Amazon での Macie の検出結果の処理 EventBridge - Amazon Macie
EventBridge の操作検出結果の EventBridge ルールの作成

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon での Macie の検出結果の処理 EventBridge

Amazon EventBridgeは、以前は Amazon CloudWatch Events でしたが、サーバーレスイベントバスサービスです。 はアプリケーションとサービスからリアルタイムデータのストリーム EventBridge を配信し、そのデータを AWS Lambda 関数、Amazon Simple Notification Service (Amazon SNS) トピック、Amazon Kinesis ストリームなどのターゲットにルーティングします。の詳細についてはEventBridge、「Amazon EventBridge ユーザーガイド」を参照してください。

を使用すると EventBridge、特定のタイプのイベントのモニタリングと処理を自動化できます。これには、新しいポリシーの調査結果と機密データの調査結果について Amazon Macie が自動的に発行するイベントが含まれます。これには、Macie が既存のポリシーの調査結果のその後の出現で自動的に発行するイベントも含まれます。Macie がこれらのイベントを発行する方法とタイミングの詳細については、調査結果の発行設定を設定するを参照してください。

Macie が検出結果のために公開する EventBridge および イベントを使用することで、検出結果をほぼリアルタイムでモニタリングおよび処理できます。次に、他のアプリケーションやサービスを使用して、調査結果に対してアクションを取ることができます。例えば、 EventBridge を使用して特定のタイプの新しい検出結果を AWS Lambda 関数に送信できます。その後、Lambda 関数はデータを処理してセキュリティインシデントおよびイベント管理 (SIEM) システムに送信する場合があります。Macie AWS User Notifications と統合する場合、イベントを使用して、指定した配信チャネルを介して結果を自動的に通知することもできます。

自動モニタリングと処理に加えて、 を使用すると、検出結果データの長期保持 EventBridge が可能になります。Macie は 90 日間調査結果を保存します。を使用すると EventBridge、検出結果データを任意のストレージプラットフォームに送信し、そのデータを必要な期間保存できます。

注記

長期の保持では、機密データの検出結果を S3 バケットに保存するように Macie を設定してください。機密データの検出結果は、Macie が S3 オブジェクトに対して実行した分析に関する詳細を記録するレコードです。詳細については、「機密データ検出結果の保存と保持」を参照してください。

Amazon の使用 EventBridge

Amazon では EventBridge、モニタリングするイベントと、それらのイベントに対して自動アクションを実行するターゲットを指定するルールを作成します。ターゲットは、イベント EventBridge を送信する送信先です。

検出結果のモニタリングと処理タスクを自動化するには、Amazon Macie 検出イベントを自動的に検出し、それらのイベントを別のアプリケーションまたはサービスに送信して処理やその他のアクションを行う EventBridge ルールを作成できます。特定の基準を満たすイベントのみを送信するようにルールを調整できます。そのためには、Macie 検出結果の Amazon EventBridge イベントスキーマから導き出される基準を指定します。

例えば、特定のタイプの新しい調査結果を AWS Lambda 関数に送信するルールを作成できます。その後、Lambda 関数は、データを処理してSIEMシステムに送信する、特定のタイプのサーバー側の暗号化を S3 オブジェクトに自動的に適用する、オブジェクトのアクセスコントロールリストを変更して S3 オブジェクトへのアクセスを制限する () などのタスクを実行できますACL。または、新しい重要度の高い検出結果を Amazon SNSトピックに自動的に送信するルールを作成して、その検出結果をインシデント対応チームに通知することもできます。

Lambda 関数の呼び出しと Amazon SNSトピックの通知に加えて、 は、Amazon Kinesis ストリームへのイベントの中継、 AWS Step Functions ステートマシンのアクティブ化、 AWS Systems Manager 実行コマンドの呼び出しなど、他のタイプのターゲットとアクション EventBridge をサポートします。サポートされているターゲットの詳細については、「Amazon ユーザーガイド」の「イベントバスターゲット」を参照してください。 EventBridge

