Integración de Amazon Macie con Amazon Eventbridge - Amazon Macie

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Integración de Amazon Macie con Amazon Eventbridge

Amazon EventBridge, anteriormente Eventos de Amazon CloudWatch, es un servicio de bus de eventos sin servidor. EventBridge ofrece una transmisión de datos en tiempo real desde aplicaciones y servicios, y dirige esos datos a destinos como funciones AWS Lambda, temas de Amazon Simple Notification Service (Amazon SNS) y transmisiones de Amazon Kinesis. Para obtener más información acerca de EventBridge, consulte la Guía del usuario de Amazon EventBridge.

Con EventBridge, puede automatizar la supervisión y el procesamiento de determinados tipos de eventos. Esto incluye eventos que Amazon Macie publica automáticamente para nuevos resultados de políticas y resultados información confidencial. También incluye los eventos que Macie publica automáticamente para que se repitan posteriormente los resultados de las políticas existentes. Para obtener más información sobre cómo y cuándo Macie publica estos eventos, consulte Configuración de los ajustes de publicación de los resultados .

Al utilizar EventBridge y los eventos que publica Macie para los resultados, puede monitorear y procesar los hallazgos casi en tiempo real. A continuación, podrá actuar en función de los resultados mediante el uso de otras aplicaciones y servicios. Por ejemplo, puede usar EventBridge para enviar tipos específicos de nuevos resultados a una función de AWS Lambda. A continuación, la función de Lambda podría procesar y enviar los datos a su sistema de gestión de incidentes y eventos de seguridad (SIEM). Si integra las Notificaciones del usuario de AWS con Macie, también puede usar los eventos para recibir notificaciones automáticas de los resultados a través de los canales de entrega que especifique.

Además de la supervisión y el procesamiento automatizados, el uso de EventBridge permite conservar los datos de sus resultados a más largo plazo. Macie guarda los resultados durante 90 días. Con EventBridge, puede enviar los datos de los resultados a su plataforma de almacenamiento preferida y almacenar los datos durante el tiempo que desee.

nota

Para la retención a largo plazo, configure Macie para almacenar los resultados de la detección de información confidencial en un bucket de S3. Un resultado de detección de datos confidenciales es un registro de los detalles sobre el análisis que Macie realizó en un objeto de S3 para determinar si el objeto contiene datos sensibles. Para obtener más información, consulte Almacenamiento y retención de los resultados de descubrimiento de datos confidenciales.

Trabajo con Amazon EventBridge

Con Amazon EventBridge, puede crear reglas para especificar qué eventos desea supervisar y qué objetivos desea que realicen acciones automatizadas para esos eventos. Un objetivo es un destino al que EventBridge envía eventos.

Para automatizar las tareas de supervisión y procesamiento de los resultados, puede crear una regla de EventBridge que detecte automáticamente los eventos de resultado de Amazon Macie y los envíe a otra aplicación o servicio para su procesamiento o cualquier otra acción. Puede personalizar la regla para que envíe solo los eventos que cumplan determinados criterios. Para ello, especifique los criterios que se deriven de Esquema de eventos de EventBridge para resultados.

Por ejemplo, puede crear una regla que envíe tipos específicos de nuevos resultados a una función de AWS Lambda. La función de Lambda puede entonces realizar tareas como: procesar y enviar los datos a su sistema SIEM; aplicar automáticamente un determinado tipo de cifrado del lado del servidor a un objeto S3; o restringir el acceso a un objeto S3 cambiando la lista de control de acceso (ACL) del objeto. O puede crear una regla que envíe automáticamente nuevos resultadosde alta gravedad a un tema de Amazon SNS, que luego notifica el resultado a su equipo de respuesta a incidentes.

Además de invocar funciones de Lambda y notificar temas de Amazon SNS, EventBridge admite otros tipos de destinos y acciones, como la transmisión de eventos a Amazon Kinesis, la activación de máquinas de estado AWS Step Functions, y la invocación del comando de ejecución de AWS Systems Manager. Para obtener más información sobre los destinos admitidos, consulte Destinos de Amazon EventBridge en la Guía del usuario de Amazon EventBridge.

