使用 Amazon 处理 Macie 的调查结果 EventBridge - Amazon Macie
使用 EventBridge为调查结果创建 EventBridge 规则

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon 处理 Macie 的调查结果 EventBridge

亚马逊 EventBridge(前身为 Amazon CloudWatch Events)是一项无服务器事件总线服务。 EventBridge 提供来自应用程序和服务的实时数据流,并将这些数据路由到 AWS Lambda 函数、亚马逊简单通知服务 (AmazonSNS) 主题和 Amazon Kinesis 流等目标。要了解更多信息EventBridge,请参阅 Amazon EventBridge 用户指南

借 EventBridge助,您可以自动监控和处理某些类型的事件。这包括 Amazon Macie 针对新策略调查发现和敏感数据调查发现自动发布的事件。这还包括 Macie 针对后续出现的现有策略调查发现自动发布的事件。有关 Macie 如何以及何时发布这些事件的详细信息,请参阅为调查发现配置发布设置

通过使用 EventBridge 和 Macie 为调查结果发布的事件,您可以近乎实时地监控和处理调查结果。然后,您可以通过使用其他应用程序和服务根据调查发现采取行动。例如,您可以使用 EventBridge 向 AWS Lambda 函数发送特定类型的新发现。然后,Lambda 函数可能会处理数据并将其发送到您的安全事件和事件管理 (SIEM) 系统。如果您将 “AWS用户通知” 与 Macie 集成,则还可以使用事件通过您指定的交付渠道自动收到有关发现的通知。

除了自动监控和处理外,使用 EventBridge 还可以长期保留您的发现数据。Macie 会将调查发现存储 90 天。使用 EventBridge,您可以将调查结果数据发送到首选存储平台,并根据需要将数据存储多长时间。

注意

若要长期留存,还可以配置 Macie 以将您的敏感数据发现结果存储在 S3 存储桶中。敏感数据发现结果是记录 Macie 对 S3 对象执行的分析的详细信息的记录,以确定该对象是否包含敏感数据。要了解更多信息,请参阅 存储和保留敏感数据发现结果

与亚马逊合作 EventBridge

通过 Amazon EventBridge,您可以创建规则来指定要监控的事件以及要对这些事件执行自动操作的目标。目标是向其 EventBridge 发送事件的目的地。

要自动监控和处理发现任务,您可以创建一条 EventBridge 规则,自动检测 Amazon Macie 的发现事件,并将这些事件发送到其他应用程序或服务进行处理或其他操作。您可以调整规则,使其仅发送那些符合特定条件的事件。为此,请指定源自Macie 调查结果的亚马逊 EventBridge 事件架构的标准。

例如,您可以创建一个规则,将特定类型的新调查发现发送到 AWS Lambda 函数。然后,Lambda 函数可以执行诸如:处理数据并将其发送到您的SIEM系统;自动对 S3 对象应用某种类型的服务器端加密;或者通过更改 S3 对象的访问控制列表来限制对该对象的访问()。ACL或者,您可以创建一条规则,自动向 Amazon SNS 主题发送新的高严重性调查结果,然后由该主题将调查结果通知您的事件响应团队。

除了调用 Lambda 函数和通知SNS亚马逊主题外,还支持其他类型的目标和操作 EventBridge ,例如将事件中继到 Amazon Kinesis 流、 AWS Step Functions 激活状态机和调用运行命令。 AWS Systems Manager 有关支持的目标的信息,请参阅 Amazon EventBridge 用户指南中的事件总线目标

为 Macie 调查结果创建亚马逊 EventBridge 规则

以下过程说明了如何使用亚马逊 EventBridge 控制台和 AWS Command Line Interface (AWS CLI) 为 Amazon Macie 的调查结果创建 EventBridge 规则。该规则检测使用 EventBridge事件架构和模式获取 Macie 发现的事件,并将这些事件发送到 AWS Lambda 函数进行处理。

AWS Lambda 是一项计算服务,无需预置或管理服务器即可使用它来运行代码。您可以打包您的代码并将其 AWS Lambda 作为 Lambda 函数上传到。 AWS Lambda 然后在函数被调用时运行该函数。您可以手动调用函数,自动调用函数以响应事件,或者响应来自应用程序或服务的请求。有关创建和调用 Lambda 函数的信息,请参阅 AWS Lambda 开发者指南

Console

按照以下步骤使用亚马逊 EventBridge 控制台创建规则,自动将所有 Macie 查找事件发送到 Lambda 函数进行处理。该规则对收到特定事件时运行的规则使用默认设置。有关规则设置的详细信息或要了解如何创建使用自定义设置的规则,请参阅 Amazon EventBridge 用户指南中的创建对事件做出反应的规则。

提示

您还可以创建一个规则,使用自定义模式仅检测 Macie 调查发现事件的子集并对其采取行动。该子集可以基于 Macie 在调查发现事件中包含的特定字段。要了解可用字段,请参阅Macie 调查结果的亚马逊 EventBridge 事件架构。要了解如何在规则中使用自定义模式,请参阅 Amazon EventBridge 用户指南中的创建事件模式

在创建规则之前,请创建您希望该规则用作目标的 Lambda 函数。创建规则时,需要将此函数指定为规则的目标。

通过使用控制台创建事件规则

  1. 打开 Amazon EventBridge 控制台,网址为https://console.aws.amazon.com/events/

  2. 在导航窗格的 “总线” 下,选择 “规则”。

  3. 规则部分中,选择创建规则

  4. 定义规则详细信息页面上,执行以下操作:

    • 对于名称,输入规则的名称。

    • (可选)对于描述,输入规则的简要描述。

    • 对于事件总线,请确保选择默认值,以及在选定的事件总线上启用该规则已开启。

    • 对于规则类型,选择具有事件模式的规则

  5. 完成后,选择 Next (下一步)

  6. 构建事件模式页面上,执行以下操作:

    • 对于事件来源,选择AWS 事件或 EventBridge 合作伙伴事件

    • (可选)对于示例事件,请查看 Macie 的示例调查发现事件,以了解事件可能包含的内容。为此,请选择 AWS 事件。然后,对于示例事件,选择 Macie 调查发现

    • 对于创建方法,选择使用模式表单

    • 在 “事件模式” 中,输入以下设置:

      • 对于事件源,选择 AWS 服务

      • 对于 AWS 服务,请选择 Macie

      • 对于 事件类型,选择 Macie 调查发现

  7. 完成后,选择 Next (下一步)

  8. 选择目标页面上,执行以下操作:

    • 对于 Target types(目标类型),选择 AWS 服务

    • 对于 Select a target(选择目标),选择 Lambda function(Lambda 函数)。然后,对于函数,选择您要将调查发现发送到的 Lambda 函数。

    • 对于配置版本/别名,输入目标 Lambda 函数的版本和别名设置。

    • (可选)对于其他设置,输入自定义设置以指定要向 Lambda 函数发送哪些事件数据。您还可以指定如何处理未成功传递到函数的事件。

  9. 完成后,选择 Next (下一步)

  10. 配置标签页面上,可以选择输入要分配给规则的一个或多个标签。然后选择下一步

  11. 查看并创建页面上,查看规则的设置并验证它们是否正确。

    要更改设置,选择包含该设置的部分中的编辑,然后输入正确的设置。您也可以使用导航选项卡转到包含设置的页面。

  12. 在输入完验证设置后,请选择创建规则

AWS CLI

按照以下步骤使用创建 EventBridge 规则, AWS CLI 将所有 Macie 查找事件发送到 Lambda 函数进行处理。该规则对收到特定事件时运行的规则使用默认设置。在此过程中,命令的格式化适用于微软 Windows。对于 Linux、macOS 或 Unix,请将插入符号 (^) 行继续符替换为反斜杠 (\)。

在创建规则之前,请创建您希望该规则用作目标的 Lambda 函数。创建函数时,请记下该函数的 Amazon 资源名称 (ARN)。当你为规则指定目标ARN时,你需要输入这个值。

要创建事件规则,请使用 AWS CLI

  1. 创建一条规则,用于检测 Macie 发布到 EventBridge的所有发现的事件。为此,请运行 EventBridge put-rule 命令。例如:

    C:\> aws events put-rule ^
--name MacieFindings ^
--event-pattern "{\"source\":[\"aws.macie\"]}"

    位置 MacieFindings 是您想要的规则名称。

    提示

    您也可以创建一个规则,该规则使用自定义模式 (event-pattern) 来检测并仅对 Macie 查找事件的子集采取行动。该子集可以基于 Macie 在调查发现事件中包含的特定字段。要了解可用字段,请参阅Macie 调查结果的亚马逊 EventBridge 事件架构。要了解如何在规则中使用自定义模式,请参阅 Amazon EventBridge 用户指南中的创建事件模式

    如果命令成功运行,则使用规则中的ARN进行 EventBridge 响应。注意这一点ARN。您需要在步骤 3 中输入该 ARN。

  2. 指定要用作规则目标的 Lambda 函数。为此,请运行 EventBridge put-targets 命令。例如:

    C:\> aws events put-targets ^
--rule MacieFindings ^
--targets Id=1,Arn=arn:aws:lambda:regionalEndpoint:accountID:function:my-findings-function

    位置 MacieFindings 是您在步骤 1 中为规则指定的名称,Arn参数的值是您希望规则用作目标的函数的值。ARN

  3. 添加允许规则调用目标 Lambda 函数的权限。为此,请运行 Lambda 添加权限命令。例如:

    C:\> aws lambda add-permission ^
--function-name my-findings-function ^
--statement-id Sid ^
--action lambda:InvokeFunction ^
--principal events.amazonaws.com ^
--source-arn arn:aws:events:regionalEndpoint:accountId:rule:MacieFindings

    其中:

    • my-findings-function 是您希望规则用作目标的 Lambda 函数的名称。

    • Sid 是您定义的语句标识符,用于描述 Lambda 函数策略中的语句。

    • source-arn是最ARN重要 EventBridge的。

    如果命令成功运行,则您将收到类似于以下内容的输出:

    {
  "Statement": "{\"Sid\":\"sid\",
    \"Effect\":\"Allow\",
    \"Principal\":{\"Service\":\"events.amazonaws.com\"},
    \"Action\":\"lambda:InvokeFunction\",
    \"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:my-findings-function\",
    \"Condition\":
      {\"ArnLike\":
        {\"AWS:SourceArn\":
         \"arn:aws:events:us-east-1:111122223333:rule/MacieFindings\"}}}"
}

    Statement值是已添加到 Lambda 函数策略的语句的JSON字符串版本。