Processando as descobertas do Macie com a Amazon EventBridge - Amazon Macie
Como trabalhar com o EventBridgeCriação de EventBridge regras para descobertas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Processando as descobertas do Macie com a Amazon EventBridge

A Amazon EventBridge, antiga Amazon CloudWatch Events, é um serviço de ônibus de eventos sem servidor. EventBridge fornece um fluxo de dados em tempo real de aplicativos e serviços e direciona esses dados para destinos como AWS Lambda funções, tópicos do Amazon Simple Notification Service (AmazonSNS) e streams do Amazon Kinesis. Para saber mais sobre issoEventBridge, consulte o Guia EventBridge do usuário da Amazon.

Com EventBridge, você pode automatizar o monitoramento e o processamento de certos tipos de eventos. Isso inclui eventos que o Amazon Macie publica automaticamente para novas descobertas de políticas e descobertas de dados confidenciais. Isso também inclui eventos que o Macie publica automaticamente para ocorrências subsequentes de descobertas de políticas existentes. Para obter detalhes sobre como e quando Macie publica esses eventos, consulte. Como definir as configurações de publicação para as descobertas

Ao usar EventBridge os eventos que o Macie publica para as descobertas, você pode monitorar e processar as descobertas quase em tempo real. Em seguida, você pode agir de acordo com as descobertas usando outros aplicativos e serviços. Por exemplo, você pode usar EventBridge para enviar tipos específicos de novas descobertas para uma AWS Lambda função. A função Lambda pode então processar e enviar os dados para seu sistema de gerenciamento de incidentes e eventos de segurança (SIEM). Se você integrar as Notificações AWS do Usuário com o Macie, também poderá usar os eventos para ser notificado das descobertas automaticamente por meio dos canais de entrega que você especificar.

Além do monitoramento e processamento automatizados, o uso de EventBridge permite a retenção de longo prazo dos dados de suas descobertas. O Macie armazena as descobertas por 90 dias. Com EventBridge, você pode enviar dados de descobertas para sua plataforma de armazenamento preferida e armazenar os dados pelo tempo que quiser.

nota

Para retenção de longo prazo, configure também o Macie para armazenar os resultados de descoberta de dados confidenciais em um bucket do S3. Um resultado de descoberta de dados confidenciais é um registro de detalhes sobre a análise que Macie realizou em um objeto do S3 para determinar se o objeto contém dados confidenciais. Para saber mais, consulte Armazenamento e retenção de resultados de descoberta de dados confidenciais.

Trabalhando com a Amazon EventBridge

Com a Amazon EventBridge, você cria regras para especificar quais eventos deseja monitorar e quais alvos deseja realizar ações automatizadas para esses eventos. Um alvo é um destino para o qual os eventos são EventBridge enviados.

Para automatizar as tarefas de monitoramento e processamento de descobertas, você pode criar uma EventBridge regra que detecte automaticamente os eventos de busca do Amazon Macie e os envie para outro aplicativo ou serviço para processamento ou outra ação. Você pode personalizar a regra para enviar somente os eventos que atendam a determinados critérios. Para fazer isso, especifique os critérios que derivam doEsquema de EventBridge eventos da Amazon para descobertas de Macie.

Por exemplo, você pode criar uma regra que envia tipos específicos de novas descobertas para uma AWS Lambda função. A função Lambda pode então realizar tarefas como: processar e enviar os dados para seu SIEM sistema; aplicar automaticamente um certo tipo de criptografia do lado do servidor a um objeto do S3; ou restringir o acesso a um objeto do S3 alterando a lista de controle de acesso do objeto (). ACL Ou você pode criar uma regra que envia automaticamente novas descobertas de alta gravidade para um SNS tópico da Amazon, que então notifica sua equipe de resposta a incidentes sobre a descoberta.

Além de invocar funções do Lambda e notificar tópicos da SNS Amazon EventBridge , oferece suporte a outros tipos de metas e ações, como retransmitir eventos para streams do Amazon Kinesis, AWS Step Functions ativar máquinas de estado e invocar o comando run. AWS Systems Manager Para obter informações sobre metas suportadas, consulte Objetivos de barramento de eventos no Guia EventBridge do usuário da Amazon.

