翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS User Notifications を使用して Macie の検出結果をモニタリングする
AWS User Notifications は、AWS Management Console での AWS 通知を一元的に管理するサービスです。これには、Amazon CloudWatch のアラーム、Support ケース、他のユーザーからの通信などの通知が含まれます。AWS のサービスUser Notifications では、特定の種類の Amazon EventBridge イベントに関する通知を受信するためのカスタムルールと配信チャネルを設定できます。配信チャネルには、E メール、AWS Chatbot チャット通知、AWS Console Mobile Application プッシュ通知が含まれます。通知は、AWS User Notifications コンソールでも確認できます。User Notifications の詳細については、「AWS User Notifications ユーザーガイド」を参照してください。
Amazon Macie が AWS User Notifications と統合されているため、ポリシーと機密データの検出結果について Macie が EventBridge に公開するイベントを通知するように User Notifications を設定できます。検出結果イベントが指定した条件に一致すると、User Notifications によって通知が生成されます。通知には、検出結果のタイプや重要度、影響を受けるリソースの名前など、関連する結果の重要な詳細が含まれます。User Notifications は、指定した 1 つ以上の配信チャネルに通知を送信することもできます。セキュリティとコンプライアンスのワークフローに合わせて、選択した配信チャネルを調整できます。
例えば、特定のタイプの新しい重要度の高い検出結果に関する通知を生成するように User Notifications を設定できます。また、これらの通知の配信チャネルとして AWS Chatbot を指定することもできます。次に、User Notifications は検出結果の EventBridge イベントを検出し、検出結果からのデータを含む通知を生成して、通知を AWS Chatbot に送信します。その後、AWS Chatbot は通知を Slack チャネルまたは Amazon Chime チャットルームに転送して、インシデント対応チームに通知します。
AWS User Notifications の使用
AWS User Notifications では、モニタリングし、通知を受信する Amazon EventBridge イベントのタイプを指定するルールを作成します。ルールは、通知を生成するために EventBridge イベントが一致しなければならない条件を定義します。ルールには 1 つ以上の配信チャネルを選択することもできます。配信チャネルでは、ルールの条件に一致するイベントの通知を受信する場所を指定します。
User Notifications がルールの条件に一致する EventBridge イベントを検出すると、次の一般的なタスクが実行されます。
-
イベントからデータのサブネットを抽出します。
-
抽出されたデータを含む通知を生成します。
-
そのタイプのイベント用に指定した配信チャネルに通知を送信します。
通知のデザインと構造は、送信先の配信チャネルごとに最適化されます。
受信する通知の頻度や数を制御するには、ルールの集計設定を設定できます。これらの設定を有効にすると、User Notifications は複数のイベントのデータを 1 つの通知にまとめます。集約されたイベント通知を迅速かつ頻繁に送信するように選択できます。これは、重要度の高いイベントを検索する場合に便利です。または、送信頻度を減らして受け取る通知の数を減らすこともできます。これは、重要度が低い検出イベントに対して行うとよいでしょう。イベントデータを組み合わせると、AWS User Notifications コンソールを使用して集計された各イベントの詳細をドリルダウンして確認できます。そこから、Amazon Macie コンソール上の関連する検出結果に移動することもできます。
Macie の検出結果に対して AWS User Notifications を有効化して設定する
AWS User Notifications で Amazon Macie の検出結果に関する通知を生成できるようにするには、User Notifications で Macie の通知設定を作成します。通知設定はルールの基準を指定します。また、ルールの条件に一致する Amazon EventBridge イベントを監視して通知を送信するための配信チャネルやその他の設定も指定します。通知設定の作成の詳細については、AWS User Notifications ユーザーガイドの「AWS User Notifications の使用開始」を参照してください。
Macie の結果の通知設定を作成するには、イベントルールで以下のオプションを選択します。
-
AWS のサービスサービス名 では Macie を選択します。
-
イベントタイプ では、Macie の調査結果 を選択します。
-
リージョン では、Macie を使用していて、結果の通知を受け取りたい地域をそれぞれ AWS リージョン を選択します。
この設定では、User Notifications は AWS アカウント の EventBridge イベントをモニタリングし、選択したリージョン内のすべての Macie Finding イベントに関する通知を生成します。イベントは、以下の条件に一致します。
-
sourceがaws.macie -
detail-typeがMacie Finding
イベントルールの基になる JSON パターンは次のとおりです。
{ "source": ["aws.macie"], "detail-type": ["Macie Finding"] }
ルールを絞り込み、検出結果のサブセットのみの通知を生成するには、ルールの JSON パターンをカスタマイズできます。そのためには、Macie 検出結果の Amazon EventBridge イベントスキーマから導き出される追加基準を指定します。
