本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 監控 Macie 調查結果 AWS 使用者通知
AWS 使用者通知 是一項服務,可做為您在 上 AWS 通知的中央位置 AWS Management Console。這包括通知,例如 Amazon CloudWatch 警示、 AWS Support 案例和其他 的通訊 AWS 服務。使用 使用者通知,您可以設定自訂規則和交付管道,以接收特定類型 Amazon EventBridge 事件的通知。交付管道包括電子郵件、 AWS Chatbot 聊天通知和 AWS Console Mobile Application 推送通知。您也可以在 AWS 使用者通知 主控台上檢閱通知。若要進一步了解 使用者通知,請參閱 AWS 使用者通知 使用者指南 。
Amazon Macie 與 整合 AWS 使用者通知,這表示您可以設定 使用者通知 ,以通知您 Macie 發佈到 的事件, EventBridge 以取得政策和敏感資料調查結果。如果調查結果事件符合您指定的條件, 使用者通知 會產生通知。通知包含相關調查結果的金鑰詳細資訊,例如調查結果的類型和嚴重性,以及受影響的資源名稱。 使用者通知 也可以將通知傳送至您指定的一或多個交付管道。您可以自訂您選擇的交付管道,以符合您的安全和合規工作流程。
例如,您可以設定 使用者通知 來產生特定類型新高嚴重性調查結果的通知。您也可以指定 AWS Chatbot 作為這些通知的交付管道。 使用者通知 然後偵測調查結果 EventBridge 的事件、產生包含調查結果資料的通知,並將通知傳送至 AWS Chatbot. AWS Chatbot might,然後將通知路由至 Slack 管道或 Amazon Chime 聊天室,以通知您的事件回應團隊。
使用 AWS 使用者通知
使用 AWS 使用者通知,您可以建立規則來指定您要監控和接收通知的 Amazon EventBridge 事件類型。規則會定義 EventBridge 事件必須符合的條件,才能產生通知。您也可以為規則選擇一或多個交付管道。交付管道會指定您要接收符合規則條件之事件通知的位置。
如果 使用者通知 偵測到符合規則條件 EventBridge 的事件,則會執行下列一般任務:
-
從事件擷取資料子集。
-
產生包含擷取資料的通知。
-
將通知傳送至您為該事件類型指定的交付管道。
通知的設計和結構會針對傳送至其中的每個交付管道進行最佳化。
若要控制接收通知的頻率或數量,您可以設定規則的彙總設定。如果您啟用這些設定, 會將多個事件的資料 使用者通知 合併為單一通知。您可以選擇快速且頻繁地傳送彙總事件通知,您可能會想要針對高嚴重性調查結果事件執行此動作。或減少傳送頻率,以接收較少的通知,您可能想要對低嚴重性調查結果事件執行此操作。如果您合併事件資料,您可以使用 AWS 使用者通知 主控台向下切入,以檢閱每個彙總事件的詳細資訊。您也可以從該處導覽至 Amazon Macie 主控台上的每個相關調查結果。
啟用和設定 Macie AWS 使用者通知 調查結果
若要啟用 AWS 使用者通知 來產生 Amazon Macie 調查結果的通知,請在 中為 Macie 建立通知組態 使用者通知。通知組態會指定規則的條件。它還指定交付管道和其他設定,用於監控和傳送符合規則條件的 Amazon EventBridge 事件通知。如需建立通知組態的詳細資訊,請參閱 AWS 使用者通知 使用者指南 中的入門 AWS 使用者通知。
若要為 Macie 調查結果建立通知組態,請為事件規則選擇下列選項:
-
針對AWS 服務 名稱 ,選擇 Macie 。
-
針對事件類型 ,選擇 Macie Finding 。
-
針對區域 ,選取 AWS 區域 您使用 Macie 並希望收到調查結果通知的每個項目。
使用此組態, 使用者通知 可監控您 EventBridge 的事件, AWS 帳戶 並針對您選取的區域中的所有 Macie 調查結果事件產生通知。這些事件符合下列條件:
-
source等於aws.macie -
detail-type等於Macie Finding
事件規則的基礎JSON模式為:
{ "source": ["aws.macie"], "detail-type": ["Macie Finding"] }
若要精簡規則並僅針對調查結果子集產生通知,您可以自訂規則的JSON模式。若要執行此操作,請指定衍生自 的其他條件馬西埃發現的 Amazon EventBridge 事件模式。
如果您建立使用自訂JSON模式的規則,則可以為 Macie 調查結果建立多個通知組態。然後,您可以針對每個組態自訂交付管道和其他設定,以與特定類型調查結果的安全和合規工作流程保持一致。