Criação de EventBridge regras da Amazon para as descobertas do Macie

Os procedimentos a seguir explicam como usar o EventBridge console da Amazon e o AWS Command Line Interface (AWS CLI) para criar uma EventBridge regra para as descobertas do Amazon Macie. A regra detecta EventBridge eventos que usam o esquema e o padrão de eventos para as descobertas do Macie e envia esses eventos para uma AWS Lambda função para processamento.

AWS Lambda é um serviço de computação que você pode usar para executar código sem provisionar ou gerenciar servidores. Você empacota seu código e o carrega AWS Lambda como uma função Lambda. AWS Lambda em seguida, executa a função quando a função é invocada. Uma função pode ser invocada manualmente por você, automaticamente em resposta a eventos ou em resposta a solicitações de aplicações ou serviços. Para obter mais informações sobre criar e invocar as funções do Lambda, consulte o AWS Lambda Guia do desenvolvedor.

Console

Siga estas etapas para usar o EventBridge console da Amazon para criar uma regra que envia automaticamente todos os eventos de busca do Macie para uma função Lambda para processamento. A regra usa configurações padrão para regras que são executadas quando eventos específicos são recebidos. Para obter detalhes sobre as configurações de regras ou para aprender como criar uma regra que usa configurações personalizadas, consulte Criação de regras que reagem a eventos no Guia EventBridge do usuário da Amazon.

dica

Você também pode criar uma regra que usa um padrão de evento personalizado para detectar e agir apenas em um subconjunto de eventos de descoberta do Macie. Esse subconjunto pode ser baseado em campos específicos que o Macie inclui em um evento de descoberta. Para saber mais sobre os campos disponíveis, consulteEsquema de EventBridge eventos da Amazon para descobertas de Macie. Para saber mais sobre o uso de padrões personalizados em regras, consulte Criação de padrões de eventos no Guia EventBridge do usuário da Amazon.

Antes de criar essa regra, crie a função do Lambda que deseja que a regra use como destino. Ao criar a regra, você precisará especificar essa função como o destino da regra.

Para criar uma regra de evento usando o console

  1. Abra o EventBridge console da Amazon em https://console.aws.amazon.com/events/.

  2. No painel de navegação, em Ônibus, escolha Regras.

  3. Na seção Rules (Regras), escolha Create rule (Criar regra).

  4. Em Definir detalhe da regra, faça o seguinte:

    • Em Name (Nome), insira um nome para a regra.

    • (Opcional) Em Descrição, insira uma breve descrição da regra.

    • Para Barramento de eventos, verifique se o padrão está selecionado e Habilitar a regra nos barramentos de eventos selecionados está ligado.

    • Em Tipo de Regra, escolha Regra com Padrão de Evento.

  5. Ao terminar, escolha Avançar.

  6. Em Criar padrão de evento, faça o seguinte:

    • Em Origem do evento, escolha AWS eventos ou eventos de EventBridge parceiros.

    • (Opcional) Em Exemplo de evento, analise um evento de busca de amostra para Macie para saber o que um evento pode conter. Para fazer isso, selecione AWS eventos. Em seguida, em Eventos de amostra, selecione Macie Finding.

    • Em Método de criação, escolha Usar formulário de padrão.

    • Em Padrão de evento, insira as seguintes configurações:

      • Em Event source, escolha Serviços da AWS.

      • Para Serviço da AWS, escolha Macie.

      • Em Tipo de evento, selecione Descoberta Macie .

  7. Ao terminar, escolha Avançar.

  8. Na página Selecione destinos, faça o seguinte:

    • Em Target types (Tipos de destino), escolha Serviço da AWS.

    • Em Select a target (Selecionar um destino), escolha Lambda function (Função do Lambda). Então, para Função, selecione a função para a qual deseja enviar eventos.

    • Em Configurar versão/alias, insira as configurações de versão e alias para a função do Lambda de destino.

    • (Opcional) Para Configurações adicionais, insira configurações personalizadas para especificar quais dados de eventos você deseja enviar para a função do Lambda. Você também pode especificar como lidar com eventos que não são entregues à função com sucesso.

