Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Registrazione delle chiamate Macie utilizzando API AWS CloudTrail

Amazon Macie si integra con AWS CloudTrail, un servizio che fornisce un registro delle azioni eseguite in Macie da un utente, un ruolo o un altro. AWS servizio CloudTrailcattura tutte le API chiamate per Macie come eventi. Le chiamate acquisite includono chiamate dalla console Amazon Macie e chiamate programmatiche alle operazioni di Amazon Macie. API

Se crei un trail, puoi abilitare la distribuzione continua di CloudTrail eventi a un bucket Amazon Simple Storage Service (Amazon S3), inclusi gli eventi per Macie. Se non configuri un percorso, puoi comunque rivedere gli eventi più recenti utilizzando la cronologia degli eventi sulla console. AWS CloudTrail Utilizzando le informazioni raccolte da CloudTrail, puoi determinare la richiesta che è stata fatta a Macie, l'indirizzo IP da cui è stata effettuata la richiesta, chi ha effettuato la richiesta, quando è stata effettuata e altri dettagli.

Per ulteriori informazioni CloudTrail, consulta la Guida per l'AWS CloudTrail utente.

Informazioni su Macie in AWS CloudTrail

AWS CloudTrail è abilitato per te Account AWS quando crei l'account. Quando si verifica un'attività in Amazon Macie, tale attività viene registrata in un CloudTrail evento insieme ad altri AWS eventi nella Cronologia eventi. Puoi rivedere, cercare e scaricare gli eventi recenti nel tuo Account AWS. Per ulteriori informazioni, consulta Lavorare con la cronologia degli CloudTrail eventi nella Guida AWS CloudTrail per l'utente.

Per una registrazione continua degli eventi del tuo sito Account AWS, compresi gli eventi per Macie, crea un percorso. Un trail consente di CloudTrail inviare file di log a un bucket Amazon Simple Storage Service (Amazon S3). Per impostazione predefinita, quando crei un percorso utilizzando la AWS CloudTrail console, il percorso si applica a tutti. Regioni AWS Il trail registra gli eventi da tutte le regioni della AWS partizione e consegna i file di registro al bucket S3 specificato. Inoltre, puoi configurarne altri AWS servizi per analizzare ulteriormente e agire in base ai dati sugli eventi raccolti nei log. CloudTrail Per ulteriori informazioni, consulta gli argomenti seguenti nella Guida per l'utente AWS CloudTrail :

Tutte le azioni di Macie vengono registrate CloudTrail e documentate in Amazon Macie Reference. API Ad esempio, le chiamate alle CreateClassificationJob ListFindings azioni e generano voci nei file di registro. DescribeBuckets CloudTrail

Ogni evento o voce di log contiene informazioni sull'utente che ha generato la richiesta. Le informazioni di identità consentono di determinare quanto segue:

Per ulteriori informazioni, consultate CloudTrail userIdentityl'elemento nella Guida per l'AWS CloudTrail utente.

Informazioni sulle voci dei file di registro per Macie

Un trail è una configurazione che consente la distribuzione di eventi come file di log in un bucket Amazon Simple Storage Service (Amazon S3) specificato dall'utente. Un evento rappresenta una singola richiesta proveniente da qualsiasi fonte e include informazioni sull'azione richiesta, la data e l'ora dell'azione, i parametri della richiesta e così via. AWS CloudTrail i file di registro contengono una o più voci di registro relative agli eventi. CloudTrail i file di registro non sono una traccia ordinata delle API chiamate pubbliche, quindi non appaiono in un ordine specifico.

Gli esempi seguenti mostrano voci di CloudTrail registro che mostrano gli eventi per le azioni di Amazon Macie. Per informazioni dettagliate sulle informazioni che una voce di registro potrebbe contenere, consulta Understanding CloudTrail events nella Guida per l'AWS CloudTrail utente.

