Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Schema di EventBridge eventi Amazon per i risultati di Macie
Per supportare l'integrazione con altre applicazioni, servizi e sistemi, come i sistemi di monitoraggio o di gestione degli eventi, Amazon Macie pubblica automaticamente i risultati su Amazon EventBridge come eventi. EventBridge, precedentemente Amazon CloudWatch Events, è un servizio di bus eventi senza server che fornisce un flusso di dati in tempo reale da applicazioni e altro Servizi AWS verso destinazioni quali funzioni AWS Lambda , argomenti di Amazon Simple Notification Service e flussi Amazon Kinesis. Per ulteriori informazioni EventBridge, consulta la Amazon EventBridge User Guide.
Nota
Se attualmente utilizzi CloudWatch Events, tieni presente che CloudWatch Events EventBridge e Events sono lo stesso servizio e API sottostanti. Tuttavia, EventBridge include funzionalità aggiuntive che consentono di ricevere eventi dalle applicazioni SaaS (Software as a Service) e dalle proprie applicazioni. Poiché il servizio e l'API sottostanti sono gli stessi, anche lo schema degli eventi per i risultati di Macie è lo stesso.
Macie pubblica automaticamente gli eventi per tutte le nuove scoperte e le successive occorrenze dei risultati delle policy esistenti, ad eccezione dei risultati che vengono archiviati automaticamente in base a una regola di soppressione. Gli eventi sono oggetti JSON conformi allo schema degli eventi. EventBridge AWS Ogni evento contiene una rappresentazione JSON di un particolare risultato. Poiché i dati sono strutturati come un EventBridge evento, è possibile monitorare, elaborare e agire più facilmente su un risultato utilizzando altre applicazioni, servizi e strumenti. Per dettagli su come e quando Macie pubblica gli eventi per i risultati, vedi. Configurazione delle impostazioni di pubblicazione per i risultati
Argomenti
Schema degli eventi per i risultati di Macie
L'esempio seguente mostra lo schema di un EventBridge evento Amazon per un risultato di Amazon Macie. Per descrizioni dettagliate dei campi che possono essere inclusi in un evento di ricerca, consulta Findings in the Amazon Macie API Reference. La struttura e i campi di un evento di ricerca sono strettamente correlati all'Findingoggetto dell'API Amazon Macie.
{ "version": "0", "id": "event ID", "detail-type": "Macie Finding", "source": "aws.macie", "account": "Account AWS ID (string)", "time": "event timestamp (string)", "region": "Regione AWS (string)", "resources": [ <-- ARNs of the resources involved in the event --> ], "detail": { <-- Details of a policy or sensitive data finding --> }, "policyDetails": null, <-- Additional details of a policy finding or null for a sensitive data finding --> "sample": Boolean, "archived": Boolean }
Esempio di evento relativo a una definizione di policy
L'esempio seguente utilizza dati di esempio per dimostrare la struttura e la natura di oggetti e campi in un EventBridge evento Amazon per la definizione di una politica. In questo esempio, l'evento riporta una successiva rilevazione di una policy esistente: Amazon Macie ha rilevato che le impostazioni di accesso pubblico a blocchi erano disabilitate per un bucket S3. I seguenti campi e valori possono aiutarti a determinare che sia così:
-
Il
typecampo è impostato suPolicy:IAMUser/S3BlockPublicAccessDisabled. -
I
updatedAtcampicreatedAte hanno valori diversi. Si tratta di un indicatore del fatto che l'evento segnala un successivo verificarsi di un risultato politico esistente. I valori di questi campi sarebbero gli stessi se l'evento riportasse un nuovo risultato. -
Il
countcampo è impostato su2, il che indica che questa è la seconda occorrenza del risultato. -
Il
categorycampo è impostato suPOLICY. -
Il valore del
classificationDetailscampo ènull, che aiuta a differenziare questo evento per una ricerca di policy da un evento per la ricerca di dati sensibili. Per un rilevamento di dati sensibili, questo valore sarebbe un insieme di oggetti e campi che forniscono informazioni su come e quali dati sensibili sono stati trovati.
Si noti inoltre che il valore del sample campo ètrue. Questo valore sottolinea che si tratta di un evento di esempio da utilizzare nella documentazione.