  9. Ao terminar, escolha Avançar.

  10. Na página Configurar tags, insira opcionalmente uma ou mais tags a serem atribuídas à regra. Em seguida, escolha Próximo.

  11. Na página Revisar e criar, analise as configurações da regra e verifique se estão corretas.

    Para alterar uma configuração, selecione Editar para a configuração e insira a configuração correta. Você também pode usar as guias de navegação para acessar a página que contém uma configuração.

  12. Depois de inserir configurações para a regra, selecione Criar.

AWS CLI

Siga estas etapas para usar o AWS CLI para criar uma EventBridge regra que envia todos os eventos de busca do Macie para uma função Lambda para processamento. A regra usa configurações padrão para regras que são executadas quando eventos específicos são recebidos. Neste procedimento, os comandos são formatados para o Microsoft Windows. Para Unix, Linux e macOS, substitua o caractere de continuação de linha circunflexo (^) por uma barra invertida (\).

Antes de criar essa regra, crie a função do Lambda que deseja que a regra use como destino. Ao criar a função, anote o Amazon Resource Name (ARN) da função. Você precisará inserir isso ARN ao especificar a meta da regra.

Para criar uma regra de evento usando o AWS CLI

  1. Crie uma regra que detecte eventos para todas as descobertas nas quais o Macie publica. EventBridge Para fazer isso, execute o comando EventBridge put-rule. Por exemplo:

    C:\> aws events put-rule ^
--name MacieFindings ^
--event-pattern "{\"source\":[\"aws.macie\"]}"

    Em que MacieFindings é o nome que você deseja para a regra.

    dica

    Você também pode criar uma regra que usa um padrão personalizado (event-pattern) para detectar e agir somente em um subconjunto de eventos de localização do Macie. Esse subconjunto pode ser baseado em campos específicos que o Macie inclui em um evento de descoberta. Para saber mais sobre os campos disponíveis, consulteEsquema de EventBridge eventos da Amazon para descobertas de Macie. Para saber mais sobre o uso de padrões personalizados em regras, consulte Criação de padrões de eventos no Guia EventBridge do usuário da Amazon.

    Se o comando for executado com êxito, EventBridge responderá com o ARN da regra. Observe issoARN. Ele será necessário na etapa 3.

  2. Especifique a função do Lambda a ser usada como destino para a regra. Para fazer isso, execute o comando EventBridge put-targets. Por exemplo:

    C:\> aws events put-targets ^
--rule MacieFindings ^
--targets Id=1,Arn=arn:aws:lambda:regionalEndpoint:accountID:function:my-findings-function

    Em que MacieFindings é o nome que você especificou para a regra na etapa 1, e o valor do Arn parâmetro é o ARN da função que você deseja que a regra use como destino.

  3. Adicione permissões que permitem que a regra chame a função do Lambda de destino. Para fazer isso, execute o comando Lambda add-permission. Por exemplo:

    C:\> aws lambda add-permission ^
--function-name my-findings-function ^
--statement-id Sid ^
--action lambda:InvokeFunction ^
--principal events.amazonaws.com ^
--source-arn arn:aws:events:regionalEndpoint:accountId:rule:MacieFindings

    Em que:

    • my-findings-function é o nome da função Lambda que você deseja que a regra use como destino.

    • Sid é um identificador de declaração que você define para descrever a instrução na política da função Lambda.

    • source-arné ARN a EventBridge regra.

    Se o comando for executado com êxito, você receberá um resultado semelhante ao seguinte:

    {
  "Statement": "{\"Sid\":\"sid\",
    \"Effect\":\"Allow\",
    \"Principal\":{\"Service\":\"events.amazonaws.com\"},
    \"Action\":\"lambda:InvokeFunction\",
    \"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:my-findings-function\",
    \"Condition\":
      {\"ArnLike\":
        {\"AWS:SourceArn\":
         \"arn:aws:events:us-east-1:111122223333:rule/MacieFindings\"}}}"
}

    O Statement valor é uma versão em JSON cadeia de caracteres da declaração que foi adicionada à política da função Lambda.