Creación de reglas de Amazon EventBridge para resultados

En los siguientes procedimientos se explica cómo utilizar la consola de Amazon EventBridge y AWS Command Line Interface(AWS CLI) para crear una regla de EventBridge para los resultados de Amazon Macie. La regla detecta eventos de EventBridge que utilizan el esquema y el patrón de eventos para los resultados de Macie y, a continuación, envía esos eventos a una función de AWS Lambda para su procesamiento.

AWS Lambda es un servicio informático que permite ejecutar código sin aprovisionar ni administrar servidores. El código se empaqueta y se carga en AWS Lambda como una función de Lambda. AWS Lambda ejecuta a continuación la función cuando esta se invoca. Una función se puede invocar manualmente, automáticamente en respuesta a eventos o en respuesta a solicitudes de aplicaciones o servicios. Para obtener más información acerca de crear e invocar funciones de Lambda, consulte la AWS LambdaGuía para desarrolladores.

Console

En este procedimiento se explica cómo utilizar la consola de Amazon EventBridge para crear una regla que envíe automáticamente todos los eventos de resultados de Macie a una función de Lambda para su procesamiento. La regla usa la configuración predeterminada para las reglas que se ejecutan cuando se reciben eventos específicos. Para obtener más información sobre la configuración de reglas o para aprender a crear una regla que utilice una configuración personalizada, consulte Creación de reglas que reaccionan a los eventos en la Guía del usuario de Amazon EventBridge.

sugerencia

También puede crear una regla que utilice un patrón de eventos personalizado para detectar y actuar únicamente sobre un subconjunto de eventos de resultados de MAcie.. Este subconjunto se puede basar en campos específicos que Macie incluya en un evento de resultado. Para obtener más información sobre los campos disponibles, consulte Esquema de eventos de EventBridge para resultados. Para obtener información sobre cómo crear este tipo de regla, consulte Filtrado de contenido en patrones de eventos en la Guía del usuario de Amazon EventBridge.

Antes de crear la regla, cree la función de Lambda que quiere que la regla utilice como destino. Cuando cree la regla, tendrá que especificar esta función como destino.

Crear una regla para un evento utilizando la consola de
  1. Abra la consola de Amazon EventBridge en https://console.aws.amazon.com/events/.

  2. En el panel de navegación, en Events (Eventos), elija Rules (Reglas).

  3. En la sección Rules (Reglas ), elija Create rule (Crear regla).

  4. En la página Definir detalle de la regla, haga lo siguiente:

    • En Name (Nombre), ingrese el nombre de la regla.

    • (Opcional) En Descripción, ingrese una breve descripción de la regla de autorización.

    • En el caso del Bus de eventos, asegúrese de que esté seleccionada la opción predeterminada y que esté activada la opción Habilitar la regla en el bus de eventos seleccionado.

    • En Rule type (Tipo de regla), elija Rule with an event pattern (Regla con un patrón de evento).

  5. Cuando haya terminado, elija Next (Siguiente).

  6. En la página Crear patrón de evento, realice una de las siguientes acciones:

    • En Origen del evento, elija AWSEventos o eventos de socios de EventBridge.

    • (Opcional) En el caso de un evento de muestra, revise un ejemplo de evento de resultados para que Macie sepa qué puede contener un evento. Para ello, seleccione AWSeventos. A continuación, en Ejemplos de eventos, seleccione Resultados de Macie.

    • En la sección Patrón de eventos, elija Formulario de patrón de eventos. Ingrese la siguiente configuración:

      • En Event source (Origen del evento), elija Servicios de AWS.

      • Para Servicio de AWS, introduzca Macie.

      • En Tipo de evento, elija Resultado de Macie.

  7. Cuando haya terminado, elija Next (Siguiente).

  8. En la página Seleccionar destinos, haga lo siguiente:

    • Para Target types (Tipos de destino), elija Servicio de AWS.

    • En Seleccione un destino, introduzca Función de Lambda. Luego, en Función, elija la función de Lambda a la que quiera enviar los eventos de resultados.

    • En Configurar version/alias, ingrese la configuración de versión y alias de la función de Lambda de destino.

    • (Opcional) En Configuración adicional, introduzca una configuración personalizada para especificar qué datos de eventos desea enviar a la función de Lambda. También puede especificar cómo gestionar los eventos que no se envíen correctamente a la función.

