記錄馬西API呼叫 AWS CloudTrail - Amazon Macie
馬西亞管理事件 CloudTrail馬西事件的例子 CloudTrail

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

記錄馬西API呼叫 AWS CloudTrail

Amazon Macie 集成 AWS CloudTrail,這是一項服務,可提供使用者、角色或使用者所採取的動作記錄。 AWS 服務。 CloudTrail捕獲 Macie 作為管理事件的所有API呼叫。擷取的呼叫包括來自 Amazon Macie 主控台的呼叫,以及對 Amazon Macie 操作的程式設計呼叫。API通過使用收集的信息 CloudTrail,您可以確定向 Macie 提出的請求,提出請求的 IP 地址,提出請求的時間以及其他詳細信息。

每一筆事件或日誌專案都會包含產生請求者的資訊。身分資訊可協助您判斷下列事項:

  • 該請求是使用根使用者還是使用者憑證提出。

  • 請求是否代表 AWS IAM Identity Center 使用者。

  • 提出該請求時,是否使用了特定角色或聯合身分使用者的暫時安全憑證。

  • 請求是否由另一個人提出 AWS 服務.

CloudTrail 在您的活躍 AWS 帳戶 當您創建帳戶並自動訪問 CloudTrail 事件歷史記錄時。 CloudTrail 事件歷史記錄提供了過去 90 天的記錄管理事件的可查看,可搜索,可下載和不可變的記錄 AWS 區域。 如需詳細資訊,請參閱使用中的 CloudTrail 事件歷程記錄AWS CloudTrail 使用者指南。查看活動歷史記錄不 CloudTrail收取任何費用。

在您的事件的持續記錄 AWS 帳戶 過去 90 天,建立追蹤或 CloudTrail Lake 事件資料倉庫。

CloudTrail 小徑

追蹤可 CloudTrail 將日誌檔交付到 Amazon S3 儲存貯體。使用建立的所有系統線 AWS Management Console 是多區域。您可以建立單一區域或多區域系統線,使用 AWS CLI。 建議您建立多區域追蹤,因為您會擷取所有活動 AWS 區域 在您的帳戶中。如果您建立單一區域追蹤,則只能檢視追蹤記錄中的事件 AWS 區域。 如需有關系統線的詳細資訊,請參閱建立追蹤 AWS 帳戶為中的組織建立追蹤 AWS CloudTrail 使用者指南

您可以透 CloudTrail 過建立追蹤,免費將一份正在進行的管理事件副本傳遞到 Amazon S3 儲存貯體,但是需要支付 Amazon S3 儲存費用。如需 CloudTrail 定價的詳細資訊,請參閱 AWS CloudTrail 定價。如需 Amazon S3 定價的相關資訊,請參閱 Amazon S3 定價

CloudTrail 湖泊事件資料存放區

CloudTrail Lake 可讓您針對事件執行SQL基於查詢。 CloudTrail 湖泊將基於行的JSON格式現有的事件轉換為 Apache ORC 格式。ORC是針對快速擷取資料進行最佳化的單欄式儲存格式。系統會將事件彙總到事件資料存放區中,事件資料存放區是事件的不可變集合,其依據為您透過套用進階事件選取器選取的條件。套用於事件資料存放區的選取器控制哪些事件持續存在並可供您查詢。如需有關 CloudTrail Lake 的詳細資訊,請參閱使用 AWS CloudTrail 湖AWS CloudTrail 使用者指南

CloudTrail Lake 事件資料存放區和查詢會產生費用。建立事件資料存放區時,您可以選擇要用於事件資料存放區的定價選項。此定價選項將決定擷取和儲存事件的成本,以及事件資料存放區的預設和最長保留期。如需 CloudTrail 定價的詳細資訊,請參閱 AWS CloudTrail 定價

馬西亞管理事件 AWS CloudTrail

管理事件提供有關在您的資源上執行之管理作業的資訊。 AWS 帳戶。 這些也稱為控制平面操作。依預設,會 CloudTrail 記錄管理事件。

Amazon Macie 將所有 Macie 控制平面操作記錄為中的管理事件。 CloudTrail例如,呼叫ListFindingsDescribeBuckets、和CreateClassificationJob作業會在中產生管理事件 CloudTrail。每個事件都包含一個eventSource欄位。此欄位表示 AWS 服務 提出了一個請求。對於 Macie 事件,此欄位的值為:macie2.amazonaws.com

如需 Macie 登入的控制平面作業清單 CloudTrail,請參閱 Amazon Macie API 參考中的操作

馬西事件的例子 AWS CloudTrail

事件代表來自任何來源的單一請求,包括有關請求的API操作,操作的日期和時間,請求參數等信息。 CloudTrail 日誌文件不是公共API調用的有序堆棧跟踪,因此事件不會以任何特定順序出現。

