Amazon EventBridge를 사용하여 Macie 조사 결과 처리 - Amazon Macie
EventBridge 작업조사 결과에 대한 EventBridge 규칙 생성

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon EventBridge를 사용하여 Macie 조사 결과 처리

Amazon EventBridge(전 Amazon CloudWatch Events)는 서버리스 이벤트 버스 서비스입니다. EventBridge는 애플리케이션 및 서비스의 실시간 데이터 스트림을 제공한 다음, 해당 데이터를 AWS Lambda 함수, Amazon Simple Notification Service(SNS) 주제, Amazon Kinesis 스트림 등의 대상으로 라우팅합니다. EventBridge에 대해 자세히 알아보려면 Amazon EventBridge 사용 설명서를 참조하세요.

EventBridge를 사용하면 특정 유형의 이벤트에 대한 모니터링 및 처리를 자동화할 수 있습니다. 여기에는 Amazon Macie가 새로운 정책 조사 결과 및 민감한 데이터 조사 결과에 대해 자동으로 게시하는 이벤트가 포함됩니다. 또한 Macie가 이후에 기존 정책 결과가 발생할 경우를 대비하여 자동으로 게시하는 이벤트도 포함됩니다. Macie가 이러한 이벤트를 게시하는 방법 및 시기에 대한 자세한 내용은 조사 결과에 대한 게시 설정 구성 섹션을 참조하세요.

EventBridge와 Macie가 조사 결과에 대해 게시하는 이벤트를 사용하면 거의 실시간으로 결과를 모니터링하고 처리할 수 있습니다. 그런 다음, 다른 애플리케이션과 서비스를 사용하여 결과에 따라 조치를 취할 수 있습니다. 예를 들어 EventBridge를 사용하여 특정 유형의 새로운 조사 결과를 AWS Lambda 함수에 보낼 수 있습니다. 그러면 Lambda 함수가 데이터를 처리하여 보안 인시던트 및 이벤트 관리(SIEM)시스템으로 전송할 수 있습니다. AWS 사용자 알림를 Macie와 통합하는 경우, 이벤트를 사용하여 지정한 전송 채널을 통해 자동으로 조사 결과에 대한 알림을 받을 수도 있습니다.

자동 모니터링 및 처리 외에도 EventBridge를 사용하면 조사 결과 데이터를 장기간 보존할 수 있습니다. Macie는 조사 결과를 90일 동안 저장합니다. EventBridge를 사용하면 조사 결과 데이터를 선호하는 스토리지 플랫폼으로 보내고 원하는 기간 동안 데이터를 저장할 수 있습니다.

참고

장기 보존의 경우, 민감한 데이터 검색 결과를 S3 버킷에 저장하도록 Macie를 구성할 수있습니다. 민감한 데이터 검색 결과는 객체에 민감한 데이터가 포함되어 있는지 여부를 확인하기 위해 Macie가 S3 객체에 대해 수행한 분석에 대한 세부 정보를 기록하는 레코드입니다. 자세한 내용은 민감한 데이터 검색 결과 저장 및 유지(을)를 참조하세요.

Amazon EventBridge 작업

Amazon EventBridge를 사용하면, 모니터링하려는 이벤트와 해당 이벤트에 대해 자동화된 작업을 수행하려는 대상을 지정하는 규칙을 생성할 수 있습니다. 대상은 EventBridge가 이벤트를 보내는 대상입니다.

조사 결과에 대한 모니터링 및 처리 태스크를 자동화하려면 Amazon Macie 조사 결과 이벤트를 자동으로 감지하고 처리 또는 기타 태스크를 위해 이러한 이벤트를 다른 애플리케이션 또는 서비스로 보내는 EventBridge 규칙을 생성할 수 있습니다. 특정 기준을 충족하는 이벤트만 전송하도록 규칙을 조정할 수 있습니다. 이렇게 하려면 Macie 조사 결과에 대한 Amazon EventBridge 이벤트 스키마에서 파생된 기준을 지정하세요.

예를 들어, 특정 유형의 새 조사 결과를 AWS Lambda 함수에 보내는 규칙을 생성할 수 있습니다. 그러면 Lambda 함수는 데이터를 처리하여 SIEM 시스템으로 전송하거나, 특정 유형의 서버 측 암호화를 S3 객체에 자동으로 적용하거나, 객체의 액세스 제어 목록(ACL)을 변경하여 S3 객체에 대한 액세스를 제한하는 등의 태스크를 수행할 수 있습니다. 또는 심각도가 높은 새로운 조사 결과를 Amazon SNS 주제에 자동으로 보내는 규칙을 생성하여 인시던트 대응 팀에 결과를 알릴 수 있습니다.

EventBridge는 Lambda 함수를 호출하고 Amazon SNS 주제를 알리는 것 외에도 Amazon Kinesis 스트림에 이벤트를 릴레이하고, AWS Step Functions 상태 시스템을 활성화하고, AWS Systems Manager 실행 명령을 호출하는 등 다른 유형의 대상 및 작업을 지원합니다. 지원되는 대상에 대한 자세한 설명은 Amazon EventBridge 사용자 가이드의 이벤트 버스 대상을 참조하세요.

