Amazon을 통한 메이시 조사 결과 처리 EventBridge - Amazon Macie
EventBridge와(과) 호환조사 결과에 대한 EventBridge 규칙 생성

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon을 통한 메이시 조사 결과 처리 EventBridge

Amazon ( EventBridge구 Amazon CloudWatch Events) 은 서버리스 이벤트 버스 서비스입니다. EventBridge 애플리케이션 및 서비스로부터 실시간 데이터 스트림을 전달하고 해당 데이터를 AWS Lambda 함수, Amazon 단순 알림 서비스 (AmazonSNS) 주제, Amazon Kinesis 스트림과 같은 대상으로 라우팅합니다. 자세히 EventBridge 알아보려면 Amazon EventBridge 사용 설명서를 참조하십시오.

를 사용하면 특정 유형의 이벤트에 대한 모니터링 및 처리를 자동화할 수 있습니다. EventBridge 여기에는 Amazon Macie가 새로운 정책 조사 결과 및 민감한 데이터 조사 결과에 대해 자동으로 게시하는 이벤트가 포함됩니다. 또한 Macie가 이후에 기존 정책 결과가 발생할 경우를 대비하여 자동으로 게시하는 이벤트도 포함됩니다. Macie가 이러한 이벤트를 게시하는 방법 및 시기에 대한 자세한 내용은 조사 결과에 대한 게시 설정 구성 섹션을 참조하세요.

Macie가 결과에 대해 게시하는 이벤트를 사용하여 EventBridge 거의 실시간으로 결과를 모니터링하고 처리할 수 있습니다. 그런 다음, 다른 애플리케이션과 서비스를 사용하여 결과에 따라 조치를 취할 수 있습니다. 예를 들어, 특정 유형의 새 검색 결과를 함수에 보내는 EventBridge 데 사용할 수 있습니다. AWS Lambda 그러면 Lambda 함수가 데이터를 처리하여 보안 사고 및 이벤트 관리 SIEM () 시스템으로 전송할 수 있습니다. AWS사용자 알림을 Macie와 통합하는 경우 이벤트를 사용하여 지정한 전달 채널을 통해 탐지 결과를 자동으로 알림을 받을 수도 있습니다.

를 EventBridge 사용하면 자동화된 모니터링 및 처리 외에도 결과 데이터를 장기간 보존할 수 있습니다. Macie는 조사 결과를 90일 동안 저장합니다. 를 사용하면 검색 결과 데이터를 선호하는 스토리지 플랫폼으로 EventBridge 전송하고 원하는 기간 동안 데이터를 저장할 수 있습니다.

참고

장기 보존의 경우, 민감한 데이터 검색 결과를 S3 버킷에 저장하도록 Macie를 구성할 수있습니다. 민감한 데이터 검색 결과는 객체에 민감한 데이터가 포함되어 있는지 여부를 확인하기 위해 Macie가 S3 객체에 대해 수행한 분석에 대한 세부 정보를 기록하는 레코드입니다. 자세한 내용은 민감한 데이터 검색 결과 저장 및 유지을 참조하십시오.

아마존과 협력하기 EventBridge

EventBridgeAmazon에서는 규칙을 생성하여 모니터링하려는 이벤트와 해당 이벤트에 대해 자동화된 작업을 수행하려는 대상을 지정합니다. 대상은 이벤트를 EventBridge 보내는 목적지입니다.

결과에 대한 모니터링 및 처리 작업을 자동화하려면 Amazon Macie 검색 이벤트를 자동으로 탐지하고 처리 또는 기타 작업을 위해 해당 이벤트를 다른 애플리케이션 또는 서비스로 보내는 EventBridge 규칙을 생성할 수 있습니다. 특정 기준을 충족하는 이벤트만 전송하도록 규칙을 조정할 수 있습니다. 이렇게 하려면 EventBridge 메이시 조사 결과에 대한 Amazon 이벤트 스키마에서 파생된 기준을 지정하세요.

예를 들어, 특정 유형의 새 조사 결과를 AWS Lambda 함수에 보내는 규칙을 생성할 수 있습니다. 그러면 Lambda 함수는 데이터를 처리하여 SIEM 시스템으로 전송하거나, 특정 유형의 서버 측 암호화를 S3 객체에 자동으로 적용하거나, 객체의 액세스 제어 목록 () 을 변경하여 S3 객체에 대한 액세스를 제한하는 등의 작업을 수행할 수 있습니다. ACL 또는 Amazon SNS 주제에 심각도가 높은 새로운 조사 결과를 자동으로 보내는 규칙을 생성하여 사고 대응 팀에 결과를 알릴 수 있습니다.

Lambda 함수를 호출하고 Amazon 주제를 알리는 것 외에도 SNS Amazon Kinesis 스트림으로 이벤트를 중계하고 EventBridge , 상태 머신을 활성화하고, 실행 명령을 호출하는 등 다른 유형의 대상 및 작업을 지원합니다. AWS Step Functions AWS Systems Manager 지원되는 대상에 대한 자세한 내용은 Amazon EventBridge 사용 설명서의 이벤트 버스 대상을 참조하십시오.

