Amazon Macie Macie-Integration mit AWS-Benutzerbenachrichtigungen - Amazon Macie
Arbeiten mit AWS-Benutzerbenachrichtigungen arbeiten arbeitenAktivieren und Konfigurieren von Benachrichtigungen für Ergebnisse aktivieren und konfigurierenZuordnen von Benachrichtigungsfeldern zu SuchfeldernÄnderung der Benachrichtigungseinstellungen für ErgebnisseBenachrichtigungen für Ergebnisse deaktivieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon Macie Macie-Integration mit AWS-Benutzerbenachrichtigungen

AWS User Notifications ist ein Service, der als zentraler Ort für IhreAWS Benachrichtigungen auf der fungiertAWS Management Console. Dazu gehören Benachrichtigungen wie CloudWatch Amazon-Alarme,AWS Support Fälle und Mitteilungen von anderenAWS-Services. Mit Benutzerbenachrichtigungen können Sie benutzerdefinierte Regeln und Versandkanäle für den Empfang von Benachrichtigungen über bestimmte Arten von EventBridge Amazon-Ereignissen konfigurieren. Zu den Versandkanälen gehören E-Mail,AWS Chatbot Chat-Benachrichtigungen undAWS Console Mobile Application Push-Benachrichtigungen. Sie können Benachrichtigungen auch in der AWS-Benutzerbenachrichtigungskonsole überprüfen. Weitere Informationen zu Benutzerbenachrichtigungen finden Sie im AWS User Notifications User Guide.

Macie ist in AWS-Benutzerbenachrichtigungen integriert. Das bedeutet, dass Sie Benutzerbenachrichtigungen so konfigurieren können, dass Sie über Ereignisse informiert werden, zu denen Macie Informationen EventBridge zu Richtlinien und vertraulichen Daten veröffentlicht. Wenn ein Findungsereignis den von Ihnen angegebenen Kriterien entspricht, generiert User Notifications eine Benachrichtigung. Die Benachrichtigung enthält wichtige Informationen zum zugehörigen Befund, z. B. Art und Schweregrad des Befundes sowie den Namen der betroffenen Ressource. Benutzerbenachrichtigungen können die Benachrichtigung auch an einen oder mehrere von Ihnen angegebene Versandkanäle senden. Sie können die von Ihnen gewählten Lieferkanäle an Ihre Sicherheits- und Compliance-Workflows anpassen.

Sie können Benutzerbenachrichtigungen beispielsweise so konfigurieren, dass Benachrichtigungen für bestimmte Arten neuer, schwerwiegender Befunde generiert werden. Sie könnenAWS Chatbot auch einen Versandkanal für diese Benachrichtigungen angeben. Benutzerbenachrichtigungen erkennen dann EventBridge Ereignisse für die Ergebnisse, generieren Benachrichtigungen, die Daten aus den Ergebnissen enthalten, und sendet die Benachrichtigungen anAWS Chatbot. AWS Chatbotkönnte die Benachrichtigungen dann an einen Slack-Channel oder einen Amazon Chime Chime-Chatroom weiterleiten, um Ihr Incident-Response-Team zu benachrichtigen.

Arbeiten mit AWS-Benutzerbenachrichtigungen arbeiten arbeiten

Mit AWS-Benutzerbenachrichtigungen erstellen Sie Regeln, um die Arten von EventBridge Amazon-Ereignissen festzulegen, die Sie überwachen und für die Sie Benachrichtigungen erhalten möchten. Eine Regel definiert Kriterien, die ein EventBridge Ereignis erfüllen muss, um eine Benachrichtigung zu generieren. Sie können auch einen oder mehrere Lieferkanäle für eine Regel auswählen. Die Versandkanäle geben an, wo Sie Benachrichtigungen für Ereignisse erhalten möchten, die den Kriterien einer Regel entsprechen.

