Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Esquema de EventBridge eventos de Amazon para los hallazgos de Amazon Macie
Para facilitar la integración con otras aplicaciones, servicios y sistemas, como los sistemas de supervisión o gestión de eventos, Amazon Macie publica automáticamente los resultados en Amazon EventBridge como eventos. EventBridge, anteriormente Amazon CloudWatch Events, es un servicio de bus de eventos sin servidor que ofrece una transmisión de datos en tiempo real desde aplicaciones y otros Servicios de AWS a objetivos como AWS Lambda funciones, temas del Amazon Simple Notification Service y transmisiones de Amazon Kinesis. Para obtener más información EventBridge, consulta la Guía del EventBridge usuario de Amazon.
nota
Si actualmente utilizas CloudWatch Events, ten en cuenta que EventBridge y CloudWatch Events son el mismo servicio subyacente yAPI. Sin embargo, EventBridge incluye funciones adicionales que le permiten recibir eventos de aplicaciones de software como servicio (SaaS) y de sus propias aplicaciones. Dado que el servicio subyacente es el mismo, el esquema de eventos de las conclusiones de Macie también es el mismo. API
Macie publica automáticamente los eventos de todos los resultados nuevos e instancias posteriores de los resultados de políticas existentes, excepto los resultados que se archivan automáticamente mediante una regla de supresión. Los eventos son JSON objetos que se ajustan al EventBridge esquema de AWS eventos. Cada evento contiene una JSON representación de un hallazgo concreto. Como los datos están estructurados como un EventBridge evento, es más fácil supervisar, procesar y actuar en función de un hallazgo mediante el uso de otras aplicaciones, servicios y herramientas. Para obtener más información sobre cómo y cuándo publica Macie eventos de resultados, consulte Configuración de los ajustes de publicación de los resultados .
Temas
Esquema de evento
El siguiente ejemplo muestra el esquema de un EventBridge evento de Amazon para un hallazgo de Amazon Macie. Para obtener descripciones detalladas de los campos que se pueden incluir en un evento de búsqueda, consulte Hallazgos en la referencia de Amazon Macie. API La estructura y los campos de un evento de búsqueda se relacionan estrechamente con el objeto de hallazgo de Amazon API Macie.
{ "version": "0", "id": "event ID", "detail-type": "Macie Finding", "source": "aws.macie", "account": "Cuenta de AWS ID (string)", "time": "event timestamp (string)", "region": "Región de AWS (string)", "resources": [ <-- ARNs of the resources involved in the event --> ], "detail": { <-- Details of a policy or sensitive data finding --> }, "policyDetails": null, <-- Additional details of a policy finding or null for a sensitive data finding --> "sample": Boolean, "archived": Boolean }
Ejemplo de evento para el resultado de una política
En el siguiente ejemplo, se utilizan datos de ejemplo para demostrar la estructura y la naturaleza de los objetos y campos de un EventBridge evento de Amazon a fin de determinar una política.
En este ejemplo, el evento informa de una ocurrencia posterior de una política existente: se deshabilitó la configuración de bloqueo del acceso público para un bucket de S3. Los siguientes campos y valores pueden ayudarle a determinar si este es el caso:
-
El campo
typeestá establecido enPolicy:IAMUser/S3BlockPublicAccessDisabled. -
Los valores para los campos
createdAtyupdatedAtson distintos. Este es un indicador de que el evento informa de la ocurrencia posterior de una constatación de política existente. Los valores de estos campos serían los mismos si el evento informara de un nuevo resultado. -
El campo
countestá establecido en2, lo que indica que es la segunda ocurrencia del resultado. -
El campo
categoryestá establecido enPOLICY. -
El valor del campo
classificationDetailsesnull, lo que ayuda a diferenciar este evento para un resultado de políticas de un evento para un resultado de datos confidenciales. En el caso de un resultado de datos confidenciales, este valor sería un conjunto de objetos y campos que proporcionan información sobre cómo y qué datos confidenciales se encontraron.
Observe que el valor del campo sample es true. Este valor hace hincapié en que se trata de un evento de ejemplo para su uso en la documentación.