Macie 조사 결과에 대한 Amazon EventBridge 규칙 생성

다음 절차에서는 Amazon EventBridge 콘솔 및 AWS Command Line Interface(AWS CLI)를 사용하여 Amazon Macie 조사 결과에 대한 EventBridge 규칙을 생성하는 방법에 대해 설명합니다. 규칙은 Macie 조사 결과에 대한 이벤트 스키마 및 패턴을 사용하는 EventBridge 이벤트를 감지한 다음, 처리를 위해 해당 이벤트를 AWS Lambda 함수로 전송합니다.

AWS Lambda는 서버를 프로비저닝하거나 관리하지 않고 코드를 실행하는 데 사용할 수 있는 컴퓨팅 서비스입니다. 코드를 패키징하여 AWS Lambda에 로Lambda 함수로 업로드합니다. 그러면 AWS Lambda에서는 해당 함수가 호출될 때 실행합니다. 함수는 이벤트에 대한 응답으로 또는 애플리케이션 또는 서비스의 요청에 대한 응답으로 사용자가 수동으로 또는 자동으로 호출할 수 있습니다. Lambda 함수에 대한 자세한 내용은 AWS Lambda개발자 가이드를 참조하세요.

Console

이 단계에 따라 Amazon EventBridge 콘솔을 사용하여 모든 Macie 조사 결과 이벤트를 Lambda 함수로 자동 전송하여 처리하는 규칙을 생성합니다. 규칙은 특정 이벤트가 수신될 때 실행되는 규칙의 기본 설정을 사용합니다. 규칙 설정에 대한 자세한 내용이나 사용자 지정 설정을 사용하는 규칙을 생성하는 방법을 알아보려면 Amazon EventBridge 사용 설명서Creating rules that react to events 섹션을 참조하세요.

작은 정보

또한 사용자 지정 이벤트 패턴을 사용하여 Macie 조사 결과 이벤트의 하위 세트만 감지하고 이에 따라 동작하는 규칙을 생성할 수 있습니다. 이 하위 세트는 Macie가 해당 이벤트에 포함하는 특정 필드를 기반으로 할 수 있습니다. 사용 가능한 필드에 대한 자세한 내용은 Macie 조사 결과에 대한 Amazon EventBridge 이벤트 스키마 섹션을 참조하세요. 규칙에 사용자 지정 패턴을 사용하는 방법에 대한 자세한 내용은 Amazon EventBridge 사용 설명서의 이벤트 패턴 생성을 참조하세요.

규칙을 생성하려면 규칙에서 대상으로 사용하도록 하려는 Lambda 함수를 생성합니다. 규칙을 생성할 때 이 함수를 규칙의 대상으로 지정해야 합니다.

콘솔을 사용하여 이벤트 규칙을 생성하려면

  1. Amazon EventBridge 콘솔(https://console.aws.amazon.com/events/)을 엽니다.

  2. 탐색 창의 버스 아래에서 규칙을 선택합니다.

  3. Rules(규칙) 섹션에서 Create rule(규칙 생성)을 선택합니다.

  4. 규칙 세부 정보 정의 페이지에서 다음을 수행합니다.

    • Name(이름)에 규칙 이름을 입력합니다.

    • (선택 사항) 설명에 규칙에 대한 간략한 설명을 입력합니다.

    • 이벤트 버스의 경우 기본값이 선택되어 있고 선택한 이벤트 버스에 대해 규칙 활성화가 켜져 있는지 확인하세요.

    • 규칙 유형(Rule type)에서 이벤트 패턴이 있는 규칙(Rule with an event pattern)을 생성합니다.

  5. 마쳤으면 다음을 선택합니다.

  6. 이벤트 패턴 빌드 페이지에서 다음을 수행합니다.

    • 이벤트 소스에서 AWS 이벤트 또는 EventBridge 파트너 이벤트를 선택합니다.

    • (선택 사항) 샘플 이벤트의 경우 Macie의 샘플 조사 결과 이벤트를 검토하여 이벤트에 포함될 수 있는 항목을 알아보세요. 이렇게 하려면 AWS 이벤트를 선택하세요. 그런 다음 샘플 이벤트에서 Macie 조사 결과를 선택합니다.

    • 생성 방법에서 패턴 양식 사용을 선택합니다.

    • 이벤트 패턴에 다음 설정을 입력합니다.

      • 이벤트 소스에서 AWS 서비스를 선택합니다.

      • AWS 서비스에서 Macie를 선택합니다.

      • 이벤트 유형으로 Macie 조사 결과를 선택합니다.

  7. 마쳤으면 다음을 선택합니다.

  8. 대상 선택 페이지에서 다음을 수행합니다.

    • 대상 유형(Target types)에서 AWS 서비스를 선택합니다.

    • 대상 선택(Select a target)에서 Lambda 함수(Lambda function)를 선택합니다. 그런 다음 함수에서 이벤트를 보낼 함수를 선택합니다.

    • 버전/별칭 구성에 대상 Lambda 함수의 버전 및 별칭 설정을 입력합니다.