메이시 조사 EventBridge 결과에 대한 Amazon 규칙 생성

다음 절차에서는 Amazon EventBridge 콘솔과 AWS Command Line Interface (AWS CLI) 를 사용하여 Amazon Macie 검색 결과에 대한 EventBridge 규칙을 생성하는 방법을 설명합니다. 이 규칙은 Macie 검색 결과에 대한 이벤트 스키마와 패턴을 사용하는 이벤트를 EventBridge 탐지하고 해당 이벤트를 처리를 위해 AWS Lambda 함수로 보냅니다.

AWS Lambda 서버를 프로비저닝하거나 관리하지 않고도 코드를 실행하는 데 사용할 수 있는 컴퓨팅 서비스입니다. 코드를 패키징하고 Lambda AWS Lambda 함수로 업로드합니다. AWS Lambda 그런 다음 함수가 호출될 때 함수를 실행합니다. 함수는 이벤트에 대한 응답으로 또는 애플리케이션 또는 서비스의 요청에 대한 응답으로 사용자가 수동으로 또는 자동으로 호출할 수 있습니다. Lambda 함수에 대한 자세한 내용은 AWS Lambda 개발자 가이드를 참조하세요.

Console

Amazon EventBridge 콘솔을 사용하여 모든 Macie 검색 이벤트를 Lambda 함수로 자동 전송하여 처리하는 규칙을 생성하려면 다음 단계를 따르십시오. 규칙은 특정 이벤트가 수신될 때 실행되는 규칙의 기본 설정을 사용합니다. 규칙 설정에 대한 자세한 내용이나 사용자 지정 설정을 사용하는 규칙을 생성하는 방법을 알아보려면 Amazon EventBridge User Guide의 이벤트에 반응하는 규칙 생성을 참조하십시오.

작은 정보

또한 사용자 지정 이벤트 패턴을 사용하여 Macie 조사 결과 이벤트의 하위 세트만 감지하고 이에 따라 동작하는 규칙을 생성할 수 있습니다. 이 하위 세트는 Macie가 해당 이벤트에 포함하는 특정 필드를 기반으로 할 수 있습니다. 사용 가능한 필드에 대한 자세한 내용은 EventBridge 메이시 조사 결과에 대한 Amazon 이벤트 스키마 섹션을 참조하세요. 규칙에서 사용자 지정 패턴을 사용하는 방법에 대해 알아보려면 Amazon EventBridge 사용 설명서에서 이벤트 패턴 생성을 참조하십시오.

규칙을 생성하려면 규칙에서 대상으로 사용하도록 하려는 Lambda 함수를 생성합니다. 규칙을 생성할 때 이 함수를 규칙의 대상으로 지정해야 합니다.

콘솔을 사용하여 이벤트 규칙을 생성하려면

  1. 에서 Amazon EventBridge 콘솔을 엽니다 https://console.aws.amazon.com/events/.

  2. 탐색 창의 버스에서 규칙을 선택합니다.

  3. Rules(규칙) 섹션에서 Create rule(규칙 생성)을 선택합니다.

  4. 규칙 세부 정보 정의 페이지에서 다음을 수행합니다.

    • Name(이름)에 규칙 이름을 입력합니다.

    • (선택 사항) 설명에 규칙에 대한 간략한 설명을 입력합니다.

    • 이벤트 버스의 경우 기본값이 선택되어 있고 선택한 이벤트 버스에 대해 규칙 활성화가 켜져 있는지 확인하세요.

    • 규칙 유형(Rule type)에서 이벤트 패턴이 있는 규칙(Rule with an event pattern)을 생성합니다.

  5. 마쳤으면 다음을 선택합니다.

  6. 이벤트 패턴 빌드 페이지에서 다음을 수행합니다.

    • 이벤트 소스에서AWS 이벤트 또는 EventBridge 파트너 이벤트를 선택합니다.

    • (선택 사항) 샘플 이벤트의 경우 Macie의 샘플 조사 결과 이벤트를 검토하여 이벤트에 포함될 수 있는 항목을 알아보세요. 이렇게 하려면 AWS 이벤트를 선택하세요. 그런 다음 샘플 이벤트에서 Macie 조사 결과를 선택합니다.

    • 생성 방법에서 패턴 양식 사용을 선택합니다.

    • 이벤트 패턴에 다음 설정을 입력합니다.

      • 이벤트 소스에서 AWS 서비스를 선택합니다.

      • AWS 서비스그러려면 Macie를 선택하십시오.

      • 이벤트 유형으로 Macie 조사 결과를 선택합니다.

  7. 마쳤으면 다음을 선택합니다.

  8. 대상 선택 페이지에서 다음을 수행합니다.

    • 대상 유형(Target types)에서 AWS 서비스를 선택합니다.

    • 대상 선택(Select a target)에서 Lambda 함수(Lambda function)를 선택합니다. 그런 다음 함수에서 이벤트를 보낼 함수를 선택합니다.

    • 버전/별칭 구성에 대상 Lambda 함수의 버전 및 별칭 설정을 입력합니다.

