EventBridge 메이시 조사 결과에 대한 Amazon 이벤트 스키마 - Amazon Macie
Macie 검색 결과를 위한 이벤트 스키마정책 조사 결과를 위한 이벤트 예제민감한 데이터 조사 결과에 대한 이벤트 예제

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

EventBridge 메이시 조사 결과에 대한 Amazon 이벤트 스키마

모니터링 또는 이벤트 관리 시스템과 같은 다른 애플리케이션, 서비스 및 시스템과의 통합을 지원하기 위해 Amazon EventBridge Macie는 자동으로 결과를 Amazon에 이벤트로 게시합니다. EventBridge이전의 Amazon CloudWatch Events는 애플리케이션 및 AWS 서비스 기타의 실시간 데이터 스트림을 함수, Amazon 단순 알림 서비스 주제 및 Amazon Kinesis 스트림과 같은 AWS Lambda 대상으로 전송하는 서버리스 이벤트 버스 서비스입니다. 자세한 EventBridge 내용은 Amazon EventBridge 사용 설명서를 참조하십시오.

참고

현재 CloudWatch 이벤트를 사용하고 있다면, EventBridge 및 CloudWatch 이벤트는 동일한 기본 서비스라는 점에 API 유의하십시오. 그러나 SaaS (Software as a Service) 애플리케이션 및 자체 애플리케이션에서 이벤트를 수신할 수 있는 추가 기능이 EventBridge 포함되어 있습니다. 기본 서비스와 API D가 동일하기 때문에 Macie 검색 결과에 대한 이벤트 스키마도 동일합니다.

Macie는 금지 규칙에 의해 자동으로 보관되는 결과를 제외하고 모든 새로운 결과 및 이후에 발생하는 기존 정책 결과에 대한 이벤트를 자동으로 게시합니다. 이벤트는 이벤트 스키마를 준수하는 JSON 객체입니다. EventBridge AWS 각 이벤트에는 특정 발견의 JSON 표현이 포함됩니다. 데이터가 EventBridge 이벤트로 구조화되므로 다른 응용 프로그램, 서비스 및 도구를 사용하여 결과를 보다 쉽게 모니터링하고 처리하고 이에 따라 조치를 취할 수 있습니다. Macie가 조사 결과에 대한 이벤트를 게시하는 방법과 시기에 대한 자세한 내용은 조사 결과에 대한 게시 설정 구성 섹션을 참조하세요.

Macie 검색 결과를 위한 이벤트 스키마

다음 예는 Amazon Macie 검색 결과에 대한 Amazon EventBridge 이벤트의 스키마를 보여줍니다. 검색 결과 이벤트에 포함할 수 있는 필드에 대한 자세한 설명은 Amazon Macie API Reference의 결과를 참조하십시오. 검색 이벤트의 구조 및 필드는 Amazon API Macie의 Finding 객체와 밀접하게 매핑됩니다.

{
    "version": "0",
    "id": "event ID",
    "detail-type": "Macie Finding",
    "source": "aws.macie",
    "account": "AWS 계정 ID (string)",
    "time": "event timestamp (string)",
    "region": "AWS 리전 (string)",
    "resources": [
        <-- ARNs of the resources involved in the event -->
    ],
    "detail": { 
        <-- Details of a policy or sensitive data finding -->
    },
    "policyDetails": null, <-- Additional details of a policy finding or null for a sensitive data finding -->
    "sample": Boolean,
    "archived": Boolean
}

정책 조사 결과를 위한 이벤트의 예

다음 예시에서는 샘플 데이터를 사용하여 Amazon EventBridge 이벤트에서 정책 결과를 위한 객체 및 필드의 구조와 특성을 보여줍니다. 이 예제에서 이벤트는 기존 정책 결과가 이후에 발생했음을 보고합니다. Amazon Macie는 S3 버킷에 대한 퍼블릭 액세스 차단 설정이 비활성화되었음을 감지했습니다. 다음 필드와 값은 이러한 경우를 판단하는 데 도움이 될 수 있습니다.

  • type 필드는 Policy:IAMUser/S3BlockPublicAccessDisabled로 설정됩니다.

  • createdAtupdatedAt 필드는 값이 다릅니다. 이는 이벤트가 기존 정책 조사 결과가 이후에 발생했음을 보고하는 지표 중 하나입니다. 이벤트에서 새로운 조사 결과가 보고한 경우 이러한 필드의 값은 동일합니다.

  • count 필드는 2로 설정되며, 이는 이 조사 결과가 두 번째로 발생했음을 나타냅니다.

