Amazon Macie の Amazon との統合 EventBridge - Amazon Macie

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Macie の Amazon との統合 EventBridge

アマゾン EventBridge、以前はAmazonでした CloudWatch Events は、サーバーレスイベントバスサービスです。 EventBridge は、アプリケーションとサービスからリアルタイムデータのストリームを配信し、そのデータをなどのターゲットにルーティングします。AWS Lambda関数、Amazon Simple Notification Service (Amazon SNS) のトピック、および Amazon Kinesis ストリームです。詳細を確認するトピックEventBridge「」を参照してください。アマゾン EventBridge ユーザーガイド

と EventBridgeを使用すると、特定のタイプのイベントのモニタリングと処理を自動化できます。これには、新しいポリシーの調査結果と機密データの調査結果について Amazon Macie が自動的に発行するイベントが含まれます。これには、Macie が既存のポリシーの調査結果のその後の出現で自動的に発行するイベントも含まれます。Macie がこれらのイベントを発行する方法とタイミングの詳細については、「調査結果の発行設定を構成する]を参照してください。

を使用して。 EventBridge と、Macie が調査結果について発行するイベントを使用すると、ほぼリアルタイムで調査結果をモニタリングおよび処理できます。次に、他のアプリケーションやサービスを使用して、調査結果に対してアクションを取ることができます。たとえば、以下のようになります。 EventBridge 特定のタイプの新しい調査結果をAWS Lambdafunction. 次に、Lambda 関数は、データを処理し、セキュリティインシデントおよびイベント管理 (SIEM) システムに送信する場合があります。

自動化されたモニタリングと処理に加えて、 EventBridge 調査結果データの長期保存が可能になります。Macie は 90 日間調査結果を保存します。と EventBridgeでは、調査結果データを好みのデータストレージプラットフォームに送信し、データをいつまででも保存できます。

注記

長期の保持では、機密データの検出結果を S3 バケットに保存するように Macie を設定することも強くお勧めします。詳細については、「機密データ検出結果の保存と保持」を参照してください。

を使用する EventBridge

と EventBridgeでは、モニタリングするイベントを指定し、それらのイベントに対して自動アクションを実行するターゲットを指定するルールを作成します。あるターゲットその送信先は EventBridge にイベントを送信します。

検出結果の監視と処理タスクを自動化するために、 EventBridge ルールは、Macie 調査結果イベントを自動的に検出し、それらのイベントを処理またはその他のアクションのために別のアプリケーションまたはサービスに送信します。特定の基準を満たすイベントのみを送信するようにルールを調整できます。これを行うには、[] から派生する基準を指定します。EventBridge Macie findings] のイベントスキーマ

たとえば、特定のタイプの新しい調査結果を AWS Lambda 関数に送信するルールを作成できます。次に、Lambda 関数は、データを処理して SIEM システムへ送信する、S3 オブジェクトに自動的に暗号化を適用する、オブジェクトのアクセスコントロールリスト (ACL) を変更してオブジェクトへのアクセスを制限するなどのタスクを実行できます。あるいは、新しい高い重要度の調査結果を Amazon SNS トピックに自動的に送信するルールを作成します。これにより、インシデント対応チームに結果を通知することができます。

Lambda 関数の呼び出しと Amazon SNS トピックの通知に加えて、 EventBridge は、Amazon Kinesis Streamsへのイベントの中継、起動、など、他のタイプのターゲットやアクションもサポートしますAWS Step Functionsステートマシン、およびAWSSystems Manager 実行コマンド。サポートされているターゲットについては、「」を参照してください。アマゾン EventBridge ターゲットアマゾン EventBridge ユーザーガイド

の作成 EventBridge 調査結果イベントのルール

以下の手順では、Amazon の使用方法を説明します。 EventBridge コンソールとAWS Command Line Interface(AWS CLI)を作成して EventBridge Macieの調査結果のルール。ルールは、Macie 調査結果のイベントスキーマとパターンを使用するイベントを検出し、それらのイベントをAWS Lambda処理のための機能。