カスタム JSON パターンを使用するルールを作成すると、Macie の結果に対して複数の通知設定を作成できます。その後、特定のタイプの調査結果のセキュリティとコンプライアンスのワークフローに合わせて、設定ごとに配信チャネルやその他の設定を調整できます。
例えば、Macie がPolicy:IAMUser/S3BucketPublic検出結果を生成または更新した場合に通知する 1 つのルールを作成できます。この場合、ルールのパターンは次のようになります。
{ "source": ["aws.macie"], "detail-type": ["Macie Finding"], "detail": { "type": ["Policy:IAMUser/S3BucketPublic"] } }
また、Macie がパブリックにアクセス可能な S3 バケットの機密データ検出結果を生成した場合に通知する別のルールを作成することもできます。この場合、ルールのパターンは次のようになります。
{ "source": ["aws.macie"], "detail-type": ["Macie Finding"], "detail": { "type": [ { "prefix": "SensitiveData" } ], "resourcesAffected": { "effectivePermission": ["PUBLIC"] } } }
Macie の結果に対して複数の通知設定を作成する場合は、各設定のルールが固有であることを確認するとよいでしょう。それ以外の場合は、個別の検出結果の通知が重複する場合があります。
ルールのイベントパターンのカスタマイズについて詳しくは、AWS User Notifications ユーザーガイドの「カスタマイズされた JSON イベントパターンの使用」を参照してください。
Macie の検出結果フィールドに AWS User Notifications フィールドをマッピングする
AWS User Notifications が Amazon Macie の検出結果に関する通知を生成すると、対応する Amazon EventBridge イベントのフィールドのサブセットからのデータが通知に入力されます。これらのフィールドには、結果のタイプや重大度、影響を受けるリソースの名前など、関連する結果の重要な詳細が表示されます。
AWS User Notifications コンソールで通知を確認すると、通知にはこのフィールドのサブセットのすべてのデータが含まれます。Amazon Macie コンソール内の関連する調査結果へのリンクも提供します。他の配信チャネルの通知を確認すると、その通知には一部のフィールドのデータしか含まれていない可能性があります。これは、User Notifications が、サポートする各タイプの配信チャネルに合わせて通知のデザインと構造を調整するためです。
以下のテーブルには、結果の通知に含まれる可能性のあるフィールドが一覧表示されます。このテーブルには、通知フィールド 列には、通知に含まれるフィールドの説明 (イタリック体) または名前を示しています。調査結果イベントフィールド の列は、EventBridge イベント内の対応する JSON フィールドの名前を示すために、ドット表記を使用します。説明列には、フィールドに保存されているデータが説明されています。
| 通知フィールド | イベントフィールドの検索 | 説明 |
|---|---|---|
|
メッセージヘッドライン |
|
結果のタイプ。 例えば、 |
| 概要 |
|
検出結果の簡単な説明。 例: |
| 説明 |
|
結果の詳細な説明 例: |
| 緊急度 |
|
調査結果の重要度の定性的表現: |
|
検出結果 ID |
|
フィルターの一意の識別子。 |
|
作成 |
|
Macie が調査結果を作成した日時。 |
|
更新 |
|
Macie が検出結果を直近に更新した日時。 機密データの調査結果では、この値は作成 |
|
影響を受ける S3 バケット |
|
影響を受ける S3 バケットの Amazon リソースネーム (ARN)。 |
|
影響を受ける S3 オブジェクト |
|
オブジェクトを格納するバケットの名前と、該当する場合はオブジェクトのプレフィックスが含む、影響を受けた S3 オブジェクトの名前キー。 このフィールドはポリシー検出結果の通知には含まれません。 |
|
機密データの検出 |
And/Or
|
これは、機密データが見つかった場合のイベント内の複数のフィールドを連結したものです。このフィールドはポリシー検出結果の通知には含まれません。 マネージドデータ識別子が機密データを検出した場合、このフィールドには検出された機密データのカテゴリ、タイプ、および出現回数 カスタムデータ識別子が機密データを検出した場合、このフィールドにはカスタムデータ識別子の名前と検出された機密データの出現回数 結果から複数のタイプの機密データが報告される場合、通知には最大 4 種類のデータが含まれます。データは最初に該当するカスタムデータ識別子によって入力され、次に該当するマネージドデータ識別子によって入力されます。 |
Macie の検出結果に対して AWS User Notifications の設定を変更する
Amazon Macie の検出結果に対して AWS User Notifications 設定をいつでも変更できます。そのためには、User Notifications で通知設定を編集します。方法については、AWS User Notifications ユーザーガイドの「通知設定の管理」を参照してください。
Macie の検出結果に対して複数の通知設定がある場合、1 つの設定を変更しても他の設定の設定には影響しません。すべての設定を編集することも、一部の設定のみを編集することもできます。
Macie の検出結果に対して AWS User Notifications を無効化する
Amazon Macie の検出結果に対して AWS User Notifications からの通知の生成と受信を停止するには、User Notifications の通知設定を削除します。方法については、AWS User Notifications ユーザーガイドの「通知設定の管理」を参照してください。
Macie の結果に対して複数の通知設定がある場合、1 つの設定を削除しても他の設定には影響しません。すべての設定を削除することも、一部の設定のみを削除することもできます。
