使用 AWS 用户通知服务 监控 Macie 调查发现
AWS 用户通知服务 是您在 AWS Management Console 上获取 AWS 通知的中心位置。这包括 Amazon CloudWatch 警报、AWS Support 案例以及来自其他 AWS 服务 通信形式的通知。借助 用户通知服务,您可配置自定义规则,并为接收特定类型 Amazon EventBridge 事件通知提供传递通道。交付通道包括电子邮件、AWS Chatbot 聊天通知和 AWS Console Mobile Application 推送通知。您也可以在 AWS 用户通知服务 控制台上查看通知。要了解有关 用户通知服务 的更多信息,请参阅《AWS 用户通知服务 用户指南》。
Amazon Macie 与 AWS 用户通知服务 集成后,您可以配置 用户通知服务,以获知 Macie 发布至 EventBridge 的、关于策略和敏感数据的调查发现信息。如果调查发现符合您指定的标准,则 用户通知服务 会生成通知。该通知包括相关调查发现的关键细节,例如调查发现的类型和严重性,以及受影响资源的名称。用户通知服务 还可以将通知发送到您指定的一个或多个交付渠道。您可以根据您的安全和合规工作流程,自定义选择传递通道。
例如,您可配置 用户通知服务,以生成关于特定类型的新建、高严重性调查发现通知。您还可以指定 AWS Chatbot 作为这些通知的发送渠道。然后,用户通知服务 会检测调查发现的 EventBridge 事件,生成包含调查发现数据的通知,并将通知发送至 AWS Chatbot。然后,AWS Chatbot 可能会将通知发送至 Slack 通道或 Amazon Chime 聊天室,以通知您的事件响应团队。
使用 AWS 用户通知服务
借助 AWS 用户通知服务,您可创建规则,以指定您想要监控和接收通知的目标 Amazon EventBridge 事件类型。EventBridge 必须匹配规则定义的条件,才能生成通知。您也可以选择一个或多个规则传递通道。传递通道是指您想要按规则条件接收事件通知的位置。
如果 用户通知服务 检测到 EventBridge 事件符合规则条件,则它会执行以下常规任务:
-
从事件中提取数据子集。
-
生成包含提取数据的通知。
-
将通知发送至指定类型的事件传递通道。
通知的设计和结构针对每个目标传递通道进行了优化。
若要管理收到通知的频率或数量,您可以为规则配置聚合设置。如果您启用此设置,则 用户通知服务 会将多个事件的数据合并至一个通知中。严重性较高的调查发现事件,您可选择快速、频繁地发送聚合事件通知。或者对于严重性较低的调查发现事件,您可选择降低发送频率以减少收到的通知数量。如您合并事件数据,您可以使用 AWS 用户通知服务 控制台深入查看每个聚合事件的详细信息。您还可在此导航至 Amazon Macie 控制台上的每个相关调查发现信息。
为 Macie 调查发现启用和配置 AWS 用户通知服务
要让 AWS 用户通知服务 生成有关 Amazon Macie 调查发现的通知,请在 用户通知服务 中为 Macie 创建通知配置。通知配置指定规则标准。它还指定传递通道和其他设置,用于监控和发送符合规则标准的 Amazon EventBridge 事件通知。有关创建通知配置的详细信息,请参阅《AWS 用户通知服务 用户指南》中的AWS 用户通知服务 入门。
要为 Macie 调查发现创建通知配置,请选择以下事件规则选项:
-
对于 AWS 服务 名称,请选择 Macie。
-
对于事件类型,选择 Macie 调查发现。
-
对于区域,选择您使用 Macie 并希望收到调查发现通知的每个 AWS 区域。
用户通知服务 可通过此配置监控 AWS 账户 的 EventBridge 事件,并为您指定的区域内的所有 Macie 调查发现事件生成通知。事件匹配以下条件:
-
source等于aws.macie -
detail-type等于Macie Finding
事件规则的基础 JSON 模式为:
{ "source": ["aws.macie"], "detail-type": ["Macie Finding"] }
要完善规则并仅针对调查发现子集生成通知,您可为此规则生成自定义 JSON 模式。为此,请指定源自 用于 Macie 调查发现的 Amazon EventBridge 事件架构 的其他标准。
如果您创建使用自定义 JSON 模式的规则,则可以为 Macie 调查发现创建多个通知配置。然后,您可以为每种配置自定义传递通道和其他设置,使其与针对特定调查发现类型的安全和合规工作流程保持一致。
