As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Processar descobertas do Macie com o Amazon Eventbridge
O Amazon EventBridge, antigo Amazon CloudWatch Events, é um serviço de barramento de eventos sem servidor. O EventBridge fornece um stream de dados em tempo real de aplicações e serviços e roteia esses dados para destinos como AWS Lambda funções, tópicos do Amazon Simple Notification Service (Amazon SNS) e streams do Amazon Kinesis. Para saber mais sobre o EventBridge, consulte o Guia do usuário do Amazon EventBridge.
Com o EventBridge, você pode automatizar o monitoramento e o processamento de certos tipos de eventos. Isso inclui eventos que o Amazon Macie publica automaticamente para novas descobertas de políticas e descobertas de dados confidenciais. Isso também inclui eventos que o Macie publica automaticamente para ocorrências subsequentes de descobertas de políticas existentes. Para obter detalhes sobre como e quando Macie publica esses eventos, consulte. Definir as configurações de publicação para as descobertas
Ao usar o EventBridge e os eventos que o Macie publica para as descobertas, você pode monitorar e processar as descobertas quase em tempo real. Em seguida, você pode agir de acordo com as descobertas usando outros aplicativos e serviços. Por exemplo, você pode usar o EventBridge para enviar tipos específicos de novas descobertas para uma AWS Lambda função. A função do Lambda pode, então, processar e enviar os dados para o sistema de gerenciamento de incidentes e eventos de segurança (SIEM). Se você integrar o Notificações de Usuários da AWS ao Macie, poderá também usar os eventos para ser notificado das descobertas automaticamente por meio dos canais de entrega que especificar.
Além do monitoramento e processamento automatizados, o uso do EventBridge permite a retenção de longo prazo dos dados de suas descobertas. Macie armazena as descobertas por 90 dias. Com o EventBridge, você pode enviar dados de descobertas para sua plataforma de armazenamento preferida e armazenar os dados pelo tempo que quiser.
Para retenção de longo prazo, configure também o Macie para armazenar os resultados de descoberta de dados confidenciais em um bucket do S3. Um resultado de descoberta de dados confidenciais é um registro de detalhes sobre a análise que Macie realizou em um objeto do S3 para determinar se o objeto contém dados confidenciais. Para saber mais, consulte Armazenamento e retenção de resultados de descoberta de dados confidenciais.
Trabalhar com o Amazon EventBridge
Com o Amazon EventBridge, você cria regras para especificar quais eventos deseja monitorar e quais alvos você quer para realizar ações automatizadas para esses eventos. Um destino é um destino para o qual o EventBridge envia eventos.
Para automatizar as tarefas de monitoramento e processamento de descobertas, você pode criar uma regra do EventBridge que detecta automaticamente eventos de busca do Amazon Macie e envia esses eventos para outro aplicativo ou serviço para processamento ou outra ação. Você pode personalizar a regra para enviar somente os eventos que atendam a determinados critérios. Para fazer isso, especifique os critérios que derivam doEsquema de EventBridge eventos da Amazon para descobertas de Macie.
Por exemplo, você pode criar uma regra que envia tipos específicos de novas descobertas para uma AWS Lambda função. A função do Lambda pode então realizar tarefas como: processar e enviar os dados para seu sistema SIEM; aplicar automaticamente um certo tipo de criptografia do lado do servidor para um objeto do S3; ou restringir o acesso a um objeto do S3 alterando a lista de controle de acesso (ACL) do objeto. Ou você pode criar uma regra que envia automaticamente novas descobertas de alta severidade para um tópico do Amazon SNS, que então notifica sua equipe de resposta a incidentes sobre a descoberta.
Além de invocar funções do Lambda e notificar tópicos do Amazon SNS, o EventBridge oferece suporte a outros tipos de destinos e ações, como retransmissão de eventos para o Amazon Kinesis Streams, ativação de máquinas de estado do AWS Step Functions e invocação do comando de execução AWS Systems Manager. Para obter informações sobre destinos compatíveis, consulte Destinos de barramentos de eventos no Guia do usuário do Amazon EventBridge.