    • (선택 사항) 추가 설정의 경우 사용자 지정 설정을 입력하여 Lambda 함수로 전송할 이벤트 데이터를 지정합니다. 함수에 성공적으로 전달되지 않은 이벤트를 처리하는 방법도 지정할 수 있습니다.

  9. 마쳤으면 다음을 선택합니다.

  10. 태그 구성 페이지에서 규칙에 할당할 하나 이상의 태그를 선택적으로 입력합니다. 다음을 선택합니다.

  11. 검토 및 생성 페이지에서 규칙의 설정을 검토하고 올바른지 확인합니다.

    설정을 변경하려면, 설정이 포함된 섹션에서 편집을 선택한 다음, 올바른 설정을 입력합니다. 탐색 탭을 사용하여 설정이 포함된 페이지로 이동할 수도 있습니다.

  12. 설정 검증을 마치면 생성를 선택합니다.

AWS CLI

다음 단계에 따라 를 사용하여 모든 Macie 찾기 이벤트를 Lambda 함수로 전송하여 처리하는 EventBridge 규칙을 생성하십시오. AWS CLI 규칙은 특정 이벤트가 수신될 때 실행되는 규칙의 기본 설정을 사용합니다. 이 절차에서는 Microsoft Windows용으로 명령 형식이 지정됩니다. Linux, macOS 또는 Linux의 경우 캐럿(^) 행 연속 문자를 백슬래시(\)로 바꿉니다.

규칙을 생성하려면 규칙에서 대상으로 사용하도록 하려는 Lambda 함수를 생성합니다. 함수를 생성할 때 함수의 Amazon 리소스 이름 (ARN) 을 기록해 두십시오. 규칙의 대상을 지정할 ARN 때 이 값을 입력해야 합니다.

를 사용하여 이벤트 규칙을 만들려면 AWS CLI

  1. Macie가 게시한 모든 결과에 대해 이벤트를 탐지하는 규칙을 만드십시오. EventBridge 이렇게 하려면 put-rule 명령을 실행하십시오. EventBridge 예:

    C:\> aws events put-rule ^
--name MacieFindings ^
--event-pattern "{\"source\":[\"aws.macie\"]}"

    위치 MacieFindings 규칙에 사용할 이름입니다.

    작은 정보

    또한 사용자 지정 패턴 (event-pattern) 을 사용하여 Macie 검색 이벤트의 일부만 탐지하고 조치를 취하는 규칙을 만들 수도 있습니다. 이 하위 세트는 Macie가 해당 이벤트에 포함하는 특정 필드를 기반으로 할 수 있습니다. 사용 가능한 필드에 대한 자세한 내용은 EventBridge 메이시 조사 결과에 대한 Amazon 이벤트 스키마 섹션을 참조하세요. 규칙에서 사용자 지정 패턴을 사용하는 방법에 대해 알아보려면 Amazon EventBridge 사용 설명서에서 이벤트 패턴 생성을 참조하십시오.

    명령이 성공적으로 실행되면 규칙에 따라 EventBridge ARN 응답합니다. 이 ARN 점을 참고하세요. 3단계에서 이 정보가 필요합니다.

  2. 규칙의 대상으로 사용할 Lambda 함수를 지정합니다. 이 작업을 수행하려면 EventBridge put-targets 명령을 실행하십시오. 예:

    C:\> aws events put-targets ^
--rule MacieFindings ^
--targets Id=1,Arn=arn:aws:lambda:regionalEndpoint:accountID:function:my-findings-function

    위치 MacieFindings 는 1단계에서 규칙에 지정한 이름이고, Arn 매개 변수 값은 규칙이 대상으로 사용하려는 함수의 이름입니다. ARN

  3. 규칙이 대상 Lambda 함수를 호출하도록 허용하는 권한을 추가합니다. 이렇게 하려면 Lambda 추가 권한 명령을 실행합니다. 예:

    C:\> aws lambda add-permission ^
--function-name my-findings-function ^
--statement-id Sid ^
--action lambda:InvokeFunction ^
--principal events.amazonaws.com ^
--source-arn arn:aws:events:regionalEndpoint:accountId:rule:MacieFindings

    위치:

    • my-findings-function 규칙이 대상으로 사용하려는 Lambda 함수의 이름입니다.

    • Sid Lambda 함수 정책에서 명령문을 설명하기 위해 정의하는 명령문 식별자입니다.

    • source-arn는 ARN 규칙의 일부입니다. EventBridge

    이 명령이 성공적으로 실행되면, 다음과 비슷한 출력이 표시됩니다.

    {
  "Statement": "{\"Sid\":\"sid\",
    \"Effect\":\"Allow\",
    \"Principal\":{\"Service\":\"events.amazonaws.com\"},
    \"Action\":\"lambda:InvokeFunction\",
    \"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:my-findings-function\",
    \"Condition\":
      {\"ArnLike\":
        {\"AWS:SourceArn\":
         \"arn:aws:events:us-east-1:111122223333:rule/MacieFindings\"}}}"
}

    Statement값은 Lambda 함수 정책에 추가된 명령문의 JSON 문자열 버전입니다.