{
"version": "0",
"id": "0948ba87-d3b8-c6d4-f2da-732a1example",
"detail-type": "Macie Finding",
"source": "aws.macie",
"account": "123456789012",
"time": "2021-04-30T23:12:15Z",
"region":"us-east-1",
"resources": [],
"detail": {
"schemaVersion": "1.0",
"id": "64b917aa-3843-014c-91d8-937ffexample",
"accountId": "123456789012",
"partition": "aws",
"region": "us-east-1",
"type": "Policy:IAMUser/S3BlockPublicAccessDisabled",
"title": "Block public access settings are disabled for the S3 bucket",
"description": "All bucket-level block public access settings were disabled for the S3 bucket. Access to the bucket is controlled by account-level block public access settings, access control lists (ACLs), and the bucket’s bucket policy.",
"severity": {
"score": 3,
"description": "High"
},
"createdAt": "2021-04-29T15:46:02Z",
"updatedAt": "2021-04-30T23:12:15Z",
"count": 2,
"resourcesAffected": {
"s3Bucket": {
"arn": "arn:aws:s3:::DOC-EXAMPLE-BUCKET1",
"name": "DOC-EXAMPLE-BUCKET1",
"createdAt": "2020-04-03T20:46:56.000Z",
"owner":{
"displayName": "johndoe",
"id": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example"
},
"tags": [
{
"key": "Division",
"value": "HR"
},
{
"key": "Team",
"value": "Recruiting"
}
],
"defaultServerSideEncryption": {
"encryptionType": "aws:kms",
"kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"publicAccess": {
"permissionConfiguration": {
"bucketLevelPermissions": {
"accessControlList": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"bucketPolicy": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"blockPublicAccess": {
"ignorePublicAcls": false,
"restrictPublicBuckets": false,
"blockPublicAcls": false,
"blockPublicPolicy": false
}
},
"accountLevelPermissions": {
"blockPublicAccess": {
"ignorePublicAcls": true,
"restrictPublicBuckets": true,
"blockPublicAcls": true,
"blockPublicPolicy": true
}
}
},
"effectivePermission": "NOT_PUBLIC"
},
"allowsUnencryptedObjectUploads": "FALSE"
},
"s3Object": null
},
"category": "POLICY",
"classificationDetails": null,
"policyDetails": {
"action": {
"actionType": "AWS_API_CALL",
"apiCallDetails": {
"api": "PutBucketPublicAccessBlock",
"apiServiceName": "s3.amazonaws.com",
"firstSeen": "2021-04-29T15:46:02.401Z",
"lastSeen": "2021-04-30T23:12:15.401Z"
}
},
"actor": {
"userIdentity": {
"type": "AssumedRole",
"assumedRole": {
"principalId": "AROA1234567890EXAMPLE:AssumedRoleSessionName",
"arn": "arn:aws:sts::123456789012:assumed-role/RoleToBeAssumed/MySessionName",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": false,
"creationDate": "2021-04-29T10:25:43.511Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AROA1234567890EXAMPLE",
"arn": "arn:aws:iam::123456789012:role/RoleToBeAssumed",
"accountId": "123456789012",
"userName": "RoleToBeAssumed"
}
}
},
"root": null,
"iamUser": null,
"federatedUser": null,
"awsAccount": null,
"awsService": null
},
"ipAddressDetails":{
"ipAddressV4": "192.0.2.0",
"ipOwner": {
"asn": "-1",
"asnOrg": "ExampleFindingASNOrg",
"isp": "ExampleFindingISP",
"org": "ExampleFindingORG"
},
"ipCountry": {
"code": "US",
"name": "United States"
},
"ipCity": {
"name": "Ashburn"
},
"ipGeoLocation": {
"lat": 39.0481,
"lon": -77.4728
}
},
"domainDetails": null
}
},
"sample": true,
"archived": false
}
}Ejemplo de evento para un resultado de datos confidenciales
El siguiente ejemplo utiliza datos de muestra para demostrar la estructura y la naturaleza de los objetos y campos de un EventBridge evento de Amazon para una búsqueda de datos confidenciales.
En este ejemplo, el evento informa de un nuevo resultado de datos confidenciales: Amazon Macie encontró más de una categoría de datos confidenciales en un objeto de S3. Los siguientes campos y valores pueden ayudarle a determinar si este es el caso:
-
El campo
typeestá establecido enSensitiveData:S3Object/Multiple. -
Los campos
updatedAtycreatedAttienen los mismos valores. A diferencia de los resultados de políticas, este siempre es el caso de los resultados de datos confidenciales. Todos los resultados de datos confidenciales se consideran nuevos. -
El campo
countestá establecido en1, lo que indica que se trata de un resultado nuevo. A diferencia de los resultados de políticas, este siempre es el caso de los resultados de datos confidenciales. Todos los resultados de datos confidenciales se consideran únicos (nuevos). -
El campo
categoryestá establecido enCLASSIFICATION. -
El valor del campo
policyDetailsesnull, lo que ayuda a diferenciar este evento para un resultado de datos confidenciales de un evento para un resultado de políticas. En el caso de un resultado de políticas, este valor sería un conjunto de objetos y campos que proporcionan información sobre una posible infracción de la política o un problema relacionado con la seguridad o la privacidad de un bucket de S3.
Observe que el valor del campo sample es true. Este valor hace hincapié en que se trata de un evento de ejemplo para su uso en la documentación.