{
"version": "0",
"id": "0948ba87-d3b8-c6d4-f2da-732a1example",
"detail-type": "Macie Finding",
"source": "aws.macie",
"account": "123456789012",
"time": "2024-04-30T23:12:15Z",
"region":"us-east-1",
"resources": [],
"detail": {
"schemaVersion": "1.0",
"id": "64b917aa-3843-014c-91d8-937ffexample",
"accountId": "123456789012",
"partition": "aws",
"region": "us-east-1",
"type": "Policy:IAMUser/S3BlockPublicAccessDisabled",
"title": "Block public access settings are disabled for the S3 bucket",
"description": "All bucket-level block public access settings were disabled for the S3 bucket. Access to the bucket is controlled by account-level block public access settings, access control lists (ACLs), and the bucket’s bucket policy.",
"severity": {
"score": 3,
"description": "High"
},
"createdAt": "2024-04-29T15:46:02Z",
"updatedAt": "2024-04-30T23:12:15Z",
"count": 2,
"resourcesAffected": {
"s3Bucket": {
"arn": "arn:aws:s3:::amzn-s3-demo-bucket1",
"name": "amzn-s3-demo-bucket1",
"createdAt": "2020-04-03T20:46:56.000Z",
"owner":{
"displayName": "johndoe",
"id": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example"
},
"tags": [
{
"key": "Division",
"value": "HR"
},
{
"key": "Team",
"value": "Recruiting"
}
],
"defaultServerSideEncryption": {
"encryptionType": "aws:kms",
"kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"publicAccess": {
"permissionConfiguration": {
"bucketLevelPermissions": {
"accessControlList": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"bucketPolicy": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"blockPublicAccess": {
"ignorePublicAcls": false,
"restrictPublicBuckets": false,
"blockPublicAcls": false,
"blockPublicPolicy": false
}
},
"accountLevelPermissions": {
"blockPublicAccess": {
"ignorePublicAcls": true,
"restrictPublicBuckets": true,
"blockPublicAcls": true,
"blockPublicPolicy": true
}
}
},
"effectivePermission": "NOT_PUBLIC"
},
"allowsUnencryptedObjectUploads": "FALSE"
},
"s3Object": null
},
"category": "POLICY",
"classificationDetails": null,
"policyDetails": {
"action": {
"actionType": "AWS_API_CALL",
"apiCallDetails": {
"api": "PutBucketPublicAccessBlock",
"apiServiceName": "s3.amazonaws.com",
"firstSeen": "2024-04-29T15:46:02.401Z",
"lastSeen": "2024-04-30T23:12:15.401Z"
}
},
"actor": {
"userIdentity": {
"type": "AssumedRole",
"assumedRole": {
"principalId": "AROA1234567890EXAMPLE:AssumedRoleSessionName",
"arn": "arn:aws:sts::123456789012:assumed-role/RoleToBeAssumed/MySessionName",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": false,
"creationDate": "2024-04-29T10:25:43.511Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AROA1234567890EXAMPLE",
"arn": "arn:aws:iam::123456789012:role/RoleToBeAssumed",
"accountId": "123456789012",
"userName": "RoleToBeAssumed"
}
}
},
"root": null,
"iamUser": null,
"federatedUser": null,
"awsAccount": null,
"awsService": null
},
"ipAddressDetails":{
"ipAddressV4": "192.0.2.0",
"ipOwner": {
"asn": "-1",
"asnOrg": "ExampleFindingASNOrg",
"isp": "ExampleFindingISP",
"org": "ExampleFindingORG"
},
"ipCountry": {
"code": "US",
"name": "United States"
},
"ipCity": {
"name": "Ashburn"
},
"ipGeoLocation": {
"lat": 39.0481,
"lon": -77.4728
}
},
"domainDetails": null
}
},
"sample": true,
"archived": false
}
}Esempio di evento per la ricerca di dati sensibili
L'esempio seguente utilizza dati di esempio per dimostrare la struttura e la natura di oggetti e campi in un EventBridge evento Amazon per la ricerca di dati sensibili. In questo esempio, l'evento riporta una nuova scoperta di dati sensibili: Amazon Macie ha trovato più categorie e tipi di dati sensibili in un oggetto S3. I seguenti campi e valori possono aiutarti a determinare che sia così:
-
Il
typecampo è impostato suSensitiveData:S3Object/Multiple. -
I
updatedAtcampicreatedAte hanno gli stessi valori. A differenza dei risultati politici, questo vale sempre per i risultati relativi ai dati sensibili. Tutti i risultati relativi ai dati sensibili sono considerati nuovi. -
Il
countcampo è impostato su1, il che indica che si tratta di una nuova scoperta. A differenza dei risultati politici, questo vale sempre per i risultati relativi ai dati sensibili. Tutti i risultati relativi ai dati sensibili sono considerati unici (nuovi). -
Il
categorycampo è impostato suCLASSIFICATION. -
Il valore del
policyDetailscampo ènull, che aiuta a differenziare questo evento per una ricerca di dati sensibili da un evento per una ricerca di policy. Per quanto riguarda una policy, questo valore potrebbe essere un insieme di oggetti e campi che forniscono informazioni su una potenziale violazione delle policy o su un problema con la sicurezza o la privacy di un bucket S3.
Si noti inoltre che il valore del sample campo è. true Questo valore sottolinea che si tratta di un evento di esempio da utilizzare nella documentazione.
