Relatórios de descobertas de auditoria - CloudWatch Registros da Amazon
Política-chave necessária para enviar os resultados da auditoria para um bucket protegido por AWS KMS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Relatórios de descobertas de auditoria

Se você configurar as políticas de auditoria de proteção de dados do CloudWatch Logs para escrever relatórios de auditoria no CloudWatch Logs, no Amazon S3 ou no Firehose, esses relatórios de descobertas serão semelhantes ao exemplo a seguir. CloudWatch O Logs grava um relatório de descobertas para cada evento de registro que contém dados confidenciais.

{
    "auditTimestamp": "2023-01-23T21:11:20Z",
    "resourceArn": "arn:aws:logs:us-west-2:111122223333:log-group:/aws/lambda/MyLogGroup:*",
    "dataIdentifiers": [
        {
            "name": "EmailAddress",
            "count": 2,
            "detections": [
                {
                    "start": 13,
                    "end": 26
                },
{
                    "start": 30,
                    "end": 43
                }
            ]
        }
    ]
}

Os campos do relatório são os seguintes:

  • O campo resourceArn exibe o grupo de logs onde os dados confidenciais foram encontrados.

  • O objeto dataIdentifiers exibe informações sobre as descobertas de um tipo de dados confidenciais que você está auditando.

  • O campo name identifica o tipo de dados confidenciais sobre os quais esta seção está relatando.

  • O campo count exibe o número de vezes que esse tipo de dado confidencial aparece no evento de logs.

  • Os campos end estart mostram onde no evento de logs, por contagem de caracteres, cada ocorrência dos dados confidenciais aparece.

O exemplo anterior mostra um relatório de localização de dois endereços de e-mail em um evento de logs. O primeiro endereço de e-mail começa no 13º caractere do evento de logs e termina no 26º caractere. O segundo endereço de e-mail vai do 30º caractere ao 43º caractere. Mesmo que esse evento de log tenha dois endereços de e-mail, o valor da métrica LogEventsWithFindings é incrementado apenas em um, porque essa métrica conta o número de eventos de log que contêm dados confidenciais, não o número de ocorrências de dados confidenciais.

Política-chave necessária para enviar os resultados da auditoria para um bucket protegido por AWS KMS

Você pode proteger os dados em um bucket do Amazon S3 habilitando a criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (-S3) ou a criptografia do lado do servidor com chaves (SSE-). KMS SSE KMS Para obter mais informações, consulte Proteger dados usando criptografia do lado do servidor no Guia do usuário do Amazon S3.

Se você enviar resultados de auditoria para um bucket protegido com SSE -S3, nenhuma configuração adicional será necessária. O Amazon S3 lida com a chave de criptografia.

Se você enviar resultados de auditoria para um bucket protegido com SSE -KMS, deverá atualizar a política de chaves da sua KMS chave para que a conta de entrega de log possa gravar no seu bucket do S3. Para obter mais informações sobre a política de chaves necessária para uso com SSE -KMS, consulte Amazon S3 o Guia do usuário do Amazon CloudWatch Logs.