下列範例顯示示範 Amazon Macie 操作的 CloudTrail 事件。如需有關事件可能包含之資訊的詳細CloudTrail資訊,請參閱 AWS CloudTrail 使用者指南

範例:列出搜尋結果

下列範例顯示 Amazon Macie ListFindings作業的 CloudTrail 事件。在此範例中, AWS Identity and Access Management (IAM) user (Mary_Major) 使用 Amazon Macie 主控台擷取其帳戶目前政策發現項目的相關資訊子集。

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "123456789012",
        "arn": "arn:aws:iam::123456789012:user/Mary_Major",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "Mary_Major",
        "sessionContext":{
            "attributes": {
                "creationdate": "2023-11-14T15:49:57Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-11-14T16:09:56Z",
    "eventSource": "macie2.amazonaws.com",
    "eventName": "ListFindings",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "198.51.100.1",
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36",
    "requestParameters": {
        "sortCriteria": {
            "attributeName": "updatedAt",
            "orderBy": "DESC"
        },
        "findingCriteria": {
            "criterion": {
                "archived": {
                    "eq": [
                        "false"
                    ]
                },
                "category": {
                    "eq": [
                        "POLICY"
                    ]
                }
            }
        },
        "maxResults": 25,
        "nextToken": ""
    },
    "responseElements": null,
    "requestID": "d58af6be-1115-4a41-91f8-ace03example",
    "eventID": "ad97fac5-f7cf-4ff9-9cf2-d0676example",
    "readOnly": true,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management"
}

範例:擷取發現項目的敏感資料範例

此範例顯示用於擷取和揭露 Amazon Macie 在發現項目中報告之敏感資料樣本的 CloudTrail 事件。在此範例中, AWS Identity and Access Management (IAM) user (JohnDoe) 使用 Amazon Macie 主控台擷取和揭示敏感資料樣本。使用者的帳戶設定為IAM扮演角色 (MacieReveal),以從受影響的 Amazon Simple Storage Service (Amazon S3) 物件擷取和顯示敏感資料樣本。

下列事件顯示使用者透過執行 Amazon Macie GetSensitiveDataOccurrences操作擷取和顯示敏感資料樣本的請求的詳細資料。

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "UU4MH7OYK5ZCOAEXAMPLE:JohnDoe",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/JohnDoe",
        "accountId": "111122223333",
        "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "UU4MH7OYK5ZCOAEXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Admin",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-12-12T14:40:23Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-12-12T17:04:47Z",
    "eventSource": "macie2.amazonaws.com",
    "eventName": "GetSensitiveDataOccurrences",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "198.51.100.252",
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36",
    "requestParameters": {
        "findingId": "3ad9d8cd61c5c390bede45cd2example"
    },
    "responseElements": null,
    "requestID": "c30cb760-5102-47e7-88d8-ff2e8example",
    "eventID": "baf52d92-f9c3-431a-bfe8-71c81example",
    "readOnly": true,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

下一個事件會顯示有關 Macie 的詳細資訊IAM,然後透過執行 MacieReveal AWS Security Token Service (AWS STS)AssumeRole操作。

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "reveal-samples.macie.amazonaws.com"
    },
    "eventTime": "2023-12-12T17:04:47Z",
    "eventSource": "sts.amazonaws.com",
    "eventName": "AssumeRole",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "reveal-samples.macie.amazonaws.com",
    "userAgent": "reveal-samples.macie.amazonaws.com",
    "requestParameters": {
        "roleArn": "arn:aws:iam::111122223333:role/MacieReveal",
        "roleSessionName": "RevealCrossAccount"
    },
    "responseElements": {
        "credentials": {
            "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
            "sessionToken": "XXYYaz...
EXAMPLE_SESSION_TOKEN
XXyYaZAz",
            "expiration": "Dec 12, 2023, 6:04:47 PM"
        },
        "assumedRoleUser": {
            "assumedRoleId": "AROAXOTKAROCSNEXAMPLE:RevealCrossAccount",
            "arn": "arn:aws:sts::111122223333:assumed-role/MacieReveal/RevealCrossAccount"
        }
    },
    "requestID": "d905cea8-2dcb-44c1-948e-19419example",
    "eventID": "74ee4d0c-932d-3332-87aa-8bcf3example",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::IAM::Role",
            "ARN": "arn:aws:iam::111122223333:role/MacieReveal"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

如需有關 CloudTrail 事件內容的資訊,請參閱中的CloudTrail記錄內容 AWS CloudTrail 使用者指南