使用 Amazon 處理 Macie 調查結果 EventBridge - Amazon Macie
使用 EventBridge建立調查結果的 EventBridge 規則

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Amazon 處理 Macie 調查結果 EventBridge

Amazon , EventBridge前身為 Amazon CloudWatch Events,是無伺服器事件匯流排服務。 會從應用程式和服務 EventBridge 傳遞即時資料串流,並將資料路由至 AWS Lambda 函數、Amazon Simple Notification Service (Amazon SNS) 主題和 Amazon Kinesis 串流等目標。若要進一步了解 EventBridge,請參閱 Amazon EventBridge 使用者指南

透過 EventBridge,您可以自動監控和處理特定類型的事件。這包括 Amazon Macie 為新的政策調查結果和敏感資料調查結果自動發佈的事件。這也包括 Macie 自動發佈的事件,以便後續出現現有政策調查結果。如需有關 Macie 如何和何時發佈這些事件的詳細資訊,請參閱 設定調查結果的發佈設定

透過使用 EventBridge 和 Macie 發佈的調查結果事件,您可以近乎即時地監控和處理調查結果。然後,您可以使用其他應用程式和服務根據調查結果採取行動。例如,您可以使用 EventBridge 將特定類型的新調查結果傳送至 AWS Lambda 函數。然後,Lambda 函數可能會處理資料並將其傳送至您的安全事件和事件管理 (SIEM) 系統。如果您AWS 使用者通知 與 Macie 整合,也可以使用事件,透過您指定的交付管道自動通知調查結果。

除了自動化監控和處理之外, 的使用 EventBridge 還可讓您長期保留調查結果資料。Macie 會儲存調查結果 90 天。使用 EventBridge,您可以將調查結果資料傳送到您偏好的儲存平台,並隨心所欲地儲存資料。

注意

對於長期保留,也請設定 Macie 將敏感資料探索結果儲存在 S3 儲存貯體中。敏感資料探索結果是記錄 Macie 在 S3 物件上執行之分析的詳細資訊的記錄,以判斷物件是否包含敏感資料。如需進一步了解,請參閱 儲存及保留敏感資料探索結果

使用 Amazon EventBridge

使用 Amazon 時 EventBridge,您可以建立規則來指定要監控的事件,以及要為這些事件執行自動動作的目標。目標是 EventBridge 傳送事件的目標。

若要自動監控和處理調查結果的任務,您可以建立自動偵測 Amazon Macie 調查結果事件的 EventBridge 規則,並將這些事件傳送至另一個應用程式或服務進行處理或其他動作。您可以自訂規則,以僅傳送符合特定條件的事件。若要執行此操作,請指定衍生自 的條件馬西埃發現的 Amazon EventBridge 事件模式

例如,您可以建立規則,將特定類型的新調查結果 AWS Lambda 傳送至函數。然後,Lambda 函數可以執行任務,例如:處理和傳送資料至您的SIEM系統;自動將特定類型的伺服器端加密套用至 S3 物件;或變更物件的存取控制清單 (),限制對 S3 物件的存取ACL。或者,您可以建立規則,將新的高嚴重性調查結果自動傳送至 Amazon SNS主題,然後通知事件回應團隊調查結果。

除了叫用 Lambda 函數和通知 Amazon SNS主題之外, EventBridge 還支援其他類型的目標和動作,例如將事件轉送至 Amazon Kinesis 串流、啟動 AWS Step Functions 狀態機器和叫用 AWS Systems Manager 執行命令。如需支援目標的相關資訊,請參閱 Amazon EventBridge 使用者指南 中的事件匯流排目標

為 Macie 調查結果建立 Amazon EventBridge 規則

下列程序說明如何使用 Amazon EventBridge 主控台和 AWS Command Line Interface (AWS CLI) 來建立 Amazon Macie 調查結果的 EventBridge 規則。此規則會偵測 EventBridge使用事件結構描述和 Macie 調查結果模式的事件,並將這些事件傳送至 AWS Lambda 函數進行處理。

AWS Lambda 是一項運算服務,您可以用來執行程式碼,而無需佈建或管理伺服器。您可以封裝程式碼,並將其 AWS Lambda 作為 Lambda 函數 上傳至 。 AWS Lambda 然後在叫用函數時執行函數。函數可由您人工呼叫,可以自動回應事件,或回應應用程式或服務的請求。如需建立並調用 Lambda 函數的相關資訊,請參閱AWS Lambda 開發人員指南

Console

請依照下列步驟使用 Amazon EventBridge 主控台建立規則,自動將所有 Macie 調查結果事件傳送至 Lambda 函數進行處理。規則會針對收到特定事件時執行的規則使用預設設定。如需規則設定的詳細資訊,或了解如何建立使用自訂設定的規則,請參閱 Amazon EventBridge 使用者指南 中的建立對事件做出反應的規則

提示

您也可以建立使用自訂模式的規則,以僅偵測和處理一部分 Macie 調查結果事件。此子集可以基於 Macie 包含在調查結果事件中的特定欄位。若要了解可用的欄位,請參閱 馬西埃發現的 Amazon EventBridge 事件模式。若要了解如何在規則中使用自訂模式,請參閱 Amazon EventBridge 使用者指南 中的建立事件模式

建立此規則之前,請建立您要規則用作目標的 Lambda 函數。在建立規則時,您需要將此函數指定為該規則的目標。

使用主控台建立事件規則

  1. 在 開啟 Amazon EventBridge 主控台https://console.aws.amazon.com/events/

  2. 在導覽窗格中的 Buses 下,選擇規則

  3. Rules (規則) 區段中,選擇 Create Rule (建立規則)。

  4. 定義規則詳細資訊頁面上,執行下列動作:

    • 對於 Name (名稱),請輸入規則的名稱。

    • (選用) 針對描述 ,輸入規則的簡短描述。

    • 對於事件匯流排 ,請確保已選取預設值,並開啟所選事件匯流排上的啟用規則

    • 針對規則類型,選擇具有事件模式的規則

  5. 完成後,請選擇下一步

  6. 建置事件模式頁面上,執行下列動作:

    • 針對事件來源 ,選擇AWS 事件或 EventBridge 合作夥伴事件

    • (選用) 對於範例事件 ,請檢閱 Macie 的探索事件範例,以了解事件可能包含的內容。若要這麼做,請選擇AWS 事件 。然後,針對範例事件 ,選擇 Macie Finding

    • 針對建立方法,選取使用模式表單

    • 針對事件模式 ,輸入下列設定:

      • Event source (事件來源),選擇 AWS 服務

      • 針對 AWS 服務,選擇 Macie

      • 針對事件類型 ,選擇 Macie Finding

  7. 完成後,請選擇下一步

  8. 選取目標頁面上,執行下列動作:

    • 對於 Target types (目標類型),選擇 AWS 服務

    • 對於 Select a target (選取目標),選擇 Lambda function (Lambda 函數)。然後,針對函數 ,選擇要傳送調查結果事件的 Lambda 函數。

    • 針對設定版本/別名 ,輸入目標 Lambda 函數的版本和別名設定。

    • (選用) 針對其他設定 ,輸入自訂設定以指定要傳送至 Lambda 函數的事件資料。您也可以指定如何處理未成功交付至函數的事件。

  9. 完成後,請選擇下一步

  10. 設定標籤頁面上,選擇性地輸入要指派給規則的一或多個標籤。然後選擇下一步

  11. 檢閱和建立頁面上,檢閱規則的設定並確認其正確無誤。

    若要變更設定,請在包含設定的區段中選擇編輯,然後輸入正確的設定。您也可以使用導覽索引標籤前往包含設定的頁面。

  12. 當您完成驗證設定時,請選擇建立規則

AWS CLI

請依照下列步驟使用 AWS CLI 建立 EventBridge 規則,將所有 Macie 調查結果事件傳送至 Lambda 函數進行處理。規則會針對收到特定事件時執行的規則使用預設設定。在此程序中,命令會針對 Microsoft Windows 進行格式化。對於 Linux、macOS 或 Unix,請將 caret (^) 換為反斜線 (\)。

建立此規則之前,請建立您要規則用作目標的 Lambda 函數。建立函數時,請注意函數的 Amazon Resource Name (ARN)。當您指定規則的目標ARN時,您需要輸入此項目。

使用 建立事件規則 AWS CLI

  1. 建立規則,以偵測 Macie 發佈至 的所有調查結果的事件 EventBridge。若要執行此操作,請執行 EventBridge put-rule 命令。例如:

    C:\> aws events put-rule ^
--name MacieFindings ^
--event-pattern "{\"source\":[\"aws.macie\"]}"

    位置 MacieFindings 是您想要用於規則的名稱。

    提示

    您也可以建立使用自訂模式 (event-pattern) 的規則,以僅偵測 Macie 調查結果事件的子集並對其採取行動。此子集可以基於 Macie 包含在調查結果事件中的特定欄位。若要了解可用的欄位,請參閱 馬西埃發現的 Amazon EventBridge 事件模式。若要了解如何在規則中使用自訂模式,請參閱 Amazon EventBridge 使用者指南 中的建立事件模式

    如果命令執行成功, EventBridge 會回應規則ARN的 。請注意此 ARN。您需要在步驟 3 輸入此名稱。

  2. 指定要用作規則目標的 Lambda 函數。若要執行此操作,請 EventBridge執行 put-targets 命令。例如:

    C:\> aws events put-targets ^
--rule MacieFindings ^
--targets Id=1,Arn=arn:aws:lambda:regionalEndpoint:accountID:function:my-findings-function

    位置 MacieFindings 是您在步驟 1 中為規則指定的名稱,參數的值Arn是您希望規則用作目標ARN的函數的 。

  3. 新增允許規則叫用目標 Lambda 函數的許可。若要執行此操作,請執行 Lambda add-permission 命令。例如:

    C:\> aws lambda add-permission ^
--function-name my-findings-function ^
--statement-id Sid ^
--action lambda:InvokeFunction ^
--principal events.amazonaws.com ^
--source-arn arn:aws:events:regionalEndpoint:accountId:rule:MacieFindings

    其中:

    • my-findings-function 是您希望規則用作目標的 Lambda 函數名稱。

    • Sid 是您在 Lambda 函數政策中用來描述陳述式的陳述式識別碼。

    • source-arn 是規則ARN的 EventBridge 。

    如果命令執行成功,您會收到類似下列的輸出:

    {
  "Statement": "{\"Sid\":\"sid\",
    \"Effect\":\"Allow\",
    \"Principal\":{\"Service\":\"events.amazonaws.com\"},
    \"Action\":\"lambda:InvokeFunction\",
    \"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:my-findings-function\",
    \"Condition\":
      {\"ArnLike\":
        {\"AWS:SourceArn\":
         \"arn:aws:events:us-east-1:111122223333:rule/MacieFindings\"}}}"
}

    Statement值是新增至 Lambda 函數政策的陳述式的JSON字串版本。