Criar regras do Amazon EventBridge para descobertas do Macie
Os procedimentos a seguir explicam como usar o console do Amazon EventBridge e o AWS Command Line Interface(AWS CLI) para criar uma regra do EventBridge para as descobertas do Amazon Macie. A regra detecta eventos do EventBridge que usam o esquema e o padrão de evento para descobertas do Macie e envia esses eventos para uma função AWS Lambda para processamento.
O AWS Lambda é um serviço de computação que pode ser usado para executar código sem provisionamento ou gerenciamento de servidores. Você empacota o código e faz upload dele no AWS Lambda como uma função do Lambda. O AWS Lambda então executa a função quando ela é invocada. Uma função pode ser invocada manualmente por você, automaticamente em resposta a eventos ou em resposta a solicitações de aplicações ou serviços. Para obter mais informações sobre criar e invocar as funções do Lambda, consulte o Guia do desenvolvedor do AWS Lambda.
- Console
-
Siga estas etapas para usar o console do Amazon EventBridge para criar uma regra que envia automaticamente todos os eventos de descoberta do Macie para uma função do Lambda para processamento. A regra usa configurações padrão para regras que são executadas quando eventos específicos são recebidos. Para obter detalhes sobre as configurações de regras ou para saber como criar uma regra que usa configurações personalizadas, consulte Criação de regras que reagem a eventos no Guia do usuário do Amazon EventBridge.
Você também pode criar uma regra que usa um padrão de evento personalizado para detectar e agir apenas em um subconjunto de eventos de descoberta do Macie. Esse subconjunto pode ser baseado em campos específicos que o Macie inclui em um evento de descoberta. Para saber mais sobre os campos disponíveis, consulte Esquema de EventBridge eventos da Amazon para descobertas de Macie. Para saber mais sobre o uso de padrões personalizados em regras, consulte Criar padrões de eventos no Guia do usuário do Amazon EventBridge.
Antes de criar essa regra, crie a função do Lambda que deseja que a regra use como destino. Ao criar a regra, você precisará especificar essa função como o destino da regra.
Para criar uma regra de evento usando o console
Abra o console do Amazon EventBridge em https://console.aws.amazon.com/events/.
-
No painel de navegação, em Barramentos, selecione Regras.
-
Na seção Regras, selecione Criar regra.
-
Em Definir detalhe da regra, faça o seguinte:
-
Em Nome, insira um nome para a regra.
-
(Opcional) Em Descrição, insira uma breve descrição da regra.
-
Para Barramento de eventos, verifique se o padrão está selecionado e Habilitar a regra nos barramentos de eventos selecionados está ligado.
-
Para Tipo de regra, escolha Regra com padrão de evento.
-
Ao terminar, escolha Avançar.
-
Na página Criar padrão de evento, faça o seguinte:
-
Em Origem do evento, escolha Eventos da AWS ou eventos de parceiro do EventBridge.
-
(Opcional) Para Exemplo de evento, analise um evento de descoberta de amostra para o Macie para saber o que um evento pode conter. Para fazer isso, selecione AWSeventos. Em seguida, em Eventos de amostra, selecione Descoberta do Macie.
-
Para Método de criação, escolha Usar formulário de padrão.
-
Para Padrão de evento, insira as seguintes configurações:
-
Para Origem do evento, escolha Serviços da AWS.
-
Para AWS service (Serviço da AWS), escolha Macie.
-
Em Tipo de evento, selecione Descoberta Macie .
-
Ao terminar, escolha Avançar.
-
Na página Selecione destinos, faça o seguinte:
-
Para Tipos de destino, escolha AWS service (Serviço da AWS).
-
Para Selecionar um destino, escolha Função do Lambda. Em seguida, para Função, selecione a função do Lambda para a qual deseja enviar eventos de descoberta.
-
Em Configurar versão/alias, insira as configurações de versão e alias para a função do Lambda de destino.
-
(Opcional) Para Configurações adicionais, insira configurações personalizadas para especificar quais dados de eventos você deseja enviar para a função do Lambda. Você também pode especificar como lidar com eventos que não são entregues à função com sucesso.
