本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
监控 Macie 的调查结果 AWS 用户通知服务
AWS 用户通知服务 是一项服务,可充当您在上发布 AWS 通知的中心位置 AWS Management Console。这包括诸如 Amazon CloudWatch 警报、 AWS Support 案例和其他人的通信之类的通知 AWS 服务。借 用户通知服务助,您可以配置自定义规则和传递渠道,以接收有关某些类型的 Amazon EventBridge 事件的通知。交付渠道包括电子邮件、 AWS Chatbot 聊天通知和 AWS Console Mobile Application 推送通知。您也可以在 AWS 用户通知服务 控制台上查看通知。要了解更多信息 用户通知服务,请参阅AWS 用户通知服务 用户指南。
Amazon Macie 与集成 AWS 用户通知服务,这意味着您可以配置 用户通知服务 为通知 Macie 发布的事件以 EventBridge 获取策略和敏感数据发现。如果发现事件符合您指定的标准,则 用户通知服务 会生成通知。该通知包括相关发现的关键细节,例如发现的类型和严重性,以及受影响资源的名称。 用户通知服务 也可以将通知发送到您指定的一个或多个交付渠道。您可以根据您的安全和合规工作流程,自定义选择传递通道。
例如,您可以配置 用户通知服务 为针对特定类型的新的高严重性发现生成通知。您也可以将这些通知指定 AWS Chatbot 为传递渠道。 用户通知服务 然后检测发现 EventBridge 的事件,生成包含发现结果数据的通知,并将通知发送到 AWS Chatbot。 AWS Chatbot 然后,可能会将通知发送到 Slack 频道或 Amazon Chime 聊天室以通知您的事件响应团队。
与... 合作 AWS 用户通知服务
使用 AWS 用户通知服务,您可以创建规则来指定要监控和接收通知的 Amazon EventBridge 事件类型。规则定义了 EventBridge 事件必须匹配才能生成通知的标准。您也可以选择一个或多个规则传递通道。传递通道是指您想要按规则条件接收事件通知的位置。
如果 用户通知服务 检测到符合规则标准 EventBridge 的事件,它将执行以下常规任务:
-
从事件中提取数据子集。
-
生成包含提取数据的通知。
-
将通知发送至指定类型的事件传递通道。
通知的设计和结构针对每个目标传递通道进行了优化。
若要管理收到通知的频率或数量,您可以为规则配置聚合设置。如果您启用这些设置,则会将多个事件的数据 用户通知服务 合并到一个通知中。严重性较高的调查发现事件,您可选择快速、频繁地发送聚合事件通知。或者对于严重性较低的调查发现事件,您可选择降低发送频率以减少收到的通知数量。如果合并事件数据,则可以使用 AWS 用户通知服务 控制台向下钻取以查看每个聚合事件的详细信息。您还可在此导航至 Amazon Macie 控制台上的每个相关调查发现信息。
为 Macie AWS 用户通知服务 调查结果启用和配置
AWS 用户通知服务 要启用为 Amazon Macie 调查结果生成通知,请在中为 Macie 创建通知配置。 用户通知服务通知配置指定规则标准。它还指定配送渠道和其他设置,用于监控和发送符合规则标准的亚马逊 EventBridge 事件的通知。有关创建通知配置的详细信息,请参阅《AWS 用户通知服务 用户指南》 AWS 用户通知服务中的入门。
要为 Macie 调查发现创建通知配置,请选择以下事件规则选项:
-
对于 AWS 服务 名称,请选择 Macie。
-
对于 事件类型,选择 Macie 调查发现。
-
对于区域,选择您使用 Macie 并希望收到调查结果通知的每个 AWS 区域 区域。
使用此配置,可以 用户通知服务 监控您的 EventBridge 事件, AWS 账户 并针对您所选区域中的所有 Macie 查找事件生成通知。事件匹配以下条件:
-
source
equalsaws.macie
-
detail-type
equalsMacie Finding
事件规则的基本JSON模式是:
{ "source": ["aws.macie"], "detail-type": ["Macie Finding"] }
要完善规则并仅针对部分发现结果生成通知,您可以自定义规则的JSON模式。为此,请指定源自的其他标准Macie 调查结果的亚马逊 EventBridge 事件架构。
