Amazon