-
Ao terminar, escolha Avançar.
-
Na página Configurar tags, insira opcionalmente uma ou mais tags a serem atribuídas à regra. Em seguida, escolha Avançar.
-
Na página Revisar e criar, analise as configurações da regra e verifique se estão corretas.
Para alterar uma configuração, selecione Editar para a configuração e insira a configuração correta. Você também pode usar as guias de navegação para acessar a página que contém uma configuração.
-
Quando terminar de verificar as configurações, selecione Criar regra.
- AWS CLI
-
Siga estas etapas para usar o AWS CLI para criar uma regra do EventBridge que envia todos os eventos de descoberta do Macie para uma função do Lambda para processamento. A regra usa configurações padrão para regras que são executadas quando eventos específicos são recebidos. Neste procedimento, os comandos são formatados para o Microsoft Windows. Para Linux, macOS ou Unix, substitua o caractere de continuação de linha de acento circunflexo (^) por uma barra invertida (\).
Antes de criar essa regra, crie a função do Lambda que deseja que a regra use como destino. Ao criar a função, observe o nome do recurso da Amazon (ARN) da função. Você precisará fornecer esse ARN ao especificar o destino da regra.
Para criar uma regra de evento usando o AWS CLI
-
Crie uma regra que detecte eventos para todas as descobertas que o Macie publica no EventBridge. Para fazer isso, execute o comando put-rule do EventBridge. Por exemplo:
C:\>
aws events put-rule ^
--name MacieFindings
^
--event-pattern "{\"source\":[\"aws.macie\"]}"
Em que MacieFindings
é o nome que você deseja para a regra.
Você também pode criar uma regra que use um padrão personalizado (event-pattern
) para detectar e agir apenas em um subconjunto de eventos de descoberta do Macie. Esse subconjunto pode ser baseado em campos específicos que o Macie inclui em um evento de descoberta. Para saber mais sobre os campos disponíveis, consulte Esquema de EventBridge eventos da Amazon para descobertas de Macie. Para saber mais sobre o uso de padrões personalizados em regras, consulte Criar padrões de eventos no Guia do usuário do Amazon EventBridge.
Se o comando for executado com êxito, o EventBridge responderá com o ARN da regra. Anote esse ARN. Ele será necessário na etapa 3.
-
Especifique a função do Lambda a ser usada como destino para a regra. Para fazer isso, execute o comando put-targets do EventBridge. Por exemplo:
C:\>
aws events put-targets ^
--rule MacieFindings
^
--targets Id=1,Arn=arn:aws:lambda:regionalEndpoint:accountID:function:my-findings-function
Onde MacieFindings
for o nome que você especificou para a regra na etapa 1, e o valor para o parâmetro Arn
for o ARN da função que você quer que a regra use como destino.
-
Adicione permissões que permitem que a regra chame a função do Lambda de destino. Para fazer isso, execute o comando add-permission do Lambda. Por exemplo:
C:\>
aws lambda add-permission ^
--function-name my-findings-function
^
--statement-id Sid
^
--action lambda:InvokeFunction ^
--principal events.amazonaws.com ^
--source-arn arn:aws:events:regionalEndpoint:accountId:rule:MacieFindings
Em que:
-
my-findngs-function
for o nome da função do Lambda que deseja que a regra use como destino.
-
Sid
é um identificador exclusivo que você define para descrever a instrução na política de função do Lambda.
-
source-arn
é o ARN da regra do EventBridge.
Se o comando for executado com êxito, você receberá um resultado semelhante a:
{
"Statement": "{\"Sid\":\"sid\",
\"Effect\":\"Allow\",
\"Principal\":{\"Service\":\"events.amazonaws.com\"},
\"Action\":\"lambda:InvokeFunction\",
\"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:my-findings-function\",
\"Condition\":
{\"ArnLike\":
{\"AWS:SourceArn\":
\"arn:aws:events:us-east-1:111122223333:rule/MacieFindings\"}}}"
}
O valor Statement
é uma versão da string JSON da instrução adicionada à política da função do Lambda.