Macie 検出結果用の Amazon EventBridge ルールの作成

次の手順では、Amazon EventBridge コンソールと AWS Command Line Interface (AWS CLI) を使用して Amazon Macie の検出結果の EventBridge ルールを作成する方法について説明します。このルールは、Macie 検出結果のイベントスキーマとパターンを使用するイベントを検出 EventBridgeし、それらのイベントを処理のために AWS Lambda 関数に送信します。

AWS Lambda は、サーバーのプロビジョニングや管理を行わずにコードを実行するために使用できるコンピューティングサービスです。コードをパッケージ化し、Lambda 関数 AWS Lambda として にアップロードします。 AWS Lambda その後、 関数が呼び出されたときに 関数を実行します。関数は、ユーザーが手動で呼び出したり、イベントに応答して自動的に呼び出したり、またはアプリケーションやサービスからのリクエストに応答したりすることができます。Lambda 関数の作成および呼び出しについては、 AWS Lambda 開発者ガイドを参照してください。

Console

Amazon EventBridge コンソールを使用して、処理のためにすべての Macie 検出イベントを Lambda 関数に自動的に送信するルールを作成するには、次の手順に従います。このルールは、特定のイベントを受信したときに実行されるルールのデフォルト設定を使用します。ルール設定の詳細、またはカスタム設定を使用するルールの作成方法については、「Amazon EventBridge ユーザーガイド」の「イベントに対応するルールの作成」を参照してください。

ヒント

カスタムパターンを使用して、Macie 調査結果イベントのサブセットのみを検出して処理するルールを作成することもできます。このサブセットは、Macie が調査結果イベントに含める特定のフィールドに基づいて作成できます。使用可能なフィールドについては、Macie 検出結果の Amazon EventBridge イベントスキーマを参照してください。ルールでのカスタムパターンの使用については、「Amazon EventBridge ユーザーガイド」の「イベントパターンの作成」を参照してください。

このルールを作成する前に、Lambda 関数を作成して、ルールがターゲットとして使用されるようにします。ルールを作成するときは、この関数をルールのターゲットとして指定する必要があります。

コンソールを使用してイベントのルールを作成するには

  1. で Amazon EventBridge コンソールを開きますhttps://console.aws.amazon.com/events/

  2. ナビゲーションペインのバス で、ルール を選択します。

  3. セクションで、ルールの作成 を選択します。

  4. 詳細のルール定義 で、次の操作を行います。

    • 名前 にルールの名前を入力します。

    • 説明 に、認可ルールの簡単な説明を入力します。

    • イベントバスを選択 の下で、 デフォルトのイベントバスが選択され、選択したイベントバスのルールを有効にするがオンになっていることを確認します。

    • ルールタイプ では、イベントパターンを持つルール を選択します。

  5. 終了したら、次へ を選択します。

  6. イベントパターンの作成 で、次の操作を行います。

    • イベントソース で、AWS イベントまたは EventBridge パートナーイベント を選択します。

    • (オプショナル) サンプルイベント については、Macie 用のサンプル検索イベントを確認して、イベントに含まれる可能性がある内容を確認してください。そのためには、[AWS イベント] を選択します。次に、[サンプルイベント] で [Macie 検出結果] を選択します。

    • 作成方法 では、パターンフォームの使用 を選択します。

    • イベントパターン には、次の設定を入力します。

      • イベントソースAWS のサービス を選択します。

      • の場合はAWS のサービスMacie を選択します。

      • イベントタイプ では、Macie の調査結果 を選択します。

  7. 終了したら、次へ を選択します。

  8. ターゲットを選択 ページで、次の操作を行います。

    • ターゲットタイプ には、AWS のサービス を選択します。

    • [Select a target] (ターゲットを選択) では、[Lambda function] (Lambda 関数) を選択します。次に、関数で、結果イベントの送信先となる Lambda 関数を選択します。

    • (オプショナル) バージョン/エイリアスを設定 で、ターゲットの Lambda 関数のバージョンとエイリアスの設定を入力します。

    • (オプショナル) [追加設定] で、Lambda 関数に送信するイベントデータを指定します。関数に正常に配信されないイベントを処理する方法を指定することもできます。

