本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 監控 Macie 問題清單 AWS 使用者通知
AWS 使用者通知 是一種服務,可做為 上 AWS 通知的中央位置 AWS Management Console。這包括通知,例如 Amazon CloudWatch 警示、 支援 案例和其他 通訊 AWS 服務。使用 使用者通知,您可以設定自訂規則和交付管道,以接收特定類型 Amazon EventBridge 事件的通知。交付管道包括電子郵件、 Amazon Q 聊天應用程式的開發人員 聊天通知和 AWS Console Mobile Application 推送通知。您也可以在 AWS 使用者通知 主控台上檢閱通知。若要進一步了解 使用者通知,請參閱 AWS 使用者通知 使用者指南。
Amazon Macie 與 整合 AWS 使用者通知,這表示您可以設定 使用者通知 來通知您 Macie 發佈至 EventBridge 以取得政策和敏感資料調查結果的事件。如果問題清單事件符合您指定的條件, 使用者通知 會產生通知。通知包含相關調查結果的金鑰詳細資訊,例如調查結果的類型和嚴重性,以及受影響的資源名稱。 使用者通知 也可以將通知傳送至您指定的一或多個交付管道。您可以自訂您選擇的交付管道,以符合您的安全和合規工作流程。
例如,您可以設定 使用者通知 來產生特定類型新高嚴重性調查結果的通知。您也可以將 指定 Amazon Q 聊天應用程式的開發人員 為這些通知的交付管道。 使用者通知 然後偵測調查結果的 EventBridge 事件、產生包含調查結果資料的通知,並將通知傳送至 Amazon Q 聊天應用程式的開發人員。 Amazon Q 聊天應用程式的開發人員 然後,將通知路由至 Slack 管道或 Amazon Chime 聊天室,以通知您的事件回應團隊。
使用 AWS 使用者通知
透過 AWS 使用者通知,您可以建立規則來指定您要監控和接收通知的 Amazon EventBridge 事件類型。規則會定義 EventBridge 事件必須符合的條件,才能產生通知。您也可以為規則選擇一或多個交付管道。交付管道會指定您希望接收符合規則條件之事件通知的位置。
如果 使用者通知 偵測到符合規則條件的 EventBridge 事件,則會執行下列一般任務:
-
從事件擷取一部分的資料。
-
產生包含擷取資料的通知。
-
將通知傳送至您為該事件類型指定的交付管道。
通知的設計和結構會針對其傳送的每個交付管道進行最佳化。
若要控制接收通知的頻率或數量,您可以設定規則的彙總設定。如果您啟用這些設定, 會將多個事件的資料 使用者通知 合併為單一通知。您可以選擇快速且頻繁地傳送彙總事件通知,您可能會想要針對高嚴重性問題清單事件執行此作業。或者傳送頻率較低,以接收較少的通知,您可能想要對低嚴重性問題清單事件執行此作業。如果您合併事件資料,您可以使用 AWS 使用者通知 主控台向下切入,以檢閱每個彙總事件的詳細資訊。您也可以從該處導覽至 Amazon Macie 主控台上的每個相關調查結果。
AWS 使用者通知 啟用和設定 Macie 問題清單
若要讓 AWS 使用者通知 產生 Amazon Macie 調查結果的通知,請建立 Macie 的通知組態 使用者通知。通知組態會指定規則的條件。它還指定交付管道和其他設定,用於監控和傳送符合規則條件的 Amazon EventBridge 事件通知。如需建立通知組態的詳細資訊,請參閱AWS 使用者通知 《 使用者指南》中的 入門 AWS 使用者通知。
若要為 Macie 調查結果建立通知組態,請為事件規則選擇下列選項:
-
針對AWS 服務 名稱,選擇 Macie。
-
針對事件類型,選擇 Macie Finding。
-
針對區域,選取您使用 Macie AWS 區域 並希望收到調查結果通知的每個項目。
使用此組態, 使用者通知 可監控您 的 EventBridge 事件, AWS 帳戶 並針對您選取的區域中的所有 Macie 調查結果事件產生通知。事件符合下列條件:
-
source等於aws.macie -
detail-type等於Macie Finding
事件規則的基礎 JSON 模式為:
{ "source": ["aws.macie"], "detail-type": ["Macie Finding"] }
若要精簡規則並僅針對問題清單子集產生通知,您可以自訂規則的 JSON 模式。若要執行此操作,請指定衍生自 的其他條件Macie 調查結果的 Amazon EventBridge 事件結構描述。
如果您建立使用自訂 JSON 模式的規則,您可以為 Macie 調查結果建立多個通知組態。然後,您可以為每個組態量身打造交付管道和其他設定,以與特定問題清單類型的安全和合規工作流程保持一致。
