Amazon Macie の Amazon の Amazon との統合 EventBridge - Amazon Macie
EventBridge の使用EventBridge調査結果のルール作成

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Macie の Amazon の Amazon との統合 EventBridge

以前は Amazon EventBridge CloudWatch Events と呼ばれていた Amazon は、サーバーレスイベントバスサービスです。EventBridgeアプリケーションやサービスからのリアルタイムのデータのストリーミングを配信し、そのデータをAWS Lambda関数、Amazon Simple Notification Service (Amazon SNS) のトピック、および Amazon Kinesis ストリームなどのターゲットにルーティングします。詳細についてはEventBridge、Amazon EventBridge ユーザーガイドをご覧ください

を使用するとEventBridge、特定のタイプのイベントのモニタリングと処理を自動化できます。これには、新しいポリシーの調査結果と機密データの調査結果について Amazon Macie が自動的に発行するイベントが含まれます。これには、Macie が既存のポリシーの調査結果のその後の出現で自動的に発行するイベントも含まれます。Macie がこれらのイベントを発行する方法とタイミングの詳細については、「調査結果の発行設定を構成する]を参照してください。

Macie が調査結果について発行するイベントを使用することでEventBridge、ほぼリアルタイムで調査結果をモニタリングおよび処理できます。次に、他のアプリケーションやサービスを使用して、調査結果に対してアクションを取ることができます。たとえば、EventBridgeを使用して、特定のタイプの新しい調査結果をAWS Lambda関数に送信することができます。次に、Lambda 関数は、データを処理し、セキュリティインシデントおよびイベント管理 (SIEM) システムに送信する場合があります。AWS ユーザー通知を Macie と統合すると、イベントを使用して、指定した配信チャネルを通じて検出結果を自動的に通知することもできます。

自動化されたモニタリングと処理に加えて、を使用すると、EventBridge調査結果データの長期保存が可能になります。Macie は 90 日間調査結果を保存します。を使用するとEventBridge、調査結果のデータを好みのストレージプラットフォームに送信し、データをいつまででも保存できます。

注記

長期の保持では、機密データの検出結果を S3 バケットに保存するように Macie を設定することもできます。機密データの検出結果は、Macie が S3 オブジェクトに機密データが含まれているかどうかを判断するために、Macie が S3 オブジェクトに機密データが含まれているかどうかを判断する詳細を記録するレコードです。詳細については、機密データ検出結果の保存と保持 を参照してください。

アマゾンとの連携 EventBridge

Amazon ではEventBridge、モニタリングするイベントを指定し、それらのイベントに対して自動アクションを実行するターゲットを指定するルールを作成します。ターゲットは、EventBridgeイベントを送信する宛先です。

調査結果のモニタリングと処理タスクを自動化するには、Amazon Macie 調査結果イベントを自動的に検出し、EventBridgeそれらのイベントを処理またはその他のアクションのために別のアプリケーションまたはサービスに送信するルールを作成できます。特定の基準を満たすイベントのみを送信するようにルールを調整できます。そのためには、から導き出された条件を指定します。EventBridge調査結果のイベントスキーマ

たとえば、特定のタイプの新しい調査結果を AWS Lambda 関数に送信するルールを作成できます。次に、Lambda 関数は、データを処理して SIEM システムへ送信する、特定のタイプのサーバー側の暗号化を適用する、オブジェクトのアクセスコントロールリスト (ACL) を変更して S3 オブジェクトに自動的にアクセスコントロールリスト (ACL) を変更して S3 オブジェクトに自動的にアクセスコントロールリスト (ACL) を適用するなどのタスクを実行できます。あるいは、新しい高い重要度の調査結果を Amazon SNS トピックに自動的に送信するルールを作成します。これにより、インシデント対応チームに結果を通知することができます。

Lambda 関数の呼び出しと Amazon SNS トピックの通知に加えて、Amazon Kinesis Streamsへのイベントの中継、AWS Step Functionsステートマシンを起動、run commandを呼び出しなど、EventBridge他のタイプのターゲットやアクションもサポートしています。AWS Systems Managerサポートされているターゲットの詳細については、Amazon EventBridgeユーザーガイドの「Amazon EventBridge ターゲット」を参照してください。

