As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Esquema de EventBridge eventos da Amazon para descobertas de Macie
Para oferecer suporte à integração com outros aplicativos, serviços e sistemas, como sistemas de monitoramento ou gerenciamento de eventos, o Amazon Macie publica automaticamente as descobertas na Amazon EventBridge como eventos. EventBridge, antigo Amazon CloudWatch Events, é um serviço de barramento de eventos sem servidor que fornece um fluxo de dados em tempo real de aplicativos e outros Serviços da AWS para destinos como funções AWS Lambda , tópicos do Amazon Simple Notification Service e streams do Amazon Kinesis. Para saber mais sobre isso EventBridge, consulte o Guia EventBridge do usuário da Amazon.
nota
Se você atualmente usa CloudWatch Eventos, observe que EventBridge e CloudWatch Eventos são o mesmo serviço subjacente API e. No entanto, EventBridge inclui recursos adicionais que permitem que você receba eventos de aplicativos de software como serviço (SaaS) e de seus próprios aplicativos. Como o serviço subjacente API é o mesmo, o esquema de eventos das descobertas do Macie também é o mesmo.
O Macie publica automaticamente eventos para todas as novas descobertas e ocorrências subsequentes das descobertas de políticas existentes, exceto as descobertas que são arquivadas automaticamente por uma regra de supressão. Os eventos são JSON objetos que estão em conformidade com o EventBridge esquema dos eventos. AWS Cada evento contém uma JSON representação de uma descoberta específica. Como os dados são estruturados como um EventBridge evento, você pode monitorar, processar e agir de acordo com uma descoberta com mais facilidade usando outros aplicativos, serviços e ferramentas. Para obter detalhes sobre como e quando o Macie publica os eventos para descobertas, consulte Como definir as configurações de publicação para as descobertas.
Tópicos
Esquema de eventos para descobertas do Macie
O exemplo a seguir mostra o esquema de um EventBridge evento da Amazon para uma descoberta do Amazon Macie. Para obter descrições detalhadas dos campos que podem ser incluídos em um evento de descoberta, consulte Descobertas na Referência do Amazon Macie. API A estrutura e os campos de um mapa de eventos de descoberta se aproximam do Finding objeto do Amazon API Macie.
{ "version": "0", "id": "event ID", "detail-type": "Macie Finding", "source": "aws.macie", "account": "Conta da AWS ID (string)", "time": "event timestamp (string)", "region": "Região da AWS (string)", "resources": [ <-- ARNs of the resources involved in the event --> ], "detail": { <-- Details of a policy or sensitive data finding --> }, "policyDetails": null, <-- Additional details of a policy finding or null for a sensitive data finding --> "sample": Boolean, "archived": Boolean }
Exemplo de um evento para uma constatação de política
O exemplo a seguir usa dados de amostra para demonstrar a estrutura e a natureza dos objetos e campos em um EventBridge evento da Amazon para uma descoberta de política. Neste exemplo, o evento relata uma ocorrência subsequente de uma constatação de política existente: o Amazon Macie detectou que as configurações de bloqueio de acesso público foram desativadas para um bucket do S3. Os campos e valores a seguir podem ajudá-lo a determinar se esse é o caso:
-
O campo
typeestá definido comoPolicy:IAMUser/S3BlockPublicAccessDisabled. -
Os valores dos campos
createdAteupdatedAttêm valores diferentes. Esse é um indicador de que o evento relata uma ocorrência subsequente a uma descoberta de política existente. Os valores desses campos seriam os mesmos se o evento relatasse uma nova descoberta. -
O campo
countestá definido como2, o que indica que essa é a segunda ocorrência da descoberta. -
O campo
categoryestá definido comoPOLICY. -
O valor do campo
classificationDetailsénull, o que ajuda a diferenciar esse evento para uma descoberta de política de um evento de uma descoberta de dados confidenciais. Para uma descoberta de dados confidenciais, esse valor seria um conjunto de objetos e campos que fornecem informações sobre como e quais dados confidenciais foram encontrados.
Observe também que o valor do campo sample é true. Esse valor enfatiza que esse é um exemplo de evento para uso na documentação.