如果您创建使用自定义JSON模式的规则,则可以为 Macie 的发现结果创建多个通知配置。然后,您可以为每种配置自定义传递通道和其他设置,使其与针对特定调查发现类型的安全和合规工作流程保持一致。
例如,你可以创建一个规则,在 Macie 生成或更新时通知你 Policy:IAMUser/S3BucketPublic发现。在这种情况下,规则模式可能是:
{ "source": ["aws.macie"], "detail-type": ["Macie Finding"], "detail": { "type": ["Policy:IAMUser/S3BucketPublic"] } }
您还可可以创建另一条规则,在 Macie 为可公开访问的 S3 存储桶生成敏感数据调查发现时通知您。在这种情况下,规则模式可能是:
{ "source": ["aws.macie"], "detail-type": ["Macie Finding"], "detail": { "type": [ { "prefix": "SensitiveData" } ], "resourcesAffected": { "effectivePermission": ["PUBLIC"] } } }
如果您为 Macie 调查发现创建了多个通知配置,则最好确保每项配置规则的唯一性。否则,您可能会收到有关个别调查发现的重复通知。
要了解有关为规则自定义事件模式的更多信息,请参阅AWS 用户通知服务 用户指南中的使用自定义JSON事件模式。
将 AWS 用户通知服务 字段映射到 Macie 查找字段
当为 Amazon Macie 的发现 AWS 用户通知服务 生成通知时,它会使用来自相应亚马逊事件中部分字段的数据填充通知。 EventBridge 此字段包括相关调查发现的关键细节,例如调查发现的类型和严重性以及受影响资源的名称。
如果您在 AWS 用户通知服务 控制台上查看通知,则该通知将包含该字段子集的所有数据。此外还提供了指向 Amazon Macie 控制台上的相关调查发现的链接。如果您通过其他传递通道查看该通知,则可能仅包含部分字段数据。这是因为 用户通知服务 定制了通知的设计和结构,以适应其支持的每种交付渠道。
下表列出了调查发现通知中可能包含的字段。在表中,通知字段列描述(斜体)或表示通知中字段的名称。“查找结果” 事件字段列使用点表示法来表示查找结果 EventBridge 的事件中相应JSON字段的名称。描述列描述了存储在此字段内的数据。
通知字段 | 调查发现事件字段 | 描述 |
---|---|---|
消息标题 |
|
结果类型。 例如: |
摘要 |
|
调查发现的简要描述 例如: |
描述 |
|
调查发现的完整描述 例如: |
严重性 |
|
调查发现严重程度的定性表示: |
调查发现 ID |
|
调查发现的唯一标识符。 |
创建时间 |
|
Macie 创建调查发现的日期和时间。 |
已更新 |
|
Macie 最近更新调查发现的日期和时间。 对于敏感数据调查发现,此值与创建 ( |
受影响的 S3 存储桶 |
|
受影响的 S3 存储桶的 Amazon 资源名称 (ARN)。 |
受影响的 S3 对象 |
|
受影响的 S3 对象名称(密钥),包括存储对象和对象前缀(如适用)的存储桶名称。 此字段不包含在策略调查发现通知中。 |
敏感数据检测 |
AND 或 &&
|
这串联了事件中的多个字段,用于敏感数据的调查发现。此字段不包含在策略调查发现通知中。 如果托管数据标识符检测到敏感数据,则此字段指定所检测到的敏感数据的类别、类型和出现次数 ( 如果自定义数据标识符检测到敏感数据,则此字段指定自定义数据标识符的名称,以及检测到的敏感数据出现次数 ( 如果调查发现报告多种类型敏感数据,则通知包含最多四类数据。数据中首先填充适当的自定义标识符,然后填充适当的托管数据标识符。 |
更改 Macie 搜索结果的 AWS 用户通知服务 设置
您可以随时更改 Amazon Macie 搜索结果的 AWS 用户通知服务 设置。为此,请在中编辑通知配置 用户通知服务。要了解操作方法,请参阅AWS 用户通知服务 用户指南中的管理通知配置。
如果您的 Macie 调查发现包含多种通知配置,则更改一项通知配置不会影响其他配置设置。您可以编辑全部或部分配置。
禁用 M AWS 用户通知服务 acie 搜索结果
要停止生成和接收来自 AWS 用户通知服务 Amazon Macie 调查结果的通知,请删除中的通知配置。 用户通知服务要了解操作方法,请参阅AWS 用户通知服务 用户指南中的管理通知配置。
如果您的 Macie 调查发现包含多种通知配置,则删除一项通知配置不会影响其他配置设置。您可以删除全部或部分配置。