risultati pubblicati da Macie. EventBridge Per fare ciò, esegui il comando put-rule. EventBridge Per esempio:

    C:\> aws events put-rule ^ --name MacieFindings ^ --event-pattern "{\"source\":[\"aws.macie\"]}"

    Dove MacieFindings è il nome che si desidera assegnare alla regola.

    Suggerimento

    Puoi anche creare una regola che utilizzi un pattern personalizzato (event-pattern) per rilevare e agire solo su un sottoinsieme di eventi di ricerca di Macie. Questo sottoinsieme può essere basato su campi specifici che Macie include in un evento di ricerca. Per maggiori informazioni sui campi disponibili, consulta. Schema di EventBridge eventi Amazon per i risultati di Macie Per ulteriori informazioni sull'utilizzo di modelli personalizzati nelle regole, consulta la sezione Creazione di modelli di eventi nella Amazon EventBridge User Guide.

    Se il comando viene eseguito correttamente, EventBridge risponde con ARN la regola. Nota questoARN. Dovrai inserirlo una volta arrivato alla fase 3.

  2. Specificate la funzione Lambda da utilizzare come destinazione per la regola. Per fare ciò, esegui il comando EventBridge put-targets. Per esempio:

    C:\> aws events put-targets ^ --rule MacieFindings ^ --targets Id=1,Arn=arn:aws:lambda:regionalEndpoint:accountID:function:my-findings-function

    Dove MacieFindings è il nome specificato per la regola nel passaggio 1 e il valore del Arn parametro è la ARN funzione che si desidera che la regola utilizzi come destinazione.

  3. Aggiungi le autorizzazioni che consentono alla regola di richiamare la funzione Lambda di destinazione. A tale scopo, esegui il comando Lambda add-permission. Per esempio:

    C:\> aws lambda add-permission ^ --function-name my-findings-function ^ --statement-id Sid ^ --action lambda:InvokeFunction ^ --principal events.amazonaws.com ^ --source-arn arn:aws:events:regionalEndpoint:accountId:rule:MacieFindings

    Dove:

    • my-findings-function è il nome della funzione Lambda che si desidera che la regola utilizzi come destinazione.

    • Sid è un identificatore di istruzione che definisci per descrivere l'istruzione nella policy della funzione Lambda.

    • source-arnè il ARN fondamento della regola. EventBridge

    Se il comando viene eseguito correttamente, si ottiene un output simile al seguente:

    { "Statement": "{\"Sid\":\"sid\", \"Effect\":\"Allow\", \"Principal\":{\"Service\":\"events.amazonaws.com\"}, \"Action\":\"lambda:InvokeFunction\", \"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:my-findings-function\", \"Condition\": {\"ArnLike\": {\"AWS:SourceArn\": \"arn:aws:events:us-east-1:111122223333:rule/MacieFindings\"}}}" }

    Il Statement valore è una versione in JSON formato stringa dell'istruzione che è stata aggiunta alla policy della funzione Lambda.