例如,您可创建一个规则,当 Macie 生成或更新 Policy:IAMUser/S3BucketPublic 调查发现时通知您。在这种情况下,规则模式可能是:
{ "source": ["aws.macie"], "detail-type": ["Macie Finding"], "detail": { "type": ["Policy:IAMUser/S3BucketPublic"] } }
您还可以创建另一条规则,在 Macie 为可公开访问的 S3 存储桶生成敏感数据调查发现时通知您。在这种情况下,规则模式可能是:
{ "source": ["aws.macie"], "detail-type": ["Macie Finding"], "detail": { "type": [ { "prefix": "SensitiveData" } ], "resourcesAffected": { "effectivePermission": ["PUBLIC"] } } }
如果您为 Macie 调查发现创建了多个通知配置,则最好确保每项配置规则的唯一性。否则,您可能会收到有关个别调查发现的重复通知。
要了解有关为规则自定义事件模式的更多信息,请参阅《AWS 用户通知服务 用户指南》中的使用自定义 JSON 事件模式。
将 AWS 用户通知服务 字段映射到 Macie 调查发现字段
当 AWS 用户通知服务 针对 Amazon Macie 调查发现生成通知时,它会在通知中填充相应 Amazon EventBridge 事件中的字段子集数据。此字段包括相关调查发现的关键细节,例如调查发现的类型和严重性以及受影响资源的名称。
如果您在 AWS 用户通知服务 控制台上查看通知,则该通知包含该字段子集的所有数据。此外还提供了指向 Amazon Macie 控制台上的相关调查发现的链接。如果您通过其他传递通道查看该通知,则可能仅包含部分字段数据。原因是 用户通知服务 会自定义通知的设计和结构,以适应其所支持的每种类型传递通道。
下表列出了调查发现通知中可能包含的字段。在表中,通知字段列描述(斜体)或表示通知中字段的名称。调查发现事件字段 列使用点符号表示调查发现 EventBridge 事件中的相应 JSON 字段名称。描述列描述了存储在此字段内的数据。
| 通知字段 | 调查发现事件字段 | 说明 |
|---|---|---|
|
消息标题 |
|
结果类型。 例如: |
| 摘要 |
|
调查发现的简要描述 例如: |
| 描述 |
|
调查发现的完整描述 例如: |
| 严重性 |
|
调查发现严重程度的定性表示: |
|
调查发现 ID |
|
调查发现的唯一标识符。 |
|
创建时间 |
|
Macie 创建调查发现的日期和时间。 |
|
已更新 |
|
Macie 最近更新调查发现的日期和时间。 对于敏感数据调查发现,此值与创建 ( |
|
受影响的 S3 存储桶 |
|
S3 存储桶的 Amazon 资源名称(ARN)。 |
|
受影响的 S3 对象 |
|
受影响的 S3 对象名称(密钥),包括存储对象和对象前缀(如适用)的存储桶名称。 此字段不包含在策略调查发现通知中。 |
|
敏感数据检测 |
AND 或 &&
|
这串联了事件中的多个字段,用于敏感数据的调查发现。此字段不包含在策略调查发现通知中。 如果托管数据标识符检测到敏感数据,则此字段指定所检测到的敏感数据的类别、类型和出现次数 ( 如果自定义数据标识符检测到敏感数据,则此字段指定自定义数据标识符的名称,以及检测到的敏感数据出现次数 ( 如果调查发现报告多种类型敏感数据,则通知包含最多四类数据。数据中首先填充适当的自定义标识符,然后填充适当的托管数据标识符。 |
更改 Macie 调查发现的 AWS 用户通知服务 设置
您可以随时更改 Amazon Macie 调查发现的 AWS 用户通知服务 设置。为此,请在 用户通知服务 中编辑通知配置。要了解操作方法,请参阅《AWS 用户通知服务用户指南》中的管理通知配置。
如果您的 Macie 调查发现包含多种通知配置,则更改一项通知配置不会影响其他配置设置。您可以编辑全部或部分配置。
禁用 Macie 调查发现的 AWS 用户通知服务
要停止生成和接收来自 AWS 用户通知服务 的 Amazon Macie 调查发现通知,请删除 用户通知服务 中的通知配置。要了解操作方法,请参阅《AWS 用户通知服务用户指南》中的管理通知配置。
如果您的 Macie 调查发现包含多种通知配置,则删除一项通知配置不会影响其他配置设置。您可以删除全部或部分配置。