{
"version": "0",
"id": "0948ba87-d3b8-c6d4-f2da-732a1example",
"detail-type": "Macie Finding",
"source": "aws.macie",
"account": "123456789012",
"time": "2024-04-30T23:12:15Z",
"region":"us-east-1",
"resources": [],
"detail": {
"schemaVersion": "1.0",
"id": "64b917aa-3843-014c-91d8-937ffexample",
"accountId": "123456789012",
"partition": "aws",
"region": "us-east-1",
"type": "Policy:IAMUser/S3BlockPublicAccessDisabled",
"title": "Block public access settings are disabled for the S3 bucket",
"description": "All bucket-level block public access settings were disabled for the S3 bucket. Access to the bucket is controlled by account-level block public access settings, access control lists (ACLs), and the bucket’s bucket policy.",
"severity": {
"score": 3,
"description": "High"
},
"createdAt": "2024-04-29T15:46:02Z",
"updatedAt": "2024-04-30T23:12:15Z",
"count": 2,
"resourcesAffected": {
"s3Bucket": {
"arn": "arn:aws:s3:::amzn-s3-demo-bucket1",
"name": "amzn-s3-demo-bucket1",
"createdAt": "2020-04-03T20:46:56.000Z",
"owner":{
"displayName": "johndoe",
"id": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example"
},
"tags": [
{
"key": "Division",
"value": "HR"
},
{
"key": "Team",
"value": "Recruiting"
}
],
"defaultServerSideEncryption": {
"encryptionType": "aws:kms",
"kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"publicAccess": {
"permissionConfiguration": {
"bucketLevelPermissions": {
"accessControlList": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"bucketPolicy": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"blockPublicAccess": {
"ignorePublicAcls": false,
"restrictPublicBuckets": false,
"blockPublicAcls": false,
"blockPublicPolicy": false
}
},
"accountLevelPermissions": {
"blockPublicAccess": {
"ignorePublicAcls": true,
"restrictPublicBuckets": true,
"blockPublicAcls": true,
"blockPublicPolicy": true
}
}
},
"effectivePermission": "NOT_PUBLIC"
},
"allowsUnencryptedObjectUploads": "FALSE"
},
"s3Object": null
},
"category": "POLICY",
"classificationDetails": null,
"policyDetails": {
"action": {
"actionType": "AWS_API_CALL",
"apiCallDetails": {
"api": "PutBucketPublicAccessBlock",
"apiServiceName": "s3.amazonaws.com",
"firstSeen": "2024-04-29T15:46:02.401Z",
"lastSeen": "2024-04-30T23:12:15.401Z"
}
},
"actor": {
"userIdentity": {
"type": "AssumedRole",
"assumedRole": {
"principalId": "AROA1234567890EXAMPLE:AssumedRoleSessionName",
"arn": "arn:aws:sts::123456789012:assumed-role/RoleToBeAssumed/MySessionName",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": false,
"creationDate": "2024-04-29T10:25:43.511Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AROA1234567890EXAMPLE",
"arn": "arn:aws:iam::123456789012:role/RoleToBeAssumed",
"accountId": "123456789012",
"userName": "RoleToBeAssumed"
}
}
},
"root": null,
"iamUser": null,
"federatedUser": null,
"awsAccount": null,
"awsService": null
},
"ipAddressDetails":{
"ipAddressV4": "192.0.2.0",
"ipOwner": {
"asn": "-1",
"asnOrg": "ExampleFindingASNOrg",
"isp": "ExampleFindingISP",
"org": "ExampleFindingORG"
},
"ipCountry": {
"code": "US",
"name": "United States"
},
"ipCity": {
"name": "Ashburn"
},
"ipGeoLocation": {
"lat": 39.0481,
"lon": -77.4728
}
},
"domainDetails": null
}
},
"sample": true,
"archived": false
}
}Exemplo de um evento para uma descoberta de dados confidenciais
O exemplo a seguir usa dados de amostra para demonstrar a estrutura e a natureza dos objetos e campos em um EventBridge evento da Amazon para uma descoberta de dados confidenciais. Neste exemplo, o evento relata uma nova descoberta de dados confidenciais: o Amazon Macie encontrou várias categorias e tipos de dados confidenciais em um objeto do S3. Os campos e valores a seguir podem ajudá-lo a determinar se esse é o caso:
-
O campo
typeestá definido comoSensitiveData:S3Object/Multiple. -
Os campos
createdAteupdatedAttêm os mesmos valores. Ao contrário das descobertas de políticas, esse é sempre o caso das descobertas de dados confidenciais. Todas as descobertas de dados confidenciais são consideradas novas. -
O campo
countestá definido como1, o que indica que essa é uma nova descoberta. Ao contrário das descobertas de políticas, esse é sempre o caso das descobertas de dados confidenciais. Todas as descobertas de dados confidenciais são consideradas novas. -
O campo
categoryestá definido comoCLASSIFICATION. -
O valor do campo
policyDetailsénull, o que ajuda a diferenciar esse evento de descoberta de dados confidenciais de um evento de descoberta de política. Para uma descoberta de política, esse valor seria um conjunto de objetos e campos que fornecem informações sobre uma possível violação de política ou problema com a segurança ou a privacidade de um bucket do S3.
Observe também que o valor do campo sample é true. Esse valor enfatiza que esse é um exemplo de evento para uso na documentação.
