Amazon Macie の調査結果を分析する

Amazon Macie コンソールの 調査結果ページでは、調査結果をリスト化し、個別の調査結果の詳細な情報を提供します。これらのページでは、調査結果のグループ化、フィルタリング、並べ替え、および抑制ルール() の作成および管理のためのオプションも用意されています。抑制ルールは、調査結果の分析を合理化するのに役立ちます。

Amazon Macie API では、 AWS コマンドラインツールまたは AWS SDK を使用するか、HTTPS リクエストを Macie に直接送信することで、検出結果データをクエリおよび取得できます。データのクエリを行うには、Amazon Macie API にリクエストを送信し、サポートされているパラメータを使用して、取得する検出結果を指定します。リクエストを送信すると、Macie が結果を JSON レスポンスで返します。その後、調査結果を別のサービスまたはアプリケーションに渡して、より詳細な分析、長期保存、またはレポートの作成を行うことができます。詳細については、Amazon Macie API リファレンスを参照してください。

モニタリングやイベント管理システムなどの他の のサービスやシステムとの統合をさらにサポートするために、Macie は調査結果をイベント EventBridge として Amazon に公開します。以前の Amazon CloudWatch Events は、独自のアプリケーション EventBridge、Software as a Service (SaaS) アプリケーション、および Macie AWS のサービス などのリアルタイムデータのストリームを配信できるサーバーレスイベントバスサービスです。そのデータを AWS Lambda 関数、Amazon Simple Notification Service トピック、Amazon Kinesis ストリームなどのターゲットにルーティングして、追加の自動処理を行うことができます。 EventBridge また、 を使用すると、検出結果データの長期的な保持を確保できます。の詳細については EventBridge、「Amazon EventBridge ユーザーガイド」を参照してください。

Macie は、新しい検出結果 EventBridge のイベントを に自動的に発行します。また、Macie は既存のポリシーの調査結果のその後の出現でもイベントを自動的に発行します。検出結果データは EventBridge イベントとして構成されているため、他の サービスやツールを使用して、検出結果をより簡単にモニタリング、分析、対応できます。例えば、 EventBridge を使用して、特定のタイプの新しい検出結果を AWS Lambda 関数に自動的に送信し、次にデータを処理してセキュリティインシデントおよびイベント管理 (SIEM) システムに送信できます。AWS User Notifications を Macie と統合すると、イベントを使用して、指定した配信チャネルを通じて検出結果を自動的に通知することもできます。 EventBridge イベントを使用して検出結果をモニタリングおよび処理する方法については、「」を参照してくださいAmazon Macie の Amazon EventBridge との統合。

組織のセキュリティ体制をさらに広く詳細に分析するには、検出結果を AWS Security Hubに出力することもできます。Security Hub は、 AWS のサービス およびサポートされているセキュリティソリューションから AWS Partner Network セキュリティデータを収集し、 AWS 環境全体のセキュリティ状態を包括的に把握できるようにするサービスです。Security Hub はまた、お客様の環境をセキュリティ業界の標準とベストプラクティスに照らしてチェックすることにも役立ちます。Security Hub の詳細については、AWS Security Hub ユーザーガイドを参照してください。Security Hub を使用した調査結果のモニタリングと処理の詳細については、Amazon Macie の AWS Security Hub との統合を参照してください。