Integrasi Amazon Macie dengan Amazon EventBridge - Amazon Macie
Bekerja dengan EventBridgeMembuat EventBridge aturan untuk temuan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Integrasi Amazon Macie dengan Amazon EventBridge

AmazonEventBridge, sebelumnya Amazon CloudWatch Events, adalah layanan bus peristiwa nonserver. EventBridgemengirimkan pengaliran data secara langsung dari aplikasi dan layanan, dan merutekan data tersebut ke target seperti AWS Lambda fungsi, topik Amazon Simple Notification Service (Amazon SNS), dan aliran Amazon Kinesis. Untuk mempelajari selengkapnyaEventBridge, lihat Panduan EventBridge Pengguna Amazon.

DenganEventBridge, Anda dapat mengotomatisasi pemantauan dan pemrosesan tipe peristiwa tertentu. Ini termasuk peristiwa yang Amazon Macie publikasikan secara otomatis untuk temuan kebijakan baru dan temuan data sensitif. Ini juga mencakup peristiwa yang dipublikasikan oleh Macie secara otomatis untuk kejadian berikutnya dari temuan kebijakan yang ada. Untuk detail tentang cara dan waktu Macie memublikasikan peristiwa ini, lihat Mengonfigurasi pengaturan publikasi untuk temuan.

Dengan menggunakan EventBridge dan peristiwa yang dipublikasikan Macie untuk temuan, Anda dapat memantau dan memproses temuan dalam waktu dekat. Anda kemudian dapat bertindak berdasarkan temuan dengan menggunakan aplikasi dan layanan lain. Misalnya, Anda mungkin menggunakan EventBridge untuk mengirim tipe temuan baru tertentu ke AWS Lambda fungsi. Fungsi Lambda kemudian dapat memproses dan mengirim data ke sistem insiden keamanan dan manajemen kejadian (SIEM) Anda. Jika Anda mengintegrasikan Notifikasi Pengguna AWS dengan Macie, Anda juga dapat menggunakan peristiwa tersebut untuk diberi tahu temuan secara otomatis melalui saluran pengiriman yang Anda tentukan.

Selain pemantauan dan pemrosesan otomatis, penggunaan EventBridge memungkinkan penyimpanan data temuan Anda dalam jangka panjang. Macie menyimpan temuan selama 90 hari. Dengan EventBridge demikian, Anda dapat mengirim data temuan ke platform penyimpanan pilihan Anda dan menyimpan data tersebut selama yang Anda inginkan.

catatan

Untuk penyimpanan jangka panjang, konfigurasikan juga Macie untuk menyimpan hasil penemuan data sensitif Anda dalam bucket S3. Hasil penemuan data sensitif adalah catatan detail log tentang analisis yang Macie lakukan pada objek S3 untuk menentukan apakah objek tersebut berisi data sensitif. Untuk mempelajari selengkapnya, lihat Menyimpan dan mempertahankan hasil penemuan data sensitif.

Bekerja dengan Amazon EventBridge

Dengan AmazonEventBridge, Anda membuat aturan untuk menentukan peristiwa yang ingin Anda pantau dan target yang ingin Anda lakukan untuk tindakan otomatis peristiwa tersebut. Target adalah tujuan yang EventBridge mengirimkan peristiwa ke.

Untuk mengotomatisasi pemantauan dan pemrosesan tugas untuk temuan, Anda dapat membuat EventBridge aturan yang secara otomatis mendeteksi peristiwa temuan Amazon Macie dan mengirimkan peristiwa tersebut ke aplikasi atau layanan lain untuk pemrosesan atau tindakan lainnya. Anda dapat menyesuaikan aturan untuk mengirim hanya peristiwa yang memenuhi kriteria tertentu. Untuk melakukan hal ini, tentukan kriteria yang berasal dari. EventBridge skema acara untuk temuan

Misalnya, Anda dapat membuat aturan yang mengirimkan tipe temuan baru tertentu ke fungsi AWS Lambda. Fungsi Lambda kemudian dapat melakukan tugas-tugas seperti: memproses dan mengirim data ke sistem SIEM Anda; secara otomatis menerapkan tipe enkripsi sisi server tertentu ke objek S3; atau, membatasi akses ke objek. Atau Anda dapat membuat aturan yang secara otomatis mengirimkan temuan tingkat kepelikan tinggi baru ke topik Amazon SNS, yang kemudian memberi tahu tim respons insiden Anda tentang temuan tersebut.

Selain memanggil fungsi Lambda dan memberitahukan topik Amazon SNS, EventBridge mendukung tipe target dan tindakan lainnya, seperti menyampaikan peristiwa ke aliran Amazon Kinesis, mengaktifkan AWS Step Functions mesin status, dan memanggil perintah run. AWS Systems Manager Untuk informasi tentang target yang didukung, lihat EventBridgetarget Amazon di EventBridgePanduan Pengguna Amazon.