調査結果の Amazon EventBridge ルールの作成

以下の手順では、Amazon EventBridge コンソールと AWS Command Line Interface(AWS CLI) を使用して Amazon Macie EventBridge の検索結果のルールを作成する方法について説明します。ルールは、Macie EventBridge 調査結果のイベントスキーマとパターンを使用するイベントを検出して、それらのイベントを処理のためにAWS Lambda関数に送信します。

AWS Lambda はサーバーをプロビジョニングしたり管理しなくてもコードを実行するために使用できるコンピューティングサービスです。コードをパッケージ化し、[Lambda 関数] としてAWS Lambdaにアップロードします。関数が呼び出されるとAWS Lambdaは関数を実行します。関数は、ユーザーが手動で呼び出したり、イベントに応答して自動的に呼び出したり、またはアプリケーションやサービスからのリクエストに応答したりすることができます。Lambda 関数の作成および呼び出しについては、 AWS Lambda 開発者ガイドを参照してください。

Console

この手順では、Amazon EventBridge コンソールを使用して、すべての Macie 調査結果イベントを処理のために Lambda 関数に自動的に送信するルールを作成する方法について説明します。このルールは、特定のイベントを受信したときに実行されるルールのデフォルト設定を使用します。ルール設定の詳細やカスタム設定を使用するルールの作成方法については、Amazon EventBridge ユーザーガイドのイベントに対応するルールの作成」を参照してください。

ヒント

カスタムパターンを使用して、Macie 調査結果イベントのサブセットのみを検出して処理するルールを作成することもできます。このサブセットは、Macie が調査結果イベントに含める特定のフィールドに基づいて作成できます。使用可能なフィールドについては、「EventBridge調査結果のイベントスキーマ」を参照してください。このタイプのルールを作成する方法については、Amazon EventBridge ユーザーガイドのイベントパターンでのコンテンツフィルタ」を参照してください。

このルールを作成する前に、Lambda 関数を作成して、ルールがターゲットとして使用されるようにします。ルールを作成するときは、この関数をルールのターゲットとして指定する必要があります。

コンソールを使用してイベントのルールを作成するには

  1. https://console.aws.amazon.com/events/ で Amazon EventBridge コンソールを開きます。

  2. ナビゲーションペインの [イベント] で、[ルール] を選択します。

  3. [Rules (ルール)] セクションで、[Create Rule (ルールの作成)] を選択します。

  4. [ルールの定義] ページで、次の操作を行います。

    • [名前] にルールの名前を入力します。

    • (オプション) [説明] に、ルールの簡潔な説明を入力します。

    • イベントバスについてはデフォルトが選択されていることを確認し選択したイベントバスでルールを有効にするがオンになっていることを確認します

    • [Rule type] (ルールタイプ) では、[Rule with an event pattern] (イベントパターンを持つルール) を選択します。

  5. 終了したら、[次へ] を選択します。

  6. [Build] ページで、次の操作を行います。

    • [イベントソース] で、[AWSイベント] または [EventBridgeパートナー] を選択します。

    • (オプション) サンプルイベントについては、Macie のサンプル検索イベントを確認して、イベントに含まれる可能性がある内容を確認してください。これを行うには、AWSイベントを選択します。次に、「サンプルイベント」で「Macie Finding」を選択します。

    • [Event pattern] (イベントパターン) で、[Event pattern form] (イベントパターンフォーム) を選択します。次に、以下の設定を入力します。

      • [イベントソース] で [AWS のサービス] を選択します。

      • にはAWS のサービスMacie と入力します

      • [イベントタイプ] に Macie Finding と入力します。

  7. 終了したら、[次へ] を選択します。

  8. [ターゲットの選択] ページで、次の操作を行います。

    • [Target types] (ターゲットタイプ) には、[AWS のサービス] を選択します。

    • ターゲットを選択するにはLambda 関数を入力します。次に、関数で、調査結果イベントの送信先の Lambda 関数を選択します。

    • [Configure version/alias] (バージョン/エイリアスを設定) で、ターゲットの Lambda 関数のバージョンとエイリアスの設定を入力します。

    • (オプション) [その他の設定] で、Lambda 関数に送信するイベントデータを指定するカスタム設定を入力します。関数に正常に配信されないイベントを処理する方法を指定することもできます。

