Amazon Macie の Amazon EventBridge との統合 - Amazon Macie

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Macie の Amazon EventBridge との統合

以前の Amazon CloudWatch Events である Amazon EventBridge は、サーバーレスイベントバスサービスです。EventBridge は、アプリケーションとサービスからリアルタイムデータのストリームを配信し、そのデータを、AWS Lambda 関数、Amazon Simple Notification Service (Amazon SNS) のトピック、および Amazon Kinesis ストリームなどのターゲットにルーティングします。EventBridge の詳細については、Amazon EventBridge ユーザーガイドを参照してください。

EventBridge を使用すると、特定のタイプのイベントのモニタリングと処理を自動化できます。これには、新しいポリシーの調査結果と機密データの調査結果について Amazon Macie が自動的に発行するイベントが含まれます。これには、Macie が既存のポリシーの調査結果のその後の出現で自動的に発行するイベントも含まれます。Macie がこれらのイベントを発行する方法とタイミングの詳細については、調査結果の発行設定を設定するを参照してください。

EventBridge と、Macie が調査結果について発行するイベントを使用することで、ほぼリアルタイムで調査結果をモニタリングおよび処理できます。次に、他のアプリケーションやサービスを使用して、調査結果に対してアクションを取ることができます。たとえば、EventBridge を使用して、特定のタイプの新しい調査結果を AWS Lambda 関数に送信することができます。次に、Lambda 関数は、データを処理し、セキュリティインシデントおよびイベント管理 (SIEM) システムに送信する場合があります。AWS User Notifications を Macie と統合すると、イベントを使用して、指定した配信チャネルを通じて検出結果を自動的に通知することもできます。

自動化されたモニタリングと処理に加えて、EventBridge を使用すると、調査結果データの長期保存が可能になります。Macie は 90 日間調査結果を保存します。EventBridge を使用すると、調査結果データを好みのストレージプラットフォームに送信し、データをいつまででも保存できます。

注記

長期の保持では、機密データの検出結果を S3 バケットに保存するように Macie を設定してください。機密データの検出結果は、Macie が S3 オブジェクトに対して実行した分析に関する詳細を記録するレコードです。詳細については、機密データ検出結果の保存と保持を参照してください。

Amazon EventBridge スキーマの使用

Amazon EventBridge では、モニタリングするイベントを指定し、それらのイベントに対して自動アクションを実行するターゲットを指定するルールを作成します。ターゲット は、EventBridge がイベントを送信する送信先です。

調査結果のモニタリングと処理タスクを自動化するには、Amazon Macie 調査結果イベントを自動的に検出し、それらのイベントを処理またはその他のアクションのために別のアプリケーションまたはサービスに送信する EventBridge ルールを作成できます。特定の基準を満たすイベントのみを送信するようにルールを調整できます。そのためには、調査結果の EventBridge イベントスキーマから導き出される基準を指定します。

たとえば、特定のタイプの新しい調査結果を AWS Lambda 関数に送信するルールを作成できます。次に、Lambda 関数は、データを処理して SIEM システムへ送信する、S3 オブジェクトに自動的に特定のタイプのサーバー側の暗号化を適用する、オブジェクトのアクセスコントロールリスト (ACL) を変更して S3 オブジェクトへのアクセスを制限するなどのタスクを実行できます。あるいは、新しい高い重要度の調査結果を Amazon SNS トピックに自動的に送信するルールを作成します。これにより、インシデント対応チームに結果を通知することができます。

Lambda 関数の呼び出しと Amazon SNS トピックの通知に加えて、EventBridge は、Amazon Kinesis Streamsへのイベントの中継、AWS Step Functions ステートマシンを起動、AWS Systems Manager実行コマンドを呼び出しなど、他のタイプのターゲットやアクションもサポートしています。詳細については、Amazon EventBridge ユーザーガイドAmazon EventBridge ターゲット を参照してください 。