AWS Lambda はサーバーをプロビジョニングしたり管理しなくてもコードを実行するために使用できるコンピューティングサービスです。コードをパッケージ化し、[Lambda 関数] としてAWS Lambdaにアップロードします。関数が呼び出されるとAWS Lambdaは関数を実行します。関数は、ユーザーが手動で呼び出したり、イベントに応答して自動的に呼び出したり、またはアプリケーションやサービスからのリクエストに応答したりすることができます。Lambda 関数の作成および呼び出しについては、 AWS Lambda 開発者ガイドを参照してください。

Console

この手順では、Amazon の使用方法を説明します。 EventBridge コンソールを使用して、すべての Macie 調査結果イベントを処理のために Lambda 関数に自動的に送信するルールを作成します。ルールは、特定のイベントを受信したときに実行されるルールにデフォルト設定を使用します。ルール設定の詳細またはカスタム設定を使用するルールの作成方法については、「」を参照してください。イベントに反応するルールの作成アマゾン EventBridgeユーザーガイド

ヒント

カスタムパターンを使用して、Macie 調査結果イベントのサブセットのみを検出して処理するルールを作成することもできます。このサブセットは、Macie が調査結果イベントに含める特定のフィールドに基づいて作成できます。使用可能なフィールドについては、「EventBridge 調査結果のイベントスキーマ」を参照してください。このタイプのルールの作成方法については、「」を参照してください。イベントパターンでのコンテンツのフィルタリングアマゾン EventBridge ユーザーガイド

このルールを作成する前に、Lambda 関数を作成して、ルールがターゲットとして使用されるようにします。ルールを作成するときは、この関数をルールのターゲットとして指定する必要があります。

コンソールを使用してイベントのルールを作成するには

  1. Amazonを開きます。 EventBridge コンソール。https://console.aws.amazon.com/events/

  2. ナビゲーションペインの [イベント] で、[ルール] を選択します。

  3. [Rules (ルール)] セクションで、[Create Rule (ルールの作成)] を選択します。

  4. リポジトリの []ルールの詳細の設定] ページで以下の操作を実行します。

    • [名前] にルールの名前を入力します。

    • (オプション)説明で、ルールの簡単な説明を入力します。

    • を使用する場合イベントバス、確実にデフォルトが選択され、選択したイベントバスでルールを有効にします。がオン。

    • [Rule type] (ルールタイプ) では、[Rule with an event pattern] (イベントパターンを持つルール) を選択します。

  5. 終了したら、[次へ] を選択します。

  6. リポジトリの []ビルドイベントパターン。] ページで以下の操作を実行します。

    • を使用する場合イベントソース、選択AWSイベントまたは EventBridgeパートナー

    • (オプション)イベント例で、Macie のサンプル検出イベントを確認して、イベントに何が含まれているかを確認します。これを行うには、[] を選択します。AWSイベント。それから、イベント例、選択Macie 調査結果タイプ

    • [Event pattern] (イベントパターン) で、[Event pattern form] (イベントパターンフォーム) を選択します。次に、以下の設定を入力します。

      • [イベントソース] で [AWS のサービス] を選択します。

      • を使用する場合AWS のサービスと入力します。Macie

      • を使用する場合イベントタイプと入力します。Macie 調査結果タイプ

  7. 終了したら、[次へ] を選択します。

  8. リポジトリの []ターゲットの選択] ページで以下の操作を実行します。

    • [Target types] (ターゲットタイプ) には、[AWS のサービス] を選択します。

    • を使用する場合ターゲットを選択します。と入力します。Lambda 関数。それから、関数で、調査結果を送信する Lambda 関数を選択します。

    • を使用する場合バージョン/エイリアスを構成するで、ターゲットの Lambda 関数のバージョンとエイリアスの設定を入力します。

    • (オプション)追加設定で、Lambda 関数に送信するイベントデータを指定するカスタム設定を入力します。関数に正常に配信されないイベントを処理する方法を指定することもできます。

  9. 終了したら、[次へ] を選択します。

  10. リポジトリの []タグを設定する] ページでオプションで、ルールに割り当てる 1 つ以上のタグを入力します。続いて、[Next] (次へ) を選択します。