  9. 終了したら、[次へ] を選択します。

  10. [Configure] ページで、ルールに割り当てる 1 つ以上のタグを入力する。続いて、[Next] (次へ) を選択します。

  11. [Review and] ページでルールの設定を確認し、それらが正しいことを検証します。

    設定を変更するには、設定が含まれるセクションで [Edit] (編集) を選択し、次に正しい設定を入力します。ナビゲーションタブを使用して、設定が含まれるページに移動することもできます。

  12. 設定の確認が完了したら、[ルールを作成] を選択します。

AWS CLI

この手順では、を使用して、すべての Macie 調査結果イベントを処理のために Lambda EventBridge 関数に送信するルールを作成する方法について説明します。AWS CLIこのルールは、特定のイベントを受信したときに実行されるルールのデフォルト設定を使用します。手順では、Microsoft Windows 用にコマンドがフォーマットされています。Linux、macOS、または Unix では、キャレット (^) 行連結文字をバックスラッシュ (\) に置き換えます。

このルールを作成する前に、Lambda 関数を作成して、ルールがターゲットとして使用されるようにします。関数を作成するときは、関数の Amazon リソースネーム (ARN) を書き留めておきます。ルールのターゲットを指定するときに、この ARN を入力する必要があります。

AWS CLI を使用してイベントルールを作成するには

  1. Macie が公開するすべての調査結果のイベントを検出するルールを作成します。EventBridgeこれを行うには、EventBridge put-rule コマンドを使用します。例: 

    C:\> aws events put-rule ^
--name MacieFindings ^
--event-pattern "{\"source\":[\"aws.macie\"]}"

    MacieFindingsルールに付ける名前はどこですか。

    コマンドが正常に実行された場合は、EventBridgeルールの ARN を使用して応答します。この ARN をメモします。それをステップ 3 で入力する必要があります。

    ヒント

    カスタムパターンを使用して、Macie 調査結果イベントのサブセットのみを検出して処理するルールを作成することもできます。このサブセットは、Macie が調査結果イベントに含める特定のフィールドに基づいて作成できます。使用可能なフィールドについては、「EventBridge調査結果のイベントスキーマ」を参照してください。このタイプのルールを作成する方法については、Amazon EventBridge ユーザーガイドのイベントパターンでのコンテンツフィルタ」を参照してください。

  2. ルールのターゲットとして使用する Lambda 関数を指定します。これを行うには、EventBridge put-targets コマンドを使用します。例: 

    C:\> aws events put-targets ^
--rule MacieFindings ^
--targets Id=1,Arn=arn:aws:lambda:regionalEndpoint:accountID:function:my-findings-function

    ステップ 1 でルールに指定した名前で、Arnパラメータの値は、ルールでターゲットとして使用する関数の ARN です。MacieFindings

  3. ルールがターゲット Lambda 関数を呼び出すことを許可する権限を追加します。これを行うには、Lambda 追加権限コマンドを使用します。例: 

    C:\> aws lambda add-permission ^
--function-name my-findings-function ^
--statement-id Sid ^
--action lambda:InvokeFunction ^
--principal events.amazonaws.com ^
--source-arn arn:aws:events:regionalEndpoint:accountId:rule:MacieFindings

    実行する条件は以下のとおりです。

    • my-findings-functionは、ルールがターゲットとして使用する Lambda 関数の名前です。

    • Sid は、Lambda 関数ポリシーでステートメントを記述するために定義するステートメント識別子です。

    • source-arnEventBridgeルールの ARN です。

    コマンドが正常に実行された場合は、次のような出力が表示されます。

    {
  "Statement": "{\"Sid\":\"sid\",
    \"Effect\":\"Allow\",
    \"Principal\":{\"Service\":\"events.amazonaws.com\"},
    \"Action\":\"lambda:InvokeFunction\",
    \"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:my-findings-function\",
    \"Condition\":
      {\"ArnLike\":
        {\"AWS:SourceArn\":
         \"arn:aws:events:us-east-1:111122223333:rule/MacieFindings\"}}}"
}

    Statement 値は、Lambda 関数ポリシーに追加されたステートメントの JSON 文字列バージョンです。