  • category 필드는 POLICY로 설정됩니다.

  • classificationDetails 필드 값은 null인데, 이를 통해 정책 조사 결과에 대한 이 이벤트를 민감한 데이터 조사 결과에 대한 이벤트와 구별할 수 있습니다. 민감한 데이터 검색 결과의 경우, 이 값은 민감한 데이터가 발견된 방법과 유형에 대한 정보를 제공하는 객체 및 필드 세트입니다.

또한 sample 필드 값은 true임에 유의합니다. 이 값은 이 이벤트가 설명서에서 사용하기 위한 예제 이벤트라는 점을 강조합니다.

{
    "version": "0",
    "id": "0948ba87-d3b8-c6d4-f2da-732a1example",
    "detail-type": "Macie Finding",
    "source": "aws.macie",
    "account": "123456789012",
    "time": "2024-04-30T23:12:15Z",
    "region":"us-east-1",
    "resources": [],
    "detail": {
        "schemaVersion": "1.0",
        "id": "64b917aa-3843-014c-91d8-937ffexample",
        "accountId": "123456789012",
        "partition": "aws",
        "region": "us-east-1",
        "type": "Policy:IAMUser/S3BlockPublicAccessDisabled",
        "title": "Block public access settings are disabled for the S3 bucket",
        "description": "All bucket-level block public access settings were disabled for the S3 bucket. Access to the bucket is controlled by account-level block public access settings, access control lists (ACLs), and the bucket’s bucket policy.",
        "severity": {
            "score": 3,
            "description": "High"
        },
        "createdAt": "2024-04-29T15:46:02Z",
        "updatedAt": "2024-04-30T23:12:15Z",
        "count": 2,
        "resourcesAffected": {
            "s3Bucket": {
                "arn": "arn:aws:s3:::amzn-s3-demo-bucket1",
                "name": "amzn-s3-demo-bucket1",
                "createdAt": "2020-04-03T20:46:56.000Z",
                "owner":{
                    "displayName": "johndoe",
                    "id": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example"
                },
                "tags": [
                    {
                        "key": "Division",
                        "value": "HR"
                    },
                    {
                        "key": "Team",
                        "value": "Recruiting"
                    }
                ],                
                "defaultServerSideEncryption": {
                    "encryptionType": "aws:kms",
                    "kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
                },
                "publicAccess": {
                    "permissionConfiguration": {
                        "bucketLevelPermissions": {
                            "accessControlList": {
                                "allowsPublicReadAccess": false,
                                "allowsPublicWriteAccess": false
                            },
                            "bucketPolicy": {
                                "allowsPublicReadAccess": false,
                                "allowsPublicWriteAccess": false
                            },
                            "blockPublicAccess": {
                                "ignorePublicAcls": false,
                                "restrictPublicBuckets": false,
                                "blockPublicAcls": false,
                                "blockPublicPolicy": false
                            }
                        },
                        "accountLevelPermissions": {
                            "blockPublicAccess": {
                                "ignorePublicAcls": true,
                                "restrictPublicBuckets": true,
                                "blockPublicAcls": true,
                                "blockPublicPolicy": true
                            }
                        }
                    },
                    "effectivePermission": "NOT_PUBLIC"
                },
                "allowsUnencryptedObjectUploads": "FALSE"
            },
            "s3Object": null
        },
        "category": "POLICY",
        "classificationDetails": null,
        "policyDetails": {
            "action": {
                "actionType": "AWS_API_CALL",
                "apiCallDetails": {
                    "api": "PutBucketPublicAccessBlock",
                    "apiServiceName": "s3.amazonaws.com",
                    "firstSeen": "2024-04-29T15:46:02.401Z",
                    "lastSeen": "2024-04-30T23:12:15.401Z"
                }
            },
            "actor": {
                "userIdentity": {
                    "type": "AssumedRole",
                    "assumedRole": {
                        "principalId": "AROA1234567890EXAMPLE:AssumedRoleSessionName",
                        "arn": "arn:aws:sts::123456789012:assumed-role/RoleToBeAssumed/MySessionName",
                        "accountId": "111122223333",
                        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
                        "sessionContext": {
                            "attributes": {
                                "mfaAuthenticated": false,
                                "creationDate": "2024-04-29T10:25:43.511Z"
                            },
                            "sessionIssuer": {
                                "type": "Role",
                                "principalId": "AROA1234567890EXAMPLE",
                                "arn": "arn:aws:iam::123456789012:role/RoleToBeAssumed",
                                "accountId": "123456789012",
                                "userName": "RoleToBeAssumed"
                            }
                        }
                    },
                    "root": null,
                    "iamUser": null,
                    "federatedUser": null,
                    "awsAccount": null,
                    "awsService": null
                },
                "ipAddressDetails":{
                    "ipAddressV4": "192.0.2.0",
                    "ipOwner": {
                        "asn": "-1",
                        "asnOrg": "ExampleFindingASNOrg",
                        "isp": "ExampleFindingISP",
                        "org": "ExampleFindingORG"
                    },
                    "ipCountry": {
                        "code": "US",
                        "name": "United States"
                    },
                    "ipCity": {
                        "name": "Ashburn"
                    },
                    "ipGeoLocation": {
                        "lat": 39.0481,
                        "lon": -77.4728
                    }
                },
                "domainDetails": null
            }
        },
        "sample": true,
        "archived": false
    }
}