  11. リポジトリの []確認と作成] ページでルールの設定を確認し、それらが正しいことを検証します。

    設定を変更するには、設定が含まれるセクションで [Edit] (編集) を選択し、次に正しい設定を入力します。ナビゲーションタブを使用して、設定が含まれるページに移動することもできます。

  12. 設定の確認が完了したら、ルールの作成

AWS CLI

この手順では、を使用する方法について説明します。AWS CLIを作成して EventBridge すべての Macie 調査結果イベントを処理のために Lambda 関数に送信するルール。ルールは、特定のイベントを受信したときに実行されるルールにデフォルト設定を使用します。手順では、Microsoft Windows 用にコマンドがフォーマットされています。Linux、macOS、または Unix では、キャレット (^) 行連結文字をバックスラッシュ (\) に置き換えます。

このルールを作成する前に、Lambda 関数を作成して、ルールがターゲットとして使用されるようにします。関数を作成するときは、関数の Amazon リソースネーム (ARN) を書き留めておきます。ルールのターゲットを指定するときに、この ARN を入力する必要があります。

AWS CLI を使用してイベントルールを作成するには

  1. Macie が発行するすべての調査結果のイベントを検出するルールを作成する EventBridge。これを行うには、 EventBridge put-ruleコマンド。例:

    C:\> aws events put-rule ^ --name MacieFindings ^ --event-pattern "{\"source\":[\"aws.macie\"]}"

    各パラメータの意味は次のとおりです。MacieFindingsルールに必要な名前。

    コマンドが正常に実行された場合は、 EventBridge ルールの ARN を使用して、応答。この ARN をメモします。それをステップ 3 で入力する必要があります。

    ヒント

    カスタムパターンを使用して、Macie 調査結果イベントのサブセットのみを検出して処理するルールを作成することもできます。このサブセットは、Macie が調査結果イベントに含める特定のフィールドに基づいて作成できます。使用可能なフィールドについては、「EventBridge 調査結果のイベントスキーマ」を参照してください。このタイプのルールの作成方法については、「」を参照してください。イベントパターンでのコンテンツのフィルタリングアマゾン EventBridge ユーザーガイド

  2. ルールのターゲットとして使用する Lambda 関数を指定します。これを行うには、 EventBridge put-targets。コマンド。例:

    C:\> aws events put-targets ^ --rule MacieFindings ^ --targets Id=1,Arn=arn:aws:lambda:regionalEndpoint:accountID:function:my-findings-function

    各パラメータの意味は次のとおりです。MacieFindingsは、ステップ 1 でルールに指定した名前で、Arnパラメータは、ルールがターゲットとして使用される関数の ARN です。

  3. ルールがターゲット Lambda 関数を呼び出すことを許可する権限を追加します。これを行うには、Lambda を使用します。addコマンド。例:

    C:\> aws lambda add-permission ^ --function-name my-findings-function ^ --statement-id Sid ^ --action lambda:InvokeFunction ^ --principal events.amazonaws.com ^ --source-arn arn:aws:events:regionalEndpoint:accountId:rule:MacieFindings

    実行する条件は以下のとおりです。

    • my-findings-functionは、ルールがターゲットとして使用する Lambda 関数の名前です。

    • Sid は、Lambda 関数ポリシーでステートメントを記述するために定義するステートメント識別子です。

    • source-arnの ARN。 EventBridgeルール。

    コマンドが正常に実行された場合は、次のような出力が表示されます。

    { "Statement": "{\"Sid\":\"sid\", \"Effect\":\"Allow\", \"Principal\":{\"Service\":\"events.amazonaws.com\"}, \"Action\":\"lambda:InvokeFunction\", \"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:my-findings-function\", \"Condition\": {\"ArnLike\": {\"AWS:SourceArn\": \"arn:aws:events:us-east-1:111122223333:rule/MacieFindings\"}}}" }

    Statement 値は、Lambda 関数ポリシーに追加されたステートメントの JSON 文字列バージョンです。