{
"version": "0",
"id": "14ddd0b1-7c90-b9e3-8a68-6a408example",
"detail-type": "Macie Finding",
"source": "aws.macie",
"account": "123456789012",
"time": "2022-04-20T08:19:10Z",
"region": "us-east-1",
"resources": [],
"detail": {
"schemaVersion": "1.0",
"id": "4ed45d06-c9b9-4506-ab7f-18a57example",
"accountId": "123456789012",
"partition": "aws",
"region": "us-east-1",
"type": "SensitiveData:S3Object/Multiple",
"title": "The S3 object contains multiple categories of sensitive data",
"description": "The S3 object contains more than one category of sensitive data.",
"severity": {
"score": 3,
"description": "High"
},
"createdAt": "2022-04-20T18:19:10Z",
"updatedAt": "2022-04-20T18:19:10Z",
"count": 1,
"resourcesAffected": {
"s3Bucket": {
"arn": "arn:aws:s3:::DOC-EXAMPLE-BUCKET2",
"name": "DOC-EXAMPLE-BUCKET2",
"createdAt": "2020-05-15T20:46:56.000Z",
"owner": {
"displayName": "johndoe",
"id": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example"
},
"tags":[
{
"key":"Division",
"value":"HR"
},
{
"key":"Team",
"value":"Recruiting"
}
],
"defaultServerSideEncryption": {
"encryptionType": "aws:kms",
"kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"publicAccess": {
"permissionConfiguration": {
"bucketLevelPermissions": {
"accessControlList": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"bucketPolicy":{
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"blockPublicAccess": {
"ignorePublicAcls": true,
"restrictPublicBuckets": true,
"blockPublicAcls": true,
"blockPublicPolicy": true
}
},
"accountLevelPermissions": {
"blockPublicAccess": {
"ignorePublicAcls": false,
"restrictPublicBuckets": false,
"blockPublicAcls": false,
"blockPublicPolicy": false
}
}
},
"effectivePermission": "NOT_PUBLIC"
},
"allowsUnencryptedObjectUploads": "TRUE"
},
"s3Object":{
"bucketArn": "arn:aws:s3:::DOC-EXAMPLE-BUCKET2",
"key": "2022 Sourcing.csv",
"path": "DOC-EXAMPLE-BUCKET2/2022 Sourcing.csv",
"extension": "csv",
"lastModified": "2022-04-19T22:08:25.000Z",
"versionId": "",
"serverSideEncryption": {
"encryptionType": "aws:kms",
"kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"size": 4750,
"storageClass": "STANDARD",
"tags":[
{
"key":"Division",
"value":"HR"
},
{
"key":"Team",
"value":"Recruiting"
}
],
"publicAccess": false,
"etag": "6bb7fd4fa9d36d6b8fb8882caexample"
}
},
"category": "CLASSIFICATION",
"classificationDetails": {
"jobArn": "arn:aws:macie2:us-east-1:123456789012:classification-job/3ce05dbb7ec5505def334104bexample",
"jobId": "3ce05dbb7ec5505def334104bexample",
"result": {
"status": {
"code": "COMPLETE",
"reason": null
},
"sizeClassified": 4750,
"mimeType": "text/csv",
"additionalOccurrences": true,
"sensitiveData": [
{
"category": "PERSONAL_INFORMATION",
"totalCount": 65,
"detections": [
{
"type": "USA_SOCIAL_SECURITY_NUMBER",
"count": 30,
"occurrences": {
"lineRanges": null,
"offsetRanges": null,
"pages": null,
"records": null,
"cells": [
{
"row": 2,
"column": 1,
"columnName": "SSN",
"cellReference": null
},
{
"row": 3,
"column": 1,
"columnName": "SSN",
"cellReference": null
},
{
"row": 4,
"column": 1,
"columnName": "SSN",
"cellReference": null
}
]
}
},
{
"type": "NAME",
"count": 35,
"occurrences": {
"lineRanges": null,
"offsetRanges": null,
"pages": null,
"records": null,
"cells": [
{
"row": 2,
"column": 3,
"columnName": "Name",
"cellReference": null
},
{
"row": 3,
"column": 3,
"columnName": "Name",
"cellReference": null
}
]
}
}
]
},
{
"category": "FINANCIAL_INFORMATION",
"totalCount": 30,
"detections": [
{
"type": "CREDIT_CARD_NUMBER",
"count": 30,
"occurrences": {
"lineRanges": null,
"offsetRanges": null,
"pages": null,
"records": null,
"cells": [
{
"row": 2,
"column": 14,
"columnName": "CCN",
"cellReference": null
},
{
"row": 3,
"column": 14,
"columnName": "CCN",
"cellReference": null
}
]
}
}
]
}
],
"customDataIdentifiers": {
"totalCount": 0,
"detections": []
}
},
"detailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/123456789012/Macie/us-east-1/3ce05dbb7ec5505def334104bexample/d48bf16d-0deb-3e49-9d8c-d407cexample.jsonl.gz",
"originType": "SENSITIVE_DATA_DISCOVERY_JOB"
},
"policyDetails": null,
"sample": true,
"archived": false
}
}