Membuat EventBridge aturan Amazon untuk temuan

Prosedur berikut menjelaskan cara menggunakan EventBridge konsol Amazon dan AWS Command Line Interface(AWS CLI) untuk membuat EventBridge aturan temuan Amazon Macie. Aturan mendeteksi EventBridge peristiwa yang menggunakan skema dan pola peristiwa untuk temuan Macie, dan mengirimkan peristiwa tersebut ke fungsi untuk diproses. AWS Lambda

AWS Lambda adalah layanan komputasi yang dapat Anda gunakan untuk menjalankan kode tanpa perlu menyediakan atau mengelola server. Anda mengemas kode Anda dan mengunggahnya ke AWS Lambda sebagai Fungsi Lambda. AWS Lambda kemudian menjalankan fungsi saat fungsi tersebut dipanggil. Fungsi dapat dipanggil secara manual oleh Anda, secara otomatis dalam respons terhadap peristiwa, atau dalam merespons atas permintaan dari aplikasi atau layanan. Untuk informasi tentang membuat dan memanggil fungsi Lambda, lihat Panduan Developer AWS Lambda.

Console

Prosedur ini menjelaskan cara menggunakan EventBridge konsol Amazon untuk membuat aturan yang secara otomatis mengirimkan semua peristiwa temuan Macie ke fungsi Lambda untuk diproses. Aturan menggunakan pengaturan default untuk aturan yang berjalan saat peristiwa tertentu diterima. Untuk detail tentang pengaturan aturan atau untuk mempelajari cara membuat aturan yang menggunakan pengaturan khusus, lihat Membuat aturan yang bereaksi terhadap peristiwa di Panduan EventBridge Pengguna Amazon.

Tip

Anda juga dapat membuat aturan yang menggunakan pola kustom untuk mendeteksi dan hanya bertindak atas subset dari peristiwa temuan Macie. Subset ini dapat didasarkan pada bidang tertentu yang Macie sertakan dalam peristiwa temuan. Untuk mempelajari bidang yang tersedia, lihat EventBridge skema acara untuk temuan. Untuk mempelajari cara membuat aturan tipe ini, lihat Penyaringan konten dalam pola peristiwa dalam Panduan EventBridge Pengguna Amazon.

Sebelum Anda membuat aturan ini, buat fungsi Lambda yang Anda inginkan aturan tersebut digunakan sebagai target. Saat Anda membuat aturan tersebut, Anda harus menentukan fungsi ini sebagai target aturan.

Untuk membuat aturan peristiwa dengan menggunakan konsol tersebut

  1. Buka konsol Amazon EventBridge di https://console.aws.amazon.com/events/.

  2. Di panel navigasi, di dalam Peristiwa, pilih Aturan.

  3. Di bagian Aturan, pilih Buat aturan.

  4. Pada halaman Tentukan detail aturan, lakukan langkah-langkah berikut:

    • Untuk Nama, masukkan nama untuk aturan.

    • (Opsional) Untuk Deskripsi, masukkan deskripsi singkat aturan.

    • Untuk Bus peristiwa, pastikan default dipilih dan Aktifkan aturan pada bus peristiwa yang dipilih diaktifkan.

    • Untuk jenis Aturan, pilih Aturan dengan pola peristiwa.

  5. Setelah selesai, pilih Selanjutnya.

  6. Pada halaman Build tindakan, lakukan langkah-langkah berikut:

    • Untuk Sumber acara, pilih AWSacara atau EventBridge mitra.

    • (Opsional) Untuk kejadian Contoh, tinjau contoh peristiwa temuan untuk Macie untuk mempelajari apa yang mungkin berisi peristiwa. Untuk melakukan ini, pilih AWSacara. Kemudian, untuk acara Contoh, pilih Macie Finding.

    • Untuk Event pattern, pilih Event pattern form. Kemudian masukkan pengaturan berikut:

      • Untuk sumber Event, pilih Layanan AWS.

      • Untuk Layanan AWS, masukkan Macie.

      • Untuk jenis Event, masukkan Macie Finding.

  7. Setelah selesai, pilih Selanjutnya.

  8. Pada halaman Pilih target, lakukan langkah-langkah berikut:

    • Untuk jenis Target, pilih Layanan AWS.

    • Untuk Pilih target, masukkan fungsi Lambda. Kemudian, untuk Fungsi, pilih fungsi Lambda yang Anda inginkan untuk dikirimkan ke peristiwa temuan.

    • Untuk Konfigurasi versi/alias, masukkan pengaturan versi dan alias untuk fungsi Lambda target.

    • (Opsional) Untuk Pengaturan tambahan, masukkan pengaturan khusus untuk menentukan data peristiwa yang ingin Anda kirimkan ke fungsi Lambda. Anda juga dapat menentukan cara menangani peristiwa yang tidak dikirim ke fungsi dengan berhasil.

