Integrazione di Amazon Macie con Amazon EventBridge - Amazon Macie
Utilizzo di EventBridgeCreazione di EventBridge regole per i risultati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Integrazione di Amazon Macie con Amazon EventBridge

AmazonEventBridge, precedentemente Amazon CloudWatch Events, è un servizio di bus per eventi senza server. EventBridgefornisce un flusso di dati in tempo reale da applicazioni e servizi e instrada tali dati a destinazioni come AWS Lambda le funzioni, gli argomenti di Amazon Simple Notification Service (Amazon SNS) e i flussi Amazon Kinesis. Per ulteriori informazioniEventBridge, consulta la Amazon EventBridge User Guide.

ConEventBridge, puoi automatizzare il monitoraggio e l'elaborazione di determinati tipi di eventi. Ciò include gli eventi che Amazon Macie pubblica automaticamente per i risultati di nuove politiche e per la rilevazione di dati sensibili. Ciò include anche gli eventi che Macie pubblica automaticamente per le successive occorrenze di risultati politici esistenti. Per dettagli su come e quando Macie pubblica questi eventi, vedi. Configurazione delle impostazioni di pubblicazione per i risultati

Utilizzando EventBridge gli eventi pubblicati da Macie per i risultati, è possibile monitorare ed elaborare i risultati quasi in tempo reale. È quindi possibile agire in base ai risultati utilizzando altre applicazioni e servizi. Ad esempio, potresti utilizzarlo EventBridge per inviare tipi specifici di nuove scoperte a una AWS Lambda funzione. La funzione Lambda potrebbe quindi elaborare e inviare i dati al sistema SIEM (Security Incident and Event Management). Se integri AWS User Notifications con Macie, puoi anche utilizzare gli eventi per ricevere automaticamente notifiche dei risultati tramite i canali di consegna da te specificati.

Oltre al monitoraggio e all'elaborazione automatici, l'uso di EventBridge consente la conservazione a lungo termine dei dati dei risultati. Macie conserva i risultati per 90 giorni. ConEventBridge, puoi inviare i dati dei risultati alla tua piattaforma di archiviazione preferita e archiviarli per tutto il tempo che desideri.

Nota

Per una conservazione a lungo termine, configura anche Macie per archiviare i risultati del rilevamento dei dati sensibili in un bucket S3. Un risultato di rilevamento di dati sensibili è un record che registra i dettagli dell'analisi eseguita da Macie su un oggetto S3 per determinare se l'oggetto contiene dati sensibili. Per ulteriori informazioni, consulta Archiviazione e mantenimento dei risultati di rilevamento dei dati sensibili.

Lavorare con Amazon EventBridge

Con AmazonEventBridge, crei regole per specificare quali eventi desideri monitorare e quali obiettivi desideri eseguire azioni automatiche per tali eventi. Un obiettivo è una destinazione a cui EventBridge inviare eventi.

Per automatizzare le attività di monitoraggio ed elaborazione dei risultati, puoi creare una EventBridge regola che rileva automaticamente gli eventi di ricerca di Amazon Macie e li invia a un'altra applicazione o servizio per l'elaborazione o altre azioni. Puoi personalizzare la regola per inviare solo gli eventi che soddisfano determinati criteri. Per fare ciò, specificare i criteri che derivano da. EventBridge schema di eventi per i risultati

Ad esempio, puoi creare una regola che ti invia tipi specifici di nuovi risultati a una AWS Lambda funzione. La funzione Lambda può quindi eseguire attività come: elaborare e inviare i dati al sistema SIEM; applicare automaticamente un determinato tipo di crittografia lato server a un oggetto S3; oppure limitare l'accesso a un oggetto S3 modificando l'elenco di controllo degli accessi (ACL) dell'oggetto. Oppure puoi creare una regola che invii automaticamente nuovi risultati ad alta gravità a un argomento di Amazon SNS, che quindi notifica i risultati al tuo team di risposta agli incidenti.

Oltre a richiamare le funzioni Lambda e notificare gli argomenti di Amazon SNS, EventBridge supporta altri tipi di destinazioni e operazioni, come l'inoltro di eventi ai flussi Amazon Kinesis, l'attivazione di macchine AWS Step Functions allo stato, e il richiamo del comando di. AWS Systems Manager Per informazioni sugli obiettivi supportati, consulta EventBridgegli obiettivi Amazon nella Amazon EventBridge User Guide.