Wenn Benutzerbenachrichtigungen ein EventBridge Ereignis erkennen, das den Kriterien einer Regel entspricht, werden die folgenden allgemeinen Aufgaben ausgeführt:

  1. Extrahiert eine Teilmenge der Daten aus dem Ereignis.

  2. Generiert eine Benachrichtigung, die extrahierten Daten.

  3. Sendet die Benachrichtigung an die Übermittlungskanäle, die Sie für diese Art von Ereignis angeben.

Das Design und die Struktur der Benachrichtigung sind für jeden Versandkanal optimiert, an den sie gesendet wird.

Um die Häufigkeit oder Anzahl der Benachrichtigungen zu steuern, die Sie erhalten, können Sie die Aggregationseinstellungen für eine Regel konfigurieren. Wenn Sie diese Einstellungen aktivieren, kombiniert Benutzerbenachrichtigungen Daten für mehrere Ereignisse in einer einzigen Benachrichtigung. Sie können festlegen, dass aggregierte Ereignisbenachrichtigungen schnell und häufig gesendet werden sollen, was Sie möglicherweise tun sollten, wenn Ereignisse mit hohem Schweregrad gefunden werden. Oder senden Sie sie weniger häufig, um weniger Benachrichtigungen zu erhalten, was Sie möglicherweise für Ereignisse mit geringem Schweregrad tun sollten. Wenn Sie Ereignisdaten kombinieren, können Sie mithilfe der AWS-Konsole für Benutzerbenachrichtigungen einen Drilldown durchführen, um die Details jedes aggregierten Ereignisses zu überprüfen. Von dort aus können Sie auch zu den einzelnen zugehörigen Ergebnissen auf der Amazon Macie Macie-Konsole navigieren.

Aktivierung und Konfiguration von AWS-Benutzerbenachrichtigungen für Amazon Macie Macie-Ergebnisse

Damit AWS-Benutzerbenachrichtigungen Benachrichtigungen für Amazon Macie Macie-Ergebnisse generieren können, erstellen Sie in Benutzerbenachrichtigungen eine Benachrichtigungskonfiguration für Macie. Eine Benachrichtigungskonfiguration spezifiziert die Kriterien für eine Regel. Es spezifiziert auch Versandkanäle und andere Einstellungen für die Überwachung und den Versand von Benachrichtigungen über EventBridge Amazon-Ereignisse, die den Kriterien der Regel entsprechen. Ausführliche Informationen zum Erstellen einer Benachrichtigungskonfiguration finden Sie unter Erste Schritte mit AWS-Benutzerbenachrichtigungen im AWS-Benutzerhandbuch für Benutzerbenachrichtigungen.

Um eine Benachrichtigungskonfiguration für Macie-Ergebnisse zu erstellen, wählen Sie die folgenden Optionen für die Ereignisregel:

  • Wählen Sie als AWS-ServiceNamen Macie.

  • Wählen Sie als Ereignistyp Macie Finding aus.

  • Wählen Sie unter Regionen jede Region aus,AWS-Region in der Sie Macie verwenden und über die Ergebnisse informiert werden möchten.

Mit dieser Konfiguration überwacht Benutzerbenachrichtigungen EventBridge Ereignisse für SieAWS-Konto und generiert Benachrichtigungen für alle Ereignisse, die Macie in den von Ihnen ausgewählten Regionen findet. Die Ereignisse erfüllen die folgenden Kriterien:

  • sourceentsprichtaws.macie

  • detail-typeentsprichtMacie Finding

Das zugrunde liegende JSON-Muster für die Ereignisregel lautet:

{
    "source": ["aws.macie"],
    "detail-type": ["Macie Finding"]
}

Um die Regel zu verfeinern und Benachrichtigungen nur für einen Teil der Ergebnisse zu generieren, können Sie das JSON-Muster für die Regel anpassen. Geben Sie dazu zusätzliche Kriterien an, die sich aus dem EventBridge Ereignisschema für Macie-Ergebnisse ableiten.

Wenn Sie eine Regel erstellen, die ein benutzerdefiniertes JSON-Muster verwendet, können Sie mehrere Benachrichtigungskonfigurationen für Macie-Ergebnisse erstellen. Anschließend können Sie die Bereitstellungskanäle und andere Einstellungen für jede Konfiguration an Ihre Sicherheits- und Compliance-Workflows für bestimmte Arten von Ergebnissen anpassen.