민감한 데이터 검색 결과에 대한 이벤트의 예

다음 예제는 샘플 데이터를 사용하여 민감한 데이터 발견에 대한 Amazon EventBridge 이벤트의 객체와 필드의 구조와 특성을 보여줍니다. 이 예제에서 이벤트는 새로운 민감한 데이터 발견을 보고합니다. Amazon Macie는 S3 객체에서 여러 범주와 유형의 민감한 데이터를 발견했습니다. 다음 필드와 값은 이러한 경우를 판단하는 데 도움이 될 수 있습니다.

  • type 필드는 SensitiveData:S3Object/Multiple로 설정됩니다.

  • createdAtupdatedAt 필드의 값은 동일합니다. 정책 조사 결과와 달리 민감한 데이터 조사 결과의 경우에는 항상 그렇습니다. 모든 민감한 데이터 조사 결과는 새로운 것으로 간주됩니다.

  • count 필드가 1로 설정되면 이는 새로운 조사 결과임을 나타냅니다. 정책 조사 결과와 달리 민감한 데이터 조사 결과의 경우에는 항상 그렇습니다. 모든 민감한 데이터 조사 결과는 고유한 것(새로운 것)으로 간주됩니다.

  • category 필드는 CLASSIFICATION로 설정됩니다.

  • policyDetails 필드 값은 null인데, 이를 통해 민감한 데이터 검색 결과에 대한 이 이벤트를 정책 결과에 대한 이벤트와 구별할 수 있습니다. 정책 조사 결과의 경우 이 값은 S3 버킷의 보안 또는 개인 정보 보호 관련 잠재적 정책 위반 또는 문제에 대한 정보를 제공하는 객체 및 필드 세트입니다.

또한 sample 필드 값은 true임에 유의합니다. 이 값은 이 이벤트가 설명서에서 사용하기 위한 예제 이벤트라는 점을 강조합니다.

