本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
当 Amazon Macie 检测到潜在的违反策略或 Amazon Simple Storage Service (Amazon S3) 通用存储桶的安全或隐私问题,或者检测到 S3 对象中的敏感数据时,它会生成调查发现。调查发现是 Macie 发现的潜在问题或敏感数据的详细报告。每个调查发现都提供了严重性评级、有关受影响资源的信息以及其他详细信息,例如 Macie 何时以及如何发现问题或数据。Macie 会将您的策略和敏感数据调查发现存储 90 天。
您可以通过以下方法查看、分析和管理调查发现。
- Amazon Macie 控制台
-
Amazon Macie 控制台上的调查发现页面列出了您的调查发现,并提供了各个调查发现的详细信息。这些页面还提供用于对调查发现进行分组、筛选和排序以及创建和管理抑制规则的选项。抑制规则可以帮助您简化对调查发现的分析。
- Amazon Macie API
-
借助 Amazon Macie API,您可以使用 AWS 命令行工具或 AWS 软件开发工具包,或者直接向 Macie 发送 HTTPS 请求来查询和检索调查结果数据。要查询数据,您需要向 Amazon Macie API 提交请求,然后使用支持的参数来指定要检索哪些调查发现。提交请求后,Macie 将以 JSON 响应的形式返回结果。然后,您可以将结果传递给另一个服务或应用程序,以进行更深入的分析、长期存储或报告。有关更多信息,请参阅Amazon Macie API 参考资料。
- Amazon EventBridge
-
为了进一步支持与其他服务和系统(例如监控或事件管理系统)的集成,Macie 将调查结果 EventBridge 作为事件发布给 Amazon。 EventBridge(前身为 Amazon CloudWatch Events)是一种无服务器事件总线服务,可以从您自己的应用程序、软件即服务 (SaaS) 应用程序以及 Macie AWS 服务 等提供实时数据流。它可以将这些数据路由到 AWS Lambda 函数、亚马逊简单通知服务主题和 Amazon Kinesis 流等目标,以进行额外的自动处理。使用 EventBridge 还有助于确保长期保留调查结果数据。要了解更多信息 EventBridge,请参阅 Amazon EventBridge 用户指南。
Macie 会自动将事件发布到以 EventBridge 获取新发现。它还为现有策略调查发现的后续事件自动发布事件。由于调查结果数据是按 EventBridge 事件结构的,因此您可以使用其他服务和工具更轻松地监控、分析和根据发现采取行动。例如,您可以使用自动将特定类型的新发现发送 EventBridge 到某个函数,该 AWS Lambda 功能反过来会处理数据并将其发送到您的安全事件和事件管理 (SIEM) 系统。如果您 AWS 用户通知服务 与 Macie 集成,还可以使用事件通过您指定的交付渠道自动收到有关发现的通知。要了解如何使用 EventBridge 事件来监控和处理调查结果,请参阅使用 Amazon 处理调查结果 EventBridge。
- AWS Security Hub
-
要对组织的安全态势进行更多、更广泛的分析,您也可以将调查发现发布到 AWS Security Hub。Security Hub 是一项从 AWS 服务 支持 AWS Partner Network 的安全解决方案中收集安全数据的服务,可为您提供整个 AWS 环境中安全状态的全面视图。Security Hub 还可以帮助您根据安全行业标准和最佳实践检查环境。要了解有关 Security Hub 的更多信息,请参阅 AWS Security Hub 用户指南。要了解如何使用 Security Hub 来评测和处理调查发现,请参阅 使用 AWS Security Hub评估调查发现。
除了调查发现外,Macie 还会为 S3 对象创建敏感数据调查发现,并对其进行分析以发现敏感数据。敏感数据发现结果是关于对象分析的详细信息的记录。这包括 Macie 无法发现到敏感数据的对象,因此不会生成调查发现,以及 Macie 由于错误或问题而无法分析的对象。敏感数据发现结果为您提供分析记录,这些记录可能有助于数据隐私和保护审计或调查。您无法直接在 Amazon Macie 控制台或使用 Amazon Macie API 访问敏感数据发现结果。相反,您可以配置 Macie 将结果存储至 S3 存储桶内。然后,您可以选择访问和查询该存储桶中的结果。要了解如何配置 Macie 以存储结果,请参阅 存储和保留敏感数据发现结果。