Sie können beispielsweise eine Regel erstellen, die Sie benachrichtigt, wenn Macie ein Policy:IAMUser/S3BucketPublicErgebnis generiert oder aktualisiert. In diesem Fall könnte das Muster für die Regel wie folgt aussehen:

{
    "source": ["aws.macie"],
    "detail-type": ["Macie Finding"],
    "detail": {
        "type": ["Policy:IAMUser/S3BucketPublic"]
    }
}

Und Sie könnten eine weitere Regel erstellen, die Sie benachrichtigt, wenn Macie ein Ergebnis mit vertraulichen Daten für einen öffentlich zugänglichen S3-Bucket generiert. In diesem Fall könnte das Muster für die Regel wie folgt aussehen:

{
    "source": ["aws.macie"],
    "detail-type": ["Macie Finding"],
    "detail": {
        "type": [ { "prefix": "SensitiveData" } ],
        "resourcesAffected": {
            "effectivePermission": ["PUBLIC"]
        }
    }
}

Wenn Sie mehrere Benachrichtigungskonfigurationen für Macie-Ergebnisse erstellen, sollten Sie sicherstellen, dass die Regel für jede Konfiguration einzigartig ist. Andernfalls erhalten Sie möglicherweise doppelte Benachrichtigungen für einzelne Ergebnisse.

Weitere Informationen zum Anpassen von Ereignismustern für Regeln finden Sie unter Verwenden benutzerdefinierter JSON-Ereignismuster im AWS-Benutzerhandbuch für Benutzerbenachrichtigungen.

Zuordnung von AWS-Benutzerbenachrichtigungsfeldern zu Amazon Macie-Suchfeldern

Wenn AWS User Notifications eine Benachrichtigung für einen Amazon Macie Macie-Befund generiert, füllt es die Benachrichtigung mit Daten aus einer Teilmenge von Feldern des entsprechenden EventBridge Amazon-Ereignisses. Diese Felder enthalten wichtige Details des zugehörigen Befundes, z. B. Art und Schweregrad des Befundes sowie den Namen der betroffenen Ressource.

Wenn Sie eine Benachrichtigung in der AWS-Benutzerbenachrichtigungskonsole überprüfen, enthält die Benachrichtigung alle Daten für diese Teilmenge von Feldern. Es enthält auch einen Link zu den zugehörigen Ergebnissen auf der Amazon Macie Macie-Konsole. Wenn Sie eine Benachrichtigung in anderen Versandkanälen überprüfen, enthält sie möglicherweise nur Daten für einige der Felder. Dies liegt daran, dass User Notifications das Design und die Struktur seiner Benachrichtigungen so anpasst, dass sie mit jedem unterstützten Versandkanaltyp funktionieren.

In der folgenden Tabelle sind die Felder aufgeführt, die in einer Benachrichtigung für ein Ergebnis enthalten sein könnten. In der Tabelle beschreibt die Spalte „Benachrichtigungsfeld“ den Namen eines Felds in einer Benachrichtigung (kursiv) oder gibt ihn an. In der Spalte „Ereignis suchen“ wird in Punktnotation der Name des entsprechenden JSON-Felds in einem EventBridge Ereignis für ein Ergebnis angegeben. Die Spalte Beschreibung beschreibt die Daten, die in dem Feld gespeichert sind.

Feld „Benachrichtigung“ Suche nach einem Ereignisfeld finden Beschreibung

Überschrift der Nachricht

detail.type

Der Typ des Befundes.

Beispiel: Policy:IAMUser/S3BucketPublic oder SensitiveData:S3Object/Financial.
Übersicht

detail.title

Eine kurze Beschreibung des Befundes.

Beispiel: The S3 object contains financial information.
Beschreibung

detail.description

Die vollständige Beschreibung des Befundes.

Beispiel: The S3 object contains financial information such as bank account numbers or credit card numbers.
Schweregrad

detail.severity.description

Die qualitative Darstellung des Schweregrads des Befundes:Low,Medium, oderHigh.