例如,您可以建立一個規則,在 Macie 產生或更新 Policy:IAMUser/S3BucketPublic 調查結果。在這種情況下,規則的模式可能是:
{ "source": ["aws.macie"], "detail-type": ["Macie Finding"], "detail": { "type": ["Policy:IAMUser/S3BucketPublic"] } }
如果 Macie 為可公開存取的 S3 儲存貯體產生敏感資料調查結果,您可以建立另一個規則來通知您。在這種情況下,規則的模式可能是:
{ "source": ["aws.macie"], "detail-type": ["Macie Finding"], "detail": { "type": [ { "prefix": "SensitiveData" } ], "resourcesAffected": { "effectivePermission": ["PUBLIC"] } } }
如果您為 Macie 調查結果建立多個通知組態,最好確保每個組態的規則是唯一的。否則,您可能會收到個別調查結果的重複通知。
若要進一步了解如何自訂規則的事件模式,請參閱 AWS 使用者通知 使用者指南 中的使用自訂JSON的事件模式。
將 AWS 使用者通知 欄位映射至 Macie 尋找欄位
當 AWS 使用者通知 產生 Amazon Macie 調查結果的通知時,它會將來自對應 Amazon EventBridge 事件中欄位子集的資料填入通知。這些欄位提供相關調查結果的金鑰詳細資訊,例如調查結果的類型和嚴重性,以及受影響資源的名稱。
如果您在 AWS 使用者通知 主控台上檢閱通知,該通知會包含此欄位子集的所有資料。它也提供 Amazon Macie 主控台上相關調查結果的連結。如果您在其他交付管道中檢閱通知,它可能僅包含部分欄位的資料。這是因為 會 使用者通知 量身打造其通知的設計和結構,以搭配其支援的每種交付管道類型使用。
下表列出可能包含在調查結果通知中的欄位。在 資料表中,通知欄位欄描述 (斜體 ) 或指出通知中欄位的名稱。調查結果事件欄位欄使用點符號來指示 EventBridge 調查結果事件中對應JSON欄位的名稱。描述欄描述儲存在 欄位中的資料。
| 通知欄位 | 尋找事件欄位 | 描述 |
|---|---|---|
|
訊息標題 |
|
調查結果的類型。 例如: |
| 摘要 |
|
調查結果的簡短描述。 例如: |
| Description |
|
調查結果的完整描述。 例如: |
| 嚴重性 |
|
調查結果嚴重性的定性表示法: |
|
問題清單 ID |
|
調查結果的唯一識別符。 |
|
已建立 |
|
Macie 建立調查結果的日期和時間。 |
|
Updated |
|
Macie 最近更新調查結果的日期和時間。 對於敏感資料調查結果,此值與已建立 ( |
|
受影響的 S3 儲存貯體 |
|
受影響 S3 儲存貯體的 Amazon Resource Name (ARN)。 |
|
受影響的 S3 物件 |
|
受影響的 S3 物件的名稱 (索引鍵 ),包括存放物件的儲存貯體名稱,以及適用的物件字首。 此欄位不包含在政策調查結果的通知中。 |
|
敏感資料偵測 |
和/或
|
這是敏感資料調查結果事件中多個欄位的串連。此欄位不包含在政策調查結果的通知中。 如果受管資料識別符偵測到敏感資料,此欄位會指定偵測到的敏感資料的類別、類型和發生次數 ( 如果自訂資料識別符偵測到敏感資料,此欄位會指定自訂資料識別符的名稱,以及偵測到的敏感資料發生次數 ( 如果調查結果報告多種類型的敏感資料,則通知包含最多四種類型的資料。資料會先由任何適用的自訂資料識別符填入,然後由任何適用的受管資料識別符填入。 |
變更 Macie 調查結果 AWS 使用者通知 的設定
您可以隨時變更 Amazon Macie 調查結果 AWS 使用者通知 的設定。若要執行此操作,請在 中編輯通知組態 使用者通知。若要了解如何操作,請參閱 AWS 使用者通知 使用者指南 中的管理通知組態。
如果您有多個 Macie 調查結果的通知組態,變更一個組態的設定不會影響其他組態的設定。您可以編輯全部或部分組態。
停用 AWS 使用者通知 Macie 調查結果
若要停止從 產生和接收 Amazon Macie 調查結果 AWS 使用者通知 的通知,請刪除 中的通知組態 使用者通知。若要了解如何操作,請參閱 AWS 使用者通知 使用者指南 中的管理通知組態。
如果您有 Macie 調查結果的多個通知組態,刪除一個組態不會影響您的其他組態。您可以刪除全部或部分組態。
