Macie の検出結果を確認して分析する

Amazon Macie コンソールの 調査結果ページでは、調査結果をリスト化し、個別の調査結果の詳細な情報を提供します。これらのページでは、調査結果のグループ化、フィルタリング、並べ替え、および抑制ルール() の作成および管理のためのオプションも用意されています。抑制ルールは、調査結果の分析を合理化するのに役立ちます。

Amazon Macie API では、 AWS コマンドラインツールまたは AWS SDK を使用するか、HTTPS リクエストを Macie に直接送信することで、検出結果データをクエリおよび取得できます。データのクエリを行うには、Amazon Macie API にリクエストを送信し、サポートされているパラメータを使用して、取得する検出結果を指定します。リクエストを送信すると、Macie が結果を JSON レスポンスで返します。その後、調査結果を別のサービスまたはアプリケーションに渡して、より詳細な分析、長期保存、またはレポートの作成を行うことができます。詳細については、Amazon Macie API リファレンスを参照してください。

モニタリングやイベント管理システムなど、他のサービスおよびシステムとの統合をさらにサポートするために、Macie は調査結果をイベントとして Amazon EventBridge に発行します。以前の Amazon CloudWatch Events である EventBridge は、独自のアプリケーション、Software as a Service (SaaS) アプリケーション、および Macie AWS のサービス などからリアルタイムデータのストリームを配信できるサーバーレスイベントバスサービスです。そのデータを AWS Lambda 関数、Amazon Simple Notification Service トピック、Amazon Kinesis ストリームなどのターゲットにルーティングして、追加の自動処理を行うことができます。EventBridge を使用すると、検出結果データの長期保存も可能になります。EventBridge の詳細については、Amazon EventBridge ユーザーガイドを参照してください。

Macie は、新しい調査結果について EventBridge にイベントを自動的に発行します。また、Macie は既存のポリシーの調査結果のその後の出現でもイベントを自動的に発行します。検出結果データは EventBridge イベントとして設定されているため、他のサービスやツールを使用して、より簡単に検出結果を監視、分析して、対処することができます。たとえば、EventBridge を使用して、特定のタイプの新しい調査結果を AWS Lambda 関数に送信し、次にこの関数は、データを処理してセキュリティインシデントおよびイベント管理 (SIEM) システムに自動的に送信します。Macie AWS User Notifications と統合する場合、イベントを使用して、指定した配信チャネルを介して結果を自動的に通知することもできます。EventBridge を使用した検出結果の監視と処理の詳細については、Amazon EventBridge を使用した検出結果の処理 を参照してください。

組織のセキュリティ体制をさらに広く詳細に分析するには、検出結果を AWS Security Hubに出力することもできます。Security Hub は、 AWS のサービス およびサポートされている AWS Partner Network セキュリティソリューションからセキュリティデータを収集し、 AWS 環境全体のセキュリティ状態を包括的に把握できるようにするサービスです。Security Hub はまた、お客様の環境をセキュリティ業界の標準とベストプラクティスに照らしてチェックすることにも役立ちます。Security Hub の詳細については、「AWS Security Hub ユーザーガイド」を参照してください。Security Hub を使用した検出結果のモニタリングと処理の詳細については、「 AWS Security Hubを使用して検出結果を評価する」を参照してください。