調査結果用の Amazon EventBridge ルールの作成

次の手順では、Amazon EventBridge コンソールと AWS Command Line InterfaceAWS CLI を使用して、Macie の調査結果の EventBridge ルールを作成する方法について説明します。ルールは、Macie 調査結果のイベントスキーマとパターンを使用する EventBridge イベントを検出し、それらのイベントを処理のために AWS Lambda 関数に送信します。

AWS Lambda はサーバーをプロビジョニングしたり管理しなくてもコードを実行するために使用できるコンピューティングサービスです。コードをパッケージ化し、Lambda 関数 としてAWS Lambdaにアップロードします。関数が呼び出されるとAWS Lambdaは関数を実行します。関数は、ユーザーが手動で呼び出したり、イベントに応答して自動的に呼び出したり、またはアプリケーションやサービスからのリクエストに応答したりすることができます。Lambda 関数の作成および呼び出しについては、 AWS Lambda 開発者ガイドを参照してください。

Console

この手順では、Amazon EventBridge コンソールを使用して、すべての Macie 調査結果イベントを処理のために Lambda 関数に自動的に送信するルールを作成する方法について説明します。このルールは、特定のイベントを受信したときに実行されるルールのデフォルト設定を使用します。ルール設定の詳細や、カスタム設定を使用するルールの作成方法については、Amazon EventBridge ユーザーガイドのイベントに反応するルールの作成を参照してください。

ヒント

カスタムパターンを使用して、Macie 調査結果イベントのサブセットのみを検出して処理するルールを作成することもできます。このサブセットは、Macie が調査結果イベントに含める特定のフィールドに基づいて作成できます。使用可能なフィールドについては、調査結果の EventBridge イベントスキーマを参照してください。このタイプのルールの作成方法については、Amazon EventBridge ユーザーガイドのイベントパターンのコンテンツフィルタリングを参照してください。

このルールを作成する前に、Lambda 関数を作成して、ルールがターゲットとして使用されるようにします。ルールを作成するときは、この関数をルールのターゲットとして指定する必要があります。

コンソールを使用してイベントのルールを作成するには
  1. Amazon EventBridge コンソール (https://console.aws.amazon.com/events/) を開きます。

  2. ナビゲーションペインの イベント で、ルール を選択します。

  3. セクションで、ルールの作成 を選択します。

  4. 詳細のルール定義 で、次の操作を行います。

    • 名前 にルールの名前を入力します。

    • 説明 に、認可ルールの簡単な説明を入力します。

    • イベントバスを選択 の下で、 デフォルトのイベントバスが選択され、選択したイベントバスのルールを有効にするがオンになっていることを確認します。

    • ルールタイプ では、イベントパターンを持つルール を選択します。

  5. 終了したら、次へ を選択します。

  6. イベントパターンの作成 で、次の操作を行います。

    • イベントソース で、AWSイベントまたは EventBridge パートナーイベント ( ) を選択します。

    • (オプショナル) サンプルイベント については、Macie 用のサンプル検索イベントを確認して、イベントに含まれる可能性がある内容を確認してください。そのためには、AWS イベント を選択します。次に、サンプルイベントMacie 検出結果 を選択します。

    • イベントパターン で、イベントパターンフォーム を選択します。次に、以下の設定を入力します。

      • イベントソースAWS のサービス を選択します。

      • AWS のサービス にはMacie と入力します。

      • イベントタイプ では、Macie の調査結果 を選択します。

  7. 終了したら、次へ を選択します。

  8. ターゲットを選択 ページで、次の操作を行います。

    • ターゲットタイプ には、AWS のサービス を選択します。

    • ターゲットを選択) では、(Lambda 関数) を選択します。次に、関数で、結果イベントの送信先となる Lambda 関数を選択します。

    • (オプショナル) バージョン/エイリアスを設定 で、ターゲットの Lambda 関数のバージョンとエイリアスの設定を入力します。

    • (オプショナル) 追加設定 で、Lambda 関数に送信するイベントデータを指定します。関数に正常に配信されないイベントを処理する方法を指定することもできます。