{
    "version": "0",
    "id": "14ddd0b1-7c90-b9e3-8a68-6a408example",
    "detail-type": "Macie Finding",
    "source": "aws.macie",
    "account": "123456789012",
    "time": "2024-04-20T08:19:10Z",
    "region": "us-east-1",
    "resources": [],
    "detail": {
        "schemaVersion": "1.0",
        "id": "4ed45d06-c9b9-4506-ab7f-18a57example",
        "accountId": "123456789012",
        "partition": "aws",
        "region": "us-east-1",
        "type": "SensitiveData:S3Object/Multiple",
        "title": "The S3 object contains multiple categories of sensitive data",
        "description": "The S3 object contains more than one category of sensitive data.",
        "severity": {
            "score": 3,
            "description": "High"
        },
        "createdAt": "2024-04-20T18:19:10Z",
        "updatedAt": "2024-04-20T18:19:10Z",
        "count": 1,
        "resourcesAffected": {
            "s3Bucket": {
                "arn": "arn:aws:s3:::amzn-s3-demo-bucket2",
                "name": "amzn-s3-demo-bucket2",
                "createdAt": "2020-05-15T20:46:56.000Z",
                "owner": {
                    "displayName": "johndoe",
                    "id": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example"
                },
                "tags":[
                    {
                        "key":"Division",
                        "value":"HR"
                    },
                    {
                        "key":"Team",
                        "value":"Recruiting"
                    }
                ],
                "defaultServerSideEncryption": {
                    "encryptionType": "aws:kms",
                    "kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
                },
                "publicAccess": {
                    "permissionConfiguration": {
                        "bucketLevelPermissions": {
                            "accessControlList": {
                                "allowsPublicReadAccess": false,
                                "allowsPublicWriteAccess": false
                            },
                            "bucketPolicy":{
                                "allowsPublicReadAccess": false,
                                "allowsPublicWriteAccess": false
                            },
                            "blockPublicAccess": {
                                "ignorePublicAcls": true,
                                "restrictPublicBuckets": true,
                                "blockPublicAcls": true,
                                "blockPublicPolicy": true
                            }
                        },
                        "accountLevelPermissions": {
                            "blockPublicAccess": {
                                "ignorePublicAcls": false,
                                "restrictPublicBuckets": false,
                                "blockPublicAcls": false,
                                "blockPublicPolicy": false
                            }
                        }
                    },
                    "effectivePermission": "NOT_PUBLIC"
                },
                "allowsUnencryptedObjectUploads": "TRUE"
            },
            "s3Object":{
                "bucketArn": "arn:aws:s3:::amzn-s3-demo-bucket2",
                "key": "2024 Sourcing.csv",
                "path": "amzn-s3-demo-bucket2/2024 Sourcing.csv",
                "extension": "csv",
                "lastModified": "2024-04-19T22:08:25.000Z",
                "versionId": "",
                "serverSideEncryption": {
                    "encryptionType": "aws:kms",
                    "kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
                },
                "size": 4750,
                "storageClass": "STANDARD",
                "tags":[
                    {
                        "key":"Division",
                        "value":"HR"
                    },
                    {
                        "key":"Team",
                        "value":"Recruiting"
                    }
                ],
                "publicAccess": false,
                "etag": "6bb7fd4fa9d36d6b8fb8882caexample" 
            }
        },
        "category": "CLASSIFICATION",
        "classificationDetails": {
            "jobArn": "arn:aws:macie2:us-east-1:123456789012:classification-job/3ce05dbb7ec5505def334104bexample",
            "jobId": "3ce05dbb7ec5505def334104bexample",
            "result": {
                "status": {
                    "code": "COMPLETE",
                    "reason": null
                },
                "sizeClassified": 4750,
                "mimeType": "text/csv",
                "additionalOccurrences": true,
                "sensitiveData": [
                    {
                        "category": "PERSONAL_INFORMATION",
                        "totalCount": 65,
                        "detections": [
                            {
                                "type": "USA_SOCIAL_SECURITY_NUMBER",
                                "count": 30,
                                "occurrences": {
                                    "lineRanges": null,
                                    "offsetRanges": null,
                                    "pages": null,
                                    "records": null,
                                    "cells": [
                                        {
                                            "row": 2,
                                            "column": 1,
                                            "columnName": "SSN",
                                            "cellReference": null
                                        },
                                        {
                                            "row": 3,
                                            "column": 1,
                                            "columnName": "SSN",
                                            "cellReference": null
                                        },
                                        {
                                            "row": 4,
                                            "column": 1,
                                            "columnName": "SSN",
                                            "cellReference": null
                                        }
                                    ]
                                }
                            },
                            {
                                "type": "NAME",
                                "count": 35,
                                "occurrences": {
                                    "lineRanges": null,
                                    "offsetRanges": null,
                                    "pages": null,
                                    "records": null,
                                    "cells": [
                                        {
                                            "row": 2,
                                            "column": 3,
                                            "columnName": "Name",
                                            "cellReference": null
                                        },
                                        {
                                            "row": 3,
                                            "column": 3,
                                            "columnName": "Name",
                                            "cellReference": null
                                        }
                                    ]
                                }
                            }
                        ]
                    },
                    {
                        "category": "FINANCIAL_INFORMATION",
                        "totalCount": 30,
                        "detections": [
                            {
                                "type": "CREDIT_CARD_NUMBER",
                                "count": 30,
                                "occurrences": {
                                    "lineRanges": null,
                                    "offsetRanges": null,
                                    "pages": null,
                                    "records": null,
                                    "cells": [
                                        {
                                            "row": 2,
                                            "column": 14,
                                            "columnName": "CCN",
                                            "cellReference": null
                                        },
                                        {
                                            "row": 3,
                                            "column": 14,
                                            "columnName": "CCN",
                                            "cellReference": null
                                        }
                                    ]
                                }
                            }
                        ]
                    }
                ],
                "customDataIdentifiers": {
                    "totalCount": 0,
                    "detections": []
                }
            },
            "detailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/123456789012/Macie/us-east-1/3ce05dbb7ec5505def334104bexample/d48bf16d-0deb-3e49-9d8c-d407cexample.jsonl.gz",
            "originType": "SENSITIVE_DATA_DISCOVERY_JOB"
        },
        "policyDetails": null,
        "sample": true,
        "archived": false
    }
}