  9. Setelah selesai, pilih Selanjutnya.

  10. Pada halaman Konfigurasikan tag, masukkan satu atau beberapa tag untuk ditetapkan ke aturan. Kemudian pilih Selanjutnya.

  11. Pada halaman Tinjau dan buat, tinjau pengaturan aturan dan verifikasi bahwa pengaturan aturan sudah benar.

    Untuk mengubah pengaturan, pilih Edit di bagian yang berisi pengaturan, lalu masukkan pengaturan yang benar. Anda juga dapat menggunakan tab navigasi untuk membuka halaman yang berisi pengaturan.

  12. Setelah selesai memverifikasi pengaturan, pilih Buat aturan.

AWS CLI

Prosedur ini menjelaskan cara menggunakan AWS CLI untuk membuat EventBridge aturan yang mengirimkan semua peristiwa temuan Macie ke fungsi Lambda untuk diproses. Aturan menggunakan pengaturan default untuk aturan yang berjalan saat peristiwa tertentu diterima. Dalam prosedur, perintah diformat untuk Microsoft Windows. Untuk Linux, macOS, atau Unix, ganti karakter kelanjutan baris tanda sisipan (^) dengan garis miring terbalik (\).

Sebelum Anda membuat aturan ini, buat fungsi Lambda yang Anda inginkan aturannya untuk digunakan sebagai target. Ketika Anda membuat fungsi, perhatikan Amazon Resource Name (ARN) dari fungsi tersebut. Anda harus memasukkan ARN ini ketika Anda menentukan target untuk aturan.

Untuk membuat aturan peristiwa dengan menggunakan AWS CLI

  1. Buat aturan yang mendeteksi peristiwa untuk semua temuan yang dipublikasikan Macie. EventBridge Untuk melakukan ini, gunakan perintah EventBridge put-rule. Misalnya:

    C:\> aws events put-rule ^
--name MacieFindings ^
--event-pattern "{\"source\":[\"aws.macie\"]}"

    Di MacieFindingsmana nama yang Anda inginkan untuk aturan.

    Jika perintah berhasil berjalan, EventBridge merespons dengan ARN dari aturan. Perhatikan ARN ini. Anda harus memasukkannya pada langkah 3.

    Tip

    Anda juga dapat membuat aturan yang menggunakan pola kustom untuk mendeteksi dan hanya bertindak atas subset dari peristiwa temuan Macie. Subset ini dapat didasarkan pada bidang tertentu yang Macie sertakan dalam peristiwa temuan. Untuk mempelajari bidang yang tersedia, lihat EventBridge skema acara untuk temuan. Untuk mempelajari cara membuat aturan tipe ini, lihat Penyaringan konten dalam pola peristiwa dalam Panduan EventBridge Pengguna Amazon.

  2. Tentukan fungsi Lambda yang akan digunakan sebagai target aturan. Untuk melakukan ini, gunakan perintah EventBridge put-targets. Misalnya:

    C:\> aws events put-targets ^
--rule MacieFindings ^
--targets Id=1,Arn=arn:aws:lambda:regionalEndpoint:accountID:function:my-findings-function

    Nama MacieFindingsyang Anda tentukan untuk aturan di langkah 1, dan nilai untuk Arn parameter tersebut adalah ARN dari fungsi yang ingin Anda gunakan aturannya sebagai target.

  3. Tambahkan izin yang mengizinkan aturan untuk memanggil target fungsi Lambda. Untuk melakukan ini, gunakan perintah add-permission Lambda. Misalnya:

    C:\> aws lambda add-permission ^
--function-name my-findings-function ^
--statement-id Sid ^
--action lambda:InvokeFunction ^
--principal events.amazonaws.com ^
--source-arn arn:aws:events:regionalEndpoint:accountId:rule:MacieFindings

    Dengan:

    • my-findings-functionadalah nama fungsi Lambda yang Anda inginkan aturan tersebut digunakan sebagai target.

    • Sid adalah pengidentifikasi pernyataan yang Anda tetapkan untuk menjelaskan pernyataan dalam kebijakan fungsi Lambda.

    • source-arnadalah ARN EventBridge aturan.

    Jika perintah berhasil berjalan, Anda akan menerima output yang sama dengan yang berikut ini:

    {
  "Statement": "{\"Sid\":\"sid\",
    \"Effect\":\"Allow\",
    \"Principal\":{\"Service\":\"events.amazonaws.com\"},
    \"Action\":\"lambda:InvokeFunction\",
    \"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:my-findings-function\",
    \"Condition\":
      {\"ArnLike\":
        {\"AWS:SourceArn\":
         \"arn:aws:events:us-east-1:111122223333:rule/MacieFindings\"}}}"
}

    Nilai Statement adalah versi string JSON dari pernyataan yang ditambahkan ke kebijakan fungsi Lambda.