Macie の検出結果のサンプルを使用する

Amazon Macie が生成できるさまざまな types of findings (調査結果のタイプ) を探索して学ぶために、検出結果のサンプルを作成できます。検出結果のサンプルでは、データ例とプレースホルダー値を使用して、各タイプの調査結果に含まれる可能性のある情報の種類を示します。

たとえば、Policy:IAMUser/S3BucketPublic 検出結果のサンプルには、架空の Amazon Simple Storage Service (Amazon S3) バケットの詳細が含まれています。調査結果の詳細には、バケットのアクセスコントロールリスト (ACL) を変更し、バケットをパブリックにアクセスできるようにしたアクターとアクションに関するデータ例が含まれます。同様に、SensitiveData:S3Object/Multiple サンプル検出結果には、架空の Microsoft Excel スプレッドシートに関する詳細が含まれています。検出結果の詳細には、スプレッドシート内の機密データのタイプと場所に関するデータ例が含まれます。

さまざまなタイプの調査結果に含まれる可能性のある情報に習熟するのに加え、検出結果のサンプルを使用して、他のアプリケーション、サービス、およびシステムとの統合をテストできます。アカウントの suppression rules (抑制ルール) に応じて、Macie は検出結果のサンプルを Amazon EventBridge にイベントとして発行できます。これらのイベントのデータの例は、EventBridge で検出結果をモニタリングおよび処理するための自動ソリューションの開発とテストに役立ちます。アカウントで選択した 発行設定に応じて、Macie は AWS Security Hubにその検出結果のサンプルを発行することもできます。つまり、検出結果のサンプルを使用して、Security Hub で Macie の検出結果を評価するためのソリューションを開発およびテストすることもできます。調査結果をこれらのサービスに発行する方法については、調査結果のモニタリングと処理を参照してください。

検出結果のサンプルの作成

Amazon Macie コンソールまたは Amazon Macie API を使用して、検出結果のサンプルを作成できます。コンソールを使用する場合、Macie がサポートする調査結果のタイプごとに 1 つの検出結果のサンプルを Macie が自動的に生成します。API を使用する場合、各タイプに対してサンプルを作成することも、指定した特定のタイプのみにサンプルを作成することもできます。

90 日以内にサンプル検出結果を再度作成すると、Macie は作成する機密データの検出結果のタイプごとに新しい検出結果を生成します。ポリシーの検出結果の場合、Macie は出現回数を増分し、その後の出現の発生日時に関する詳細を更新することで、既存の各サンプルの検出結果を更新します。

検出結果のサンプルを確認する

検出結果のサンプルを特定しやすくするために、Amazon Macie は各検出結果のサンプルの [サンプル] フィールドの値を [True] に設定します。さらに、影響を受けた S3 バケットの名前は、すべての検出結果のサンプルで同じです (macie-sample-finding-bucket)。Amazon Macie コンソールの [検出結果] ページを使用してサンプル検出結果を確認すると、Macie は各検出結果のサンプルの [検出結果タイプ] の [SAMPLE] プレフィックスも表示します。

検出結果のサンプルの抑制

他の調査結果と同様に、Amazon Macie は検出結果のサンプルを 90 日間保存します。サンプルの確認と実験が終了したら、必要に応じて 抑制ルールの作成 を行い、サンプルをアーカイブできます。これを行うと、検出結果のサンプルがデフォルトでコンソールに表示されなくなるため、それらのステータスが archived (アーカイブ済み) に変わります。

Amazon Macie コンソールを使用してサンプル結果をアーカイブするには、サンプル フィールドの値が True である場合、調査結果をアーカイブするようにルールを設定します。Amazon Macie API を使用してサンプル結果をアーカイブするには、sample フィールドの値が true である場合、調査結果をアーカイブするようにルールを設定します。