    • (선택 사항) 추가 설정의 경우 사용자 지정 설정을 입력하여 Lambda 함수로 전송할 이벤트 데이터를 지정합니다. 함수에 성공적으로 전달되지 않은 이벤트를 처리하는 방법도 지정할 수 있습니다.

  9. 마쳤으면 다음을 선택합니다.

  10. 태그 구성 페이지에서 규칙에 할당할 하나 이상의 태그를 선택적으로 입력합니다. 다음을 선택합니다.

  11. 검토 및 생성 페이지에서 규칙의 설정을 검토하고 올바른지 확인합니다.

    설정을 변경하려면, 설정이 포함된 섹션에서 편집을 선택한 다음, 올바른 설정을 입력합니다. 탐색 탭을 사용하여 설정이 포함된 페이지로 이동할 수도 있습니다.

  12. 설정 검증을 마치면 생성를 선택합니다.

AWS CLI

이 단계에 따라 AWS CLI를 사용하여 모든 Macie 조사 결과 이벤트를 Lambda 함수로 전송하여 처리하는 EventBridge 규칙을 생성합니다. 규칙은 특정 이벤트가 수신될 때 실행되는 규칙의 기본 설정을 사용합니다. 이 절차에서 명령은 Microsoft Windows용으로 형식이 지정됩니다. Linux, macOS 또는 Linux의 경우 캐럿(^) 행 연속 문자를 백슬래시(\)로 바꿉니다.

규칙을 생성하려면 규칙에서 대상으로 사용하도록 하려는 Lambda 함수를 생성합니다. 함수를 생성할 때 함수의 Amazon 리소스 이름(ARN) 을 기록하세요. 규칙에 대한 대상을 지정할 때 이 ARN을 입력해야 합니다.

AWS CLI을(를) 사용하여 이벤트 규칙 생성

  1. Macie가 EventBridge에 게시한 모든 결과에 대한 이벤트를 감지하는 규칙을 만드세요. 이 작업을 수행하려면 EventBridge put-rule 명령을 실행합니다. 예:

    C:\> aws events put-rule ^
--name MacieFindings ^
--event-pattern "{\"source\":[\"aws.macie\"]}"

    여기서 MacieFindings는 원하는 규칙 이름입니다.

    작은 정보

    또한 사용자 지정 이벤트 패턴(event-pattern)을 사용하여 Macie 조사 결과 이벤트의 하위 세트만 감지하고 이에 따라 동작하는 규칙을 생성할 수 있습니다. 이 하위 세트는 Macie가 해당 이벤트에 포함하는 특정 필드를 기반으로 할 수 있습니다. 사용 가능한 필드에 대한 자세한 내용은 Macie 조사 결과에 대한 Amazon EventBridge 이벤트 스키마 섹션을 참조하세요. 규칙에 사용자 지정 패턴을 사용하는 방법에 대한 자세한 내용은 Amazon EventBridge 사용 설명서의 이벤트 패턴 생성을 참조하세요.

    이 명령이 성공적으로 실행되면 EventBridge는 규칙의 ARN을 사용하여 응답합니다. ARN을 적어 두세요. 3단계에서 이 정보가 필요합니다.

  2. 규칙의 대상으로 사용할 Lambda 함수를 지정합니다. 이 작업을 수행하려면 EventBridge put-targets 명령을 실행합니다. 예:

    C:\> aws events put-targets ^
--rule MacieFindings ^
--targets Id=1,Arn=arn:aws:lambda:regionalEndpoint:accountID:function:my-findings-function

    위의 명령에서 MacieFindings는 1단계에서 규칙에 대해 지정한 이름이고, Arn 파라미터 값은 규칙에서 대상으로 사용하도록 할 함수의 ARN입니다.

  3. 규칙이 대상 Lambda 함수를 호출하도록 허용하는 권한을 추가합니다. 이렇게 하려면 Lambda add-permission 명령을 실행합니다. 예:

    C:\> aws lambda add-permission ^
--function-name my-findings-function ^
--statement-id Sid ^
--action lambda:InvokeFunction ^
--principal events.amazonaws.com ^
--source-arn arn:aws:events:regionalEndpoint:accountId:rule:MacieFindings

    위치:

    • my-findings-function은 규칙에서 대상으로 사용하도록 할 Lambda 함수의 이름입니다.

    • Sid는 Lambda 함수 정책의 명령문을 설명하기 위해 정의하는 고유 식별자입니다.

    • source-arn은 EventBridge 규칙의 ARN입니다.

    이 명령이 성공적으로 실행되면, 다음과 비슷한 출력이 표시됩니다.

    {
  "Statement": "{\"Sid\":\"sid\",
    \"Effect\":\"Allow\",
    \"Principal\":{\"Service\":\"events.amazonaws.com\"},
    \"Action\":\"lambda:InvokeFunction\",
    \"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:my-findings-function\",
    \"Condition\":
      {\"ArnLike\":
        {\"AWS:SourceArn\":
         \"arn:aws:events:us-east-1:111122223333:rule/MacieFindings\"}}}"
}

    Statement 값은 Lambda 함수 정책에 추가된 문의 JSON 문자열 버전입니다.