  9. 終了したら、次へ を選択します。

  10. タグの設定 ページで、ルールに割り当てる 1 つ以上のタグをオプションで入力します。続いて、次へ を選択します。

  11. 確認して作成するステップでは、ジョブの設定設定を確認し、それらが正しいことを検証します。

    設定を変更するには、設定が含まれるセクションで 編集を選択し、次に正しい設定を入力します。ナビゲーションタブを使用して、設定が含まれるページに移動することもできます。

  12. 設定の確認が完了したら Create rule (ルールの作成) を選択します。

AWS CLI

を使用して、処理のためにすべての Macie 検出結果イベントを Lambda 関数に送信する EventBridge ルール AWS CLI を作成するには、次の手順に従います。このルールは、特定のイベントを受信したときに実行されるルールのデフォルト設定を使用します。この手順では、コマンドは Microsoft Windows 用にフォーマットされます。Linux、macOS、または Unix では、キャレット (^) 行連結文字をバックスラッシュ (\) に置き換えます。

このルールを作成する前に、Lambda 関数を作成して、ルールがターゲットとして使用されるようにします。関数を作成するときは、関数の Amazon リソースネーム (ARN) を書き留めます。ルールのターゲットを指定するARN場合は、これを入力する必要があります。

を使用してイベントルールを作成するには AWS CLI

  1. Macie が に発行するすべての検出結果のイベントを検出するルールを作成します EventBridge。これを行うには、 EventBridge put-rule コマンドを実行します。例:

    C:\> aws events put-rule ^
--name MacieFindings ^
--event-pattern "{\"source\":[\"aws.macie\"]}"

    各パラメータの意味は次のとおりです。MacieFindings は、ルールに必要な名前です。

    ヒント

    また、カスタムパターン (event-pattern) を使用して Macie 検出イベントのサブセットのみを検出して処理するルールを作成することもできます。このサブセットは、Macie が調査結果イベントに含める特定のフィールドに基づいて作成できます。使用可能なフィールドについては、Macie 検出結果の Amazon EventBridge イベントスキーマを参照してください。ルールでのカスタムパターンの使用については、「Amazon EventBridge ユーザーガイド」の「イベントパターンの作成」を参照してください。

    コマンドが正常に実行されると、 はルールARNの に EventBridge 応答します。この に注意してくださいARN。それをステップ 3 で入力する必要があります。

  2. ルールのターゲットとして使用する Lambda 関数を指定します。これを行うには、 put-targets コマンドを実行します EventBridge。例:

    C:\> aws events put-targets ^
--rule MacieFindings ^
--targets Id=1,Arn=arn:aws:lambda:regionalEndpoint:accountID:function:my-findings-function

    各パラメータの意味は次のとおりです。MacieFindings はステップ 1 でルールに指定した名前で、 Arnパラメータの値は、ルールをターゲットとして使用する関数ARNの です。

  3. ルールがターゲット Lambda 関数を呼び出すことを許可する権限を追加します。これを行うには、Lambda add-permission コマンドを実行します。例:

    C:\> aws lambda add-permission ^
--function-name my-findings-function ^
--statement-id Sid ^
--action lambda:InvokeFunction ^
--principal events.amazonaws.com ^
--source-arn arn:aws:events:regionalEndpoint:accountId:rule:MacieFindings

    コードの説明は以下のとおりです。

    • my-findings-function は、ルールをターゲットとして使用する Lambda 関数の名前です。

    • Sid は、Lambda 関数ポリシーでステートメントを記述するために定義するステートメント識別子です。

    • source-arn はルールARNの です EventBridge。

    コマンドが正常に実行された場合は、次のような出力が表示されます。

    {
  "Statement": "{\"Sid\":\"sid\",
    \"Effect\":\"Allow\",
    \"Principal\":{\"Service\":\"events.amazonaws.com\"},
    \"Action\":\"lambda:InvokeFunction\",
    \"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:my-findings-function\",
    \"Condition\":
      {\"ArnLike\":
        {\"AWS:SourceArn\":
         \"arn:aws:events:us-east-1:111122223333:rule/MacieFindings\"}}}"
}

    Statement 値は、Lambda 関数ポリシーに追加されたステートメントのJSON文字列バージョンです。