Creazione di EventBridge regole Amazon per i risultati

Le procedure seguenti spiegano come utilizzare la EventBridge console Amazon e il AWS Command Line Interface(AWS CLI) per creare una EventBridge regola per i risultati di Amazon Macie. La regola rileva EventBridge gli eventi che utilizzano lo schema e il modello di eventi per i risultati di Macie e invia tali eventi a una AWS Lambda funzione per l'elaborazione.

AWS Lambda è un servizio di calcolo che consente di eseguire il codice senza gestire i server o effettuarne il provisioning. Devi pacchettizzare il tuo codice e caricarlo su AWS Lambda come funzione Lambda. Quindi AWS Lambda esegue la funzione quando questa viene richiamata. Puoi richiamare una funzione manualmente, come risposta automatica agli eventi o in risposta a richieste provenienti da applicazioni o servizi. Per informazioni sulla creazione e il richiamo di funzioni Lambda, consulta Guida per gli AWS Lambdasviluppatori.

Console

Questa procedura spiega come utilizzare la EventBridge console Amazon per creare una regola che invii automaticamente tutti gli eventi di ricerca di Macie a una funzione Lambda per l'elaborazione. La regola utilizza le impostazioni predefinite per le regole che vengono eseguite quando vengono ricevuti eventi specifici. Per dettagli sulle impostazioni delle regole o per imparare a creare una regola che utilizza impostazioni personalizzate, consulta Creare regole che reagiscono agli eventi nella Amazon EventBridge User Guide.

Suggerimento

Puoi anche creare una regola che utilizza un modello personalizzato che faccia rilevazioni e agisca solo in base a un sottoinsieme di eventi di Macie. Questo sottoinsieme può essere basato su campi specifici che Macie include in un evento di ricerca. Per ulteriori informazioni sui campi disponibili, consultaEventBridge schema di eventi per i risultati. Per scoprire come creare questo tipo di regola, consulta il filtraggio dei contenuti nei modelli di eventi nella Amazon EventBridge User Guide.

Prima di creare questa regola, crea la funzione Lambda desideri utilizzi come destinazione. Quando crei la regola, dovrai specificare questa funzione come sua destinazione.

Per creare una regola di evento tramite la console

  1. Apri la EventBridge console Amazon all'indirizzo https://console.aws.amazon.com/events/.

  2. Nel pannello di navigazione, in Events (Eventi), scegli Rules (Regole).

  3. Nella sezione Rules (Regole), scegli Create rule (Crea regola).

  4. Nella pagina Dettagli regola, effettua le seguenti operazioni:

    • In Name (Nome), inserisci un nome per la regola.

    • (Facoltativo) In Description (Descrizione), immettere una breve descrizione della regola.

    • Per Event bus, assicurati che sia selezionato il valore predefinito e che l'opzione Abilita la regola sul bus eventi selezionato sia attivata.

    • Per Rule type (Tipo di regola), scegli Rule with an event pattern (Regola con un modello di eventi).

  5. Al termine, selezionare Next (Avanti).

  6. Sulla pagina modello di eventi di crea, effettua le seguenti operazioni:

    • Per Event source, scegli AWSeventi o EventBridge partner.

    • (Facoltativo) Per l'evento Sample, esamina un evento di ricerca di campioni per Macie per sapere cosa potrebbe contenere un evento. Per fare ciò, scegli AWSeventi. Quindi, per gli eventi Sample, scegli Macie Finding.

    • Per Event pattern, scegli Event pattern form. Quindi immettere le seguenti impostazioni:

      • In Event source (Origine eventi), selezionare Servizi AWS.

      • Per Servizio AWS, entra Macie.

      • Per Tipo di evento, inserisci Macie Finding.

  7. Al termine, selezionare Next (Avanti).

  8. Nella pagina Seleziona destinazioni procedere come segue:

    • Per Target types (Tipi di target), scegli Servizio AWS.

    • Per Seleziona un obiettivo, inserisci la funzione Lambda. Quindi, per Funzione, scegli la funzione Lambda inviare a cui desideri inviare gli eventi di ricerca.

    • In Configure version/alias (Configura versione/alias), inserisci le impostazioni di versione e alias per la funzione Lambda destinazione.

    • (Facoltativo) Per Impostazioni aggiuntive, inserisci impostazioni personalizzate per specificare quali dati degli eventi desideri inviare alla funzione Lambda. Puoi anche specificare come gestire gli eventi che non vengono recapitati correttamente alla funzione.

  9. Al termine, selezionare Next (Avanti).

  10. Nella pagina Configura tag, inserisci facoltativamente uno o più tag da assegnare alla regola. Quindi scegli Next (Successivo).

  11. Nella pagina Rivedi e crea, controlla le impostazioni della regola e verifica che siano corrette.

    Per modificare un'impostazione, scegli Modifica nella sezione che contiene l'impostazione, quindi inserisci l'impostazione corretta. Puoi anche utilizzare le schede di navigazione per accedere alla pagina che contiene un'impostazione.

  12. Al termine della verifica delle impostazioni, scegli Crea regola.

AWS CLI

Questa procedura spiega come utilizzare per AWS CLI creare una EventBridge regola che invii tutti gli eventi di ricerca di Macie a una funzione Lambda per l'elaborazione. La regola utilizza le impostazioni predefinite per le regole che vengono eseguite quando vengono ricevuti eventi specifici. Nella procedura, i comandi sono formattati per Microsoft Windows. Per Linux, macOS o Unix, sostituisci il carattere di continuazione della riga con una barra rovesciata (\).

Prima di creare questa regola, crea la funzione Lambda desideri utilizzi come destinazione. Quando crei la funzione, annota l'Amazon Resource Name (ARN) della funzione. Dovrai inserire questo ARN quando specificherai la destinazione della regola.

Per creare una regola di evento utilizzando il AWS CLI

  1. Crea una regola che rilevi gli eventi relativi a tutti i risultati su cui Macie pubblica. EventBridge Per fare ciò, usa il comando EventBridge put-rule. Ad esempio:

    C:\> aws events put-rule ^
--name MacieFindings ^
--event-pattern "{\"source\":[\"aws.macie\"]}"

    MacieFindingsDov'è il nome che desideri per la regola.

    Se eseguirai il comando correttamente, EventBridge risponde con l'ARN della regola. Prendi nota di questo ARN. Dovrai inserirlo una volta arrivato alla fase 3.

    Suggerimento

    Puoi anche creare una regola che utilizza un modello personalizzato che faccia rilevazioni e agisca solo in base a un sottoinsieme di eventi di Macie. Questo sottoinsieme può essere basato su campi specifici che Macie include in un evento di ricerca. Per ulteriori informazioni sui campi disponibili, consultaEventBridge schema di eventi per i risultati. Per scoprire come creare questo tipo di regola, consulta il filtraggio dei contenuti nei modelli di eventi nella Amazon EventBridge User Guide.

  2. Specifica la funzione Lambda utilizzare come destinazione per la regola. Per fare ciò, usa il comando EventBridge put-targets. Ad esempio:

    C:\> aws events put-targets ^
--rule MacieFindings ^
--targets Id=1,Arn=arn:aws:lambda:regionalEndpoint:accountID:function:my-findings-function

    Dove MacieFindingsè il nome specificato per la regola alla fase 1 e il valore per il Arn parametro è l'ARN della funzione che desideri utilizzi come destinazione.

  3. Aggiungi autorizzazioni che consentono alla regola di richiamare la funzione Lambda destinazione. A tale scopo, usa il comando Lambda add-permission. Ad esempio:

    C:\> aws lambda add-permission ^
--function-name my-findings-function ^
--statement-id Sid ^
--action lambda:InvokeFunction ^
--principal events.amazonaws.com ^
--source-arn arn:aws:events:regionalEndpoint:accountId:rule:MacieFindings

    Dove:

    • my-findings-functionè il nome della funzione Lambda desideri utilizzi come destinazione.

    • Sid è un identificatore di istruzione definito per descrivere l'istruzione nella policy della funzione Lambda.

    • source-arnè l'ARN della EventBridge regola.

    Se eseguirai il comando correttamente, riceverai un output simile al seguente:

    {
  "Statement": "{\"Sid\":\"sid\",
    \"Effect\":\"Allow\",
    \"Principal\":{\"Service\":\"events.amazonaws.com\"},
    \"Action\":\"lambda:InvokeFunction\",
    \"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:my-findings-function\",
    \"Condition\":
      {\"ArnLike\":
        {\"AWS:SourceArn\":
         \"arn:aws:events:us-east-1:111122223333:rule/MacieFindings\"}}}"
}

    Il valore di Statement è una versione in formato stringa JSON dell'istruzione aggiunta alla policy della funzione Lambda.