Esempio: elenco dei risultati

L'esempio seguente mostra una voce di CloudTrail registro che mostra un evento per l'azione Macie ListFindings. In questo esempio, un AWS Identity and Access Management (IAM) user (Mary_Major) ha utilizzato la console Amazon Macie per recuperare un sottoinsieme di informazioni sui risultati delle politiche correnti per il proprio account.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "123456789012",
        "arn": "arn:aws:iam::123456789012:user/Mary_Major",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "Mary_Major",
        "sessionContext":{
            "attributes": {
                "creationdate": "2023-11-14T15:49:57Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-11-14T16:09:56Z",
    "eventSource": "macie2.amazonaws.com",
    "eventName": "ListFindings",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "198.51.100.1",
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36",
    "requestParameters": {
        "sortCriteria": {
            "attributeName": "updatedAt",
            "orderBy": "DESC"
        },
        "findingCriteria": {
            "criterion": {
                "archived": {
                    "eq": [
                        "false"
                    ]
                },
                "category": {
                    "eq": [
                        "POLICY"
                    ]
                }
            }
        },
        "maxResults": 25,
        "nextToken": ""
    },
    "responseElements": null,
    "requestID": "d58af6be-1115-4a41-91f8-ace03example",
    "eventID": "ad97fac5-f7cf-4ff9-9cf2-d0676example",
    "readOnly": true,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management"
}

Esempio: recupero di campioni di dati sensibili per una scoperta

Questo esempio mostra le voci di CloudTrail registro che mostrano gli eventi relativi al recupero e alla rivelazione di campioni di dati sensibili riportati da Macie in un risultato. In questo esempio, un IAM utente (JohnDoe) ha utilizzato la console Amazon Macie per recuperare e rivelare campioni di dati sensibili. L'account Macie dell'utente è configurato per assumere un IAM ruolo (MacieReveal) per recuperare e rivelare campioni di dati sensibili.

Il seguente evento di registro mostra i dettagli sulla richiesta dell'utente di recuperare e rivelare campioni di dati sensibili eseguendo l'azione Macie. GetSensitiveDataOccurrences

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "UU4MH7OYK5ZCOAEXAMPLE:JohnDoe",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/JohnDoe",
        "accountId": "111122223333",
        "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "UU4MH7OYK5ZCOAEXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Admin",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-12-12T14:40:23Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-12-12T17:04:47Z",
    "eventSource": "macie2.amazonaws.com",
    "eventName": "GetSensitiveDataOccurrences",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "198.51.100.252",
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36",
    "requestParameters": {
        "findingId": "3ad9d8cd61c5c390bede45cd2example"
    },
    "responseElements": null,
    "requestID": "c30cb760-5102-47e7-88d8-ff2e8example",
    "eventID": "baf52d92-f9c3-431a-bfe8-71c81example",
    "readOnly": true,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

Il successivo evento di registro mostra i dettagli su Macie che assume il IAM ruolo specificato (MacieReveal) eseguendo l' AWS Security Token Service azione ().AWS STSAssumeRole

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "reveal-samples.macie.amazonaws.com"
    },
    "eventTime": "2023-12-12T17:04:47Z",
    "eventSource": "sts.amazonaws.com",
    "eventName": "AssumeRole",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "reveal-samples.macie.amazonaws.com",
    "userAgent": "reveal-samples.macie.amazonaws.com",
    "requestParameters": {
        "roleArn": "arn:aws:iam::111122223333:role/MacieReveal",
        "roleSessionName": "RevealCrossAccount"
    },
    "responseElements": {
        "credentials": {
            "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
            "sessionToken": "XXYYaz...
EXAMPLE_SESSION_TOKEN
XXyYaZAz",
            "expiration": "Dec 12, 2023, 6:04:47 PM"
        },
        "assumedRoleUser": {
            "assumedRoleId": "AROAXOTKAROCSNEXAMPLE:RevealCrossAccount",
            "arn": "arn:aws:sts::111122223333:assumed-role/MacieReveal/RevealCrossAccount"
        }
    },
    "requestID": "d905cea8-2dcb-44c1-948e-19419example",
    "eventID": "74ee4d0c-932d-3332-87aa-8bcf3example",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::IAM::Role",
            "ARN": "arn:aws:iam::111122223333:role/MacieReveal"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}