Die ID des Ergebnisses

detail.id

Die eindeutige Kennung für das Ergebnis.

Erstellt

detail.createdAt

Das Datum und die Uhrzeit, zu der Macie das Ergebnis erstellt wurde.

Aktualisiert

detail.updatedAt

Das Datum und die Uhrzeit, zu der Macie das Ergebnis zuletzt aktualisiert wurde.

Bei Ergebnissen mit vertraulichen Daten entspricht dieser Wert dem Wert für das Feld Created (detail.createdAt). Alle Erkenntnisse sensibler Daten werden als neu (einzigartig) betrachtet.

Betroffener S3-Buckets

detail.resourcesAffected.s3Bucket.arn

Der AmazResource Name (ARN) des betroffen ist.

Betroffenes S3-Objekt

detail.resourcesAffected.s3Object.path

Der Name (Schlüssel) des betroffenen S3-Objekts, einschließlich des Namens des Buckets, in dem das Objekt gespeichert ist, und gegebenenfalls des Objektpräfixes.

Dieses Feld ist nicht in Benachrichtigungen für politische Ergebnisse enthalten.

Erkennung sensibler Daten

detail.classificationDetails.result.sensitiveData.detections...

Und/oder

detail.classificationDetails.result.customDataIdentifiers.detections...

Dies ist eine Verkettung mehrerer Felder in einem Ereignis für die Suche nach sensiblen Daten. Dieses Feld ist nicht in Benachrichtigungen für politische Ergebnisse enthalten.

Wenn ein verwalteter Datenbezeichner die sensiblen Daten erkannt hat, gibt dieses Feld die Kategorie, den Typ und die Anzahl (count) der erkannten vertraulichen Daten an. Zum Beispiel: PERSONAL_INFORMATION: USA_SOCIAL_SECURITY_NUMBER 100 occurrences.

Wenn ein benutzerdefinierter Datenbezeichner die sensiblen Daten erkannt hat, gibt dieses Feld den Namen des benutzerdefinierten Datenbezeichners und die Anzahl (count) der erkannten vertraulichen Daten an. Zum Beispiel: Employee ID 20 occurrences.

Wenn ein Ergebnis mehrere Arten sensibler Daten meldet, enthält die Benachrichtigung Daten für bis zu vier Typen. Die Daten werden zuerst mit allen anwendbaren benutzerdefinierten Datenkennungen und dann mit allen zutreffenden verwalteten Datenkennungen gefüllt.

Änderung der Einstellungen für AWS-Benutzerbenachrichtigungen für die Ergebnisse von Amazon Macie

Sie können Ihre Einstellungen für AWS-Benutzerbenachrichtigungen für die Ergebnisse von Amazon Macie jederzeit ändern. Bearbeiten Sie dazu die Benachrichtigungskonfiguration in Benutzerbenachrichtigungen. Wie das geht, erfahren Sie unter Verwaltung von Benachrichtigungskonfigurationen im AWS User Notifications User Guide.

Wenn Sie mehrere Benachrichtigungskonfigurationen für Macie-Ergebnisse haben, wirkt sich das Ändern der Einstellungen für eine Konfiguration nicht auf die Einstellungen für Ihre anderen Konfigurationen aus. Sie können alle oder nur einige Ihrer Konfigurationen bearbeiten.

Deaktivieren von AWS-Benutzerbenachrichtigungen für Amazon Macie Macie-Ergebnisse

Um die Generierung und den Empfang von Benachrichtigungen aus den Ergebnissen von AWS User Notifications for Amazon Macie zu beenden, löschen Sie die Benachrichtigungskonfiguration unter Benutzerbenachrichtigungen. Wie das geht, erfahren Sie unter Verwaltung von Benachrichtigungskonfigurationen im AWS User Notifications User Guide.

Wenn Sie mehrere Benachrichtigungskonfigurationen für Macie-Ergebnisse haben, wirkt sich das Löschen einer Konfiguration nicht auf Ihre anderen Konfigurationen aus. Sie können alle oder nur einige Ihrer Konfigurationen löschen.