例如,您可以建立一個規則,在 Macie 產生或更新Policy:IAMUser/S3BucketPublic問題清單時通知您。在這種情況下,規則的模式可能是:
{ "source": ["aws.macie"], "detail-type": ["Macie Finding"], "detail": { "type": ["Policy:IAMUser/S3BucketPublic"] } }
此外,您可以建立另一個規則,在 Macie 為可公開存取的 S3 儲存貯體產生敏感資料調查結果時通知您。在這種情況下,規則的模式可能是:
{ "source": ["aws.macie"], "detail-type": ["Macie Finding"], "detail": { "type": [ { "prefix": "SensitiveData" } ], "resourcesAffected": { "effectivePermission": ["PUBLIC"] } } }
如果您為 Macie 調查結果建立多個通知組態,最好確保每個組態的規則是唯一的。否則,您可能會收到個別問題清單的重複通知。
若要進一步了解如何自訂規則的事件模式,請參閱AWS 使用者通知 《 使用者指南》中的使用自訂的 JSON 事件模式。
將 AWS 使用者通知 欄位映射至 Macie 調查結果欄位
當 AWS 使用者通知 產生 Amazon Macie 調查結果的通知時,它會將對應 Amazon EventBridge 事件中欄位子集的資料填入通知。這些欄位提供相關調查結果的金鑰詳細資訊,例如調查結果的類型和嚴重性,以及受影響的資源名稱。
如果您在 AWS 使用者通知 主控台上檢閱通知,該通知會包含此欄位子集的所有資料。它也提供 Amazon Macie 主控台上相關調查結果的連結。如果您在其他交付管道中檢閱通知,它可能只包含部分欄位的資料。這是因為 會 使用者通知 量身打造其通知的設計和結構,以處理其支援的每種交付管道類型。
下表列出可能包含在問題清單通知中的欄位。在表格中,通知欄位欄說明 (斜體) 或指出通知中的欄位名稱。調查結果事件欄位欄使用點符號來指出 EventBridge 事件中對應 JSON 欄位的名稱。描述欄說明存放在 欄位中的資料。
| 通知欄位 | 尋找事件欄位 | 描述 |
|---|---|---|
|
訊息標題 |
|
調查結果的類型。 例如: |
| 摘要 |
|
調查結果的簡短描述。 例如: |
| Description |
|
問題清單的完整描述。 例如: |
| 嚴重性 |
|
調查結果嚴重性的定性表示法: |
|
問題清單 ID |
|
問題清單的唯一識別符。 |
|
已建立 |
|
Macie 建立調查結果的日期和時間。 |
|
Updated |
|
Macie 最近更新調查結果的日期和時間。 對於敏感資料調查結果,此值與已建立 ( |
|
受影響的 S3 儲存貯體 |
|
受影響 S3 儲存貯體的 Amazon Resource Name (ARN)。 |
|
受影響的 S3 物件 |
|
受影響 S3 物件的名稱 (索引鍵),包括存放物件的儲存貯體名稱,以及適用的物件字首。 此欄位不包含在政策調查結果的通知中。 |
|
敏感資料偵測 |
和/或
|
這是敏感資料調查結果事件中多個欄位的串連。此欄位不包含在政策調查結果的通知中。 如果受管資料識別符偵測到敏感資料,此欄位會指定偵測到的敏感資料的類別、類型和發生次數 ( 如果自訂資料識別符偵測到敏感資料,此欄位會指定自訂資料識別符的名稱,以及偵測到的敏感資料發生次數 ( 如果問題清單報告了多種類型的敏感資料,則通知會包含最多四種類型的資料。資料會先由任何適用的自訂資料識別符填入,然後由任何適用的受管資料識別符填入。 |
變更 Macie 調查結果 AWS 使用者通知 的設定
您可以隨時變更 Amazon Macie 調查結果 AWS 使用者通知 的設定。若要執行此操作,請在 中編輯通知組態 使用者通知。若要了解如何執行,請參閱AWS 使用者通知 《 使用者指南》中的管理通知組態。
如果您有多個 Macie 調查結果的通知組態,變更一個組態的設定不會影響其他組態的設定。您可以編輯全部或部分組態。
停用 Macie AWS 使用者通知 調查結果
若要停止從 產生和接收 Amazon Macie 調查結果 AWS 使用者通知 的通知,請刪除 中的通知組態 使用者通知。若要了解如何執行,請參閱AWS 使用者通知 《 使用者指南》中的管理通知組態。
如果您有多個 Macie 調查結果的通知組態,刪除一個組態不會影響您的其他組態。您可以刪除全部或部分組態。