{
"version": "0",
"id": "14ddd0b1-7c90-b9e3-8a68-6a408example",
"detail-type": "Macie Finding",
"source": "aws.macie",
"account": "123456789012",
"time": "2024-04-20T08:19:10Z",
"region": "us-east-1",
"resources": [],
"detail": {
"schemaVersion": "1.0",
"id": "4ed45d06-c9b9-4506-ab7f-18a57example",
"accountId": "123456789012",
"partition": "aws",
"region": "us-east-1",
"type": "SensitiveData:S3Object/Multiple",
"title": "The S3 object contains multiple categories of sensitive data",
"description": "The S3 object contains more than one category of sensitive data.",
"severity": {
"score": 3,
"description": "High"
},
"createdAt": "2024-04-20T18:19:10Z",
"updatedAt": "2024-04-20T18:19:10Z",
"count": 1,
"resourcesAffected": {
"s3Bucket": {
"arn": "arn:aws:s3:::amzn-s3-demo-bucket2",
"name": "amzn-s3-demo-bucket2",
"createdAt": "2020-05-15T20:46:56.000Z",
"owner": {
"displayName": "johndoe",
"id": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example"
},
"tags":[
{
"key":"Division",
"value":"HR"
},
{
"key":"Team",
"value":"Recruiting"
}
],
"defaultServerSideEncryption": {
"encryptionType": "aws:kms",
"kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"publicAccess": {
"permissionConfiguration": {
"bucketLevelPermissions": {
"accessControlList": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"bucketPolicy":{
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"blockPublicAccess": {
"ignorePublicAcls": true,
"restrictPublicBuckets": true,
"blockPublicAcls": true,
"blockPublicPolicy": true
}
},
"accountLevelPermissions": {
"blockPublicAccess": {
"ignorePublicAcls": false,
"restrictPublicBuckets": false,
"blockPublicAcls": false,
"blockPublicPolicy": false
}
}
},
"effectivePermission": "NOT_PUBLIC"
},
"allowsUnencryptedObjectUploads": "TRUE"
},
"s3Object":{
"bucketArn": "arn:aws:s3:::amzn-s3-demo-bucket2",
"key": "2024 Sourcing.csv",
"path": "amzn-s3-demo-bucket2/2024 Sourcing.csv",
"extension": "csv",
"lastModified": "2024-04-19T22:08:25.000Z",
"versionId": "",
"serverSideEncryption": {
"encryptionType": "aws:kms",
"kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"size": 4750,
"storageClass": "STANDARD",
"tags":[
{
"key":"Division",
"value":"HR"
},
{
"key":"Team",
"value":"Recruiting"
}
],
"publicAccess": false,
"etag": "6bb7fd4fa9d36d6b8fb8882caexample"
}
},
"category": "CLASSIFICATION",
"classificationDetails": {
"jobArn": "arn:aws:macie2:us-east-1:123456789012:classification-job/3ce05dbb7ec5505def334104bexample",
"jobId": "3ce05dbb7ec5505def334104bexample",
"result": {
"status": {
"code": "COMPLETE",
"reason": null
},
"sizeClassified": 4750,
"mimeType": "text/csv",
"additionalOccurrences": true,
"sensitiveData": [
{
"category": "PERSONAL_INFORMATION",
"totalCount": 65,
"detections": [
{
"type": "USA_SOCIAL_SECURITY_NUMBER",
"count": 30,
"occurrences": {
"lineRanges": null,
"offsetRanges": null,
"pages": null,
"records": null,
"cells": [
{
"row": 2,
"column": 1,
"columnName": "SSN",
"cellReference": null
},
{
"row": 3,
"column": 1,
"columnName": "SSN",
"cellReference": null
},
{
"row": 4,
"column": 1,
"columnName": "SSN",
"cellReference": null
}
]
}
},
{
"type": "NAME",
"count": 35,
"occurrences": {
"lineRanges": null,
"offsetRanges": null,
"pages": null,
"records": null,
"cells": [
{
"row": 2,
"column": 3,
"columnName": "Name",
"cellReference": null
},
{
"row": 3,
"column": 3,
"columnName": "Name",
"cellReference": null
}
]
}
}
]
},
{
"category": "FINANCIAL_INFORMATION",
"totalCount": 30,
"detections": [
{
"type": "CREDIT_CARD_NUMBER",
"count": 30,
"occurrences": {
"lineRanges": null,
"offsetRanges": null,
"pages": null,
"records": null,
"cells": [
{
"row": 2,
"column": 14,
"columnName": "CCN",
"cellReference": null
},
{
"row": 3,
"column": 14,
"columnName": "CCN",
"cellReference": null
}
]
}
}
]
}
],
"customDataIdentifiers": {
"totalCount": 0,
"detections": []
}
},
"detailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/123456789012/Macie/us-east-1/3ce05dbb7ec5505def334104bexample/d48bf16d-0deb-3e49-9d8c-d407cexample.jsonl.gz",
"originType": "SENSITIVE_DATA_DISCOVERY_JOB"
},
"policyDetails": null,
"sample": true,
"archived": false
}
}