  9. Cuando haya terminado, elija Next (Siguiente).

  10. En la página Configurar etiquetas, si lo desea, introduzca una o más etiquetas para asignarlas a la regla. A continuación, elija Next.

  11. En la página Revisar y crear, revise cada configuración y compruebe que es correcta.

    Para cambiar una configuración, elija Editar en la sección que contiene la configuración y, a continuación, escriba la configuración adecuada. También puede usar las pestañas de navegación para ir a la página que contiene una configuración.

  12. Cuando termine de verificar la configuración, elija Crear regla.

AWS CLI

En este procedimiento se explica cómo utilizar AWS CLI para crear una regla de EventBridge que envíe todos los eventos de resultados de Macie a una función de Lambda para su procesamiento. La regla usa la configuración predeterminada para las reglas que se ejecutan cuando se reciben eventos específicos. En el procedimiento, los comandos se formatean para Microsoft Windows. Para Unix, Linux y macOS, reemplace el carácter de continuación de línea de intercalación (^) por una barra invertida (\).

Antes de crear la regla, cree la función de Lambda que quiere que la regla utilice como destino. Al crear la función, anote el nombre de recurso de Amazon (ARN) de la función. Deberá ingresar este ARN cuando especifique el destino de la regla.

Para crear una regla de eventos mediante el AWS CLI
  1. Cree una regla que detecte eventos para todos los resultados que Macie publique en EventBridge. Para ello, utilice el comando put-rule de EventBridge. Por ejemplo:

    C:\> aws events put-rule ^ --name MacieFindings ^ --event-pattern "{\"source\":[\"aws.macie\"]}"

    Donde MacieFindings es el nombre que desea para la regla.

    Si el comando se ejecuta correctamente, EventBridge responde con el ARN de la regla. Anote este ARN. Tendrá que ingresarlo en el paso 3.

    sugerencia

    También puede crear una regla que utilice un patrón de eventos personalizado para detectar y actuar únicamente sobre un subconjunto de eventos de resultados de MAcie.. Este subconjunto se puede basar en campos específicos que Macie incluya en un evento de resultado. Para obtener más información sobre los campos disponibles, consulte Esquema de eventos de EventBridge para resultados. Para obtener información sobre cómo crear este tipo de regla, consulte Filtrado de contenido en patrones de eventos en la Guía del usuario de Amazon EventBridge.

  2. Especifique la función de Lambda que se va a utilizar como destino de la regla. Para ello, utilice el comando put-targets de EventBridge. Por ejemplo:

    C:\> aws events put-targets ^ --rule MacieFindings ^ --targets Id=1,Arn=arn:aws:lambda:regionalEndpoint:accountID:function:my-findings-function

    Donde MacieFindings es el nombre que especificó para la regla en el paso 1, y el valor del parámetro Arn es el ARN de la función que quiere que la regla utilice como destino.

  3. Agregue permisos que permitan a la regla invocar la función de Lambda de destino. Para ello, utilice el comando add-permission de Lambda. Por ejemplo:

    C:\> aws lambda add-permission ^ --function-name my-findings-function ^ --statement-id Sid ^ --action lambda:InvokeFunction ^ --principal events.amazonaws.com ^ --source-arn arn:aws:events:regionalEndpoint:accountId:rule:MacieFindings

    Donde:

    • my-findings-function es el nombre de la función de Lambda que quiere que la regla utilice como destino.

    • Sid es un identificador único que se define para describir la instrucción en la política de la función de Lambda.

    • source-arn es el ARN de la regla de EventBridge.

    Si el comando se ejecuta correctamente, verá un resultado similar al siguiente:

    { "Statement": "{\"Sid\":\"sid\", \"Effect\":\"Allow\", \"Principal\":{\"Service\":\"events.amazonaws.com\"}, \"Action\":\"lambda:InvokeFunction\", \"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:my-findings-function\", \"Condition\": {\"ArnLike\": {\"AWS:SourceArn\": \"arn:aws:events:us-east-1:111122223333:rule/MacieFindings\"}}}" }

    El valor de Statement es una versión de cadena JSON de la instrucción que se agregó a la política de la función Lambda.