  9. 終了したら、次へ を選択します。

  10. タグの設定 ページで、ルールに割り当てる 1 つ以上のタグをオプションで入力します。続いて、次へ を選択します。

  11. 確認して作成するステップでは、ジョブの設定設定を確認し、それらが正しいことを検証します。

    設定を変更するには、設定が含まれるセクションで 編集を選択し、次に正しい設定を入力します。ナビゲーションタブを使用して、設定が含まれるページに移動することもできます。

  12. 設定の確認が完了したら Create rule (ルールの作成) を選択します。

AWS CLI

この手順では、AWS CLI を使用して、すべての Macie 調査結果イベントを処理のために Lambda 関数に送信する EventBridge ルールを作成する方法について説明します。このルールは、特定のイベントを受信したときに実行されるルールのデフォルト設定を使用します。手順では、Microsoft Windows 用にコマンドがフォーマットされています。Linux、macOS、または Unix では、キャレット (^) 行連結文字をバックスラッシュ (\) に置き換えます。

このルールを作成する前に、Lambda 関数を作成して、ルールがターゲットとして使用されるようにします。関数を作成するときは、関数の Amazon リソースネーム (ARN) を書き留めておきます。ルールのターゲットを指定するときに、この ARN を入力する必要があります。

AWS CLI を使用してイベントルールを作成するには
  1. Macie が EventBridge に公開するすべての調査結果のイベントを検出するルールを作成します。これを行うには、EventBridge のput-ruleコマンドを使用してください。例:

    C:\> aws events put-rule ^ --name MacieFindings ^ --event-pattern "{\"source\":[\"aws.macie\"]}"

    ここで、Macie 検出結果はルールに必要な名前です。

    コマンドが正常に実行された場合は、ルールの ARN を使用して EventBridge が応答します。この ARN をメモします。それをステップ 3 で入力する必要があります。

    ヒント

    カスタムパターンを使用して、Macie 調査結果イベントのサブセットのみを検出して処理するルールを作成することもできます。このサブセットは、Macie が調査結果イベントに含める特定のフィールドに基づいて作成できます。使用可能なフィールドについては、調査結果の EventBridge イベントスキーマを参照してください。このタイプのルールの作成方法については、Amazon EventBridge ユーザーガイドのイベントパターンのコンテンツフィルタリングを参照してください。

  2. ルールのターゲットとして使用する Lambda 関数を指定します。これを行うには、EventBridge のput-targetsコマンドを使用してください。例:

    C:\> aws events put-targets ^ --rule MacieFindings ^ --targets Id=1,Arn=arn:aws:lambda:regionalEndpoint:accountID:function:my-findings-function

    ここで、MacieFindings は、ステップ 1 でルールに指定した名前で、Arn パラメータの値は、ルールでターゲットとして使用する関数の ARN です。

  3. ルールがターゲット Lambda 関数を呼び出すことを許可する権限を追加します。これを行うには、Lambdaadd-permissionコマンドを使用します。例:

    C:\> aws lambda add-permission ^ --function-name my-findings-function ^ --statement-id Sid ^ --action lambda:InvokeFunction ^ --principal events.amazonaws.com ^ --source-arn arn:aws:events:regionalEndpoint:accountId:rule:MacieFindings

    実行する条件は以下のとおりです。

    • my-findings-function は、ルールがターゲットとして使用する Lambda 関数の名前です。

    • Sid は、Lambda 関数ポリシーでステートメントを記述するために定義するステートメント識別子です。

    • source-arnは EventBridge ルールの ARN です。

    コマンドが正常に実行された場合は、次のような出力が表示されます。

    { "Statement": "{\"Sid\":\"sid\", \"Effect\":\"Allow\", \"Principal\":{\"Service\":\"events.amazonaws.com\"}, \"Action\":\"lambda:InvokeFunction\", \"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:my-findings-function\", \"Condition\": {\"ArnLike\": {\"AWS:SourceArn\": \"arn:aws:events:us-east-1:111122223333:rule/MacieFindings\"}}}" }

    Statement 値は、Lambda 関数ポリシーに追加されたステートメントの JSON 文字列バージョンです。