{
"version": "0",
"id": "14ddd0b1-7c90-b9e3-8a68-6a408example",
"detail-type": "Macie Finding",
"source": "aws.macie",
"account": "123456789012",
"time": "2024-04-20T08:19:10Z",
"region": "us-east-1",
"resources": [],
"detail": {
"schemaVersion": "1.0",
"id": "4ed45d06-c9b9-4506-ab7f-18a57example",
"accountId": "123456789012",
"partition": "aws",
"region": "us-east-1",
"type": "SensitiveData:S3Object/Multiple",
"title": "The S3 object contains multiple categories of sensitive data",
"description": "The S3 object contains more than one category of sensitive data.",
"severity": {
"score": 3,
"description": "High"
},
"createdAt": "2024-04-20T18:19:10Z",
"updatedAt": "2024-04-20T18:19:10Z",
"count": 1,
"resourcesAffected": {
"s3Bucket": {
"arn": "arn:aws:s3:::amzn-s3-demo-bucket2",
"name": "amzn-s3-demo-bucket2",
"createdAt": "2020-05-15T20:46:56.000Z",
"owner": {
"displayName": "johndoe",
"id": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example"
},
"tags":[
{
"key":"Division",
"value":"HR"
},
{
"key":"Team",
"value":"Recruiting"
}
],
"defaultServerSideEncryption": {
"encryptionType": "aws:kms",
"kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"publicAccess": {
"permissionConfiguration": {
"bucketLevelPermissions": {
"accessControlList": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"bucketPolicy":{
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"blockPublicAccess": {
"ignorePublicAcls": true,
"restrictPublicBuckets": true,
"blockPublicAcls": true,
"blockPublicPolicy": true
}
},
"accountLevelPermissions": {
"blockPublicAccess": {
"ignorePublicAcls": false,
"restrictPublicBuckets": false,
"blockPublicAcls": false,
"blockPublicPolicy": false
}
}
},
"effectivePermission": "NOT_PUBLIC"
},
"allowsUnencryptedObjectUploads": "TRUE"
},
"s3Object":{
"bucketArn": "arn:aws:s3:::amzn-s3-demo-bucket2",
"key": "2024 Sourcing.csv",
"path": "amzn-s3-demo-bucket2/2024 Sourcing.csv",
"extension": "csv",
"lastModified": "2024-04-19T22:08:25.000Z",
"versionId": "",
"serverSideEncryption": {
"encryptionType": "aws:kms",
"kmsMasterKeyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"size": 4750,
"storageClass": "STANDARD",
"tags":[
{
"key":"Division",
"value":"HR"
},
{
"key":"Team",
"value":"Recruiting"
}
],
"publicAccess": false,
"etag": "6bb7fd4fa9d36d6b8fb8882caexample"
}
},
"category": "CLASSIFICATION",
"classificationDetails": {
"jobArn": "arn:aws:macie2:us-east-1:123456789012:classification-job/3ce05dbb7ec5505def334104bexample",
"jobId": "3ce05dbb7ec5505def334104bexample",
"result": {
"status": {
"code": "COMPLETE",
"reason": null
},
"sizeClassified": 4750,
"mimeType": "text/csv",
"additionalOccurrences": true,
"sensitiveData": [
{
"category": "PERSONAL_INFORMATION",
"totalCount": 65,
"detections": [
{
"type": "USA_SOCIAL_SECURITY_NUMBER",
"count": 30,
"occurrences": {
"lineRanges": null,
"offsetRanges": null,
"pages": null,
"records": null,
"cells": [
{
"row": 2,
"column": 1,
"columnName": "SSN",
"cellReference": null
},
{
"row": 3,
"column": 1,
"columnName": "SSN",
"cellReference": null
},
{
"row": 4,
"column": 1,
"columnName": "SSN",
"cellReference": null
}
]
}
},
{
"type": "NAME",
"count": 35,
"occurrences": {
"lineRanges": null,
"offsetRanges": null,
"pages": null,
"records": null,
"cells": [
{
"row": 2,
"column": 3,
"columnName": "Name",
"cellReference": null
},
{
"row": 3,
"column": 3,
"columnName": "Name",
"cellReference": null
}
]
}
}
]
},
{
"category": "FINANCIAL_INFORMATION",
"totalCount": 30,
"detections": [
{
"type": "CREDIT_CARD_NUMBER",
"count": 30,
"occurrences": {
"lineRanges": null,
"offsetRanges": null,
"pages": null,
"records": null,
"cells": [
{
"row": 2,
"column": 14,
"columnName": "CCN",
"cellReference": null
},
{
"row": 3,
"column": 14,
"columnName": "CCN",
"cellReference": null
}
]
}
}
]
}
],
"customDataIdentifiers": {
"totalCount": 0,
"detections": []
}
},
"detailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/123456789012/Macie/us-east-1/3ce05dbb7ec5505def334104bexample/d48bf16d-0deb-3e49-9d8c-d407cexample.jsonl.gz",
"originType": "SENSITIVE_DATA_DISCOVERY_JOB"
},
"policyDetails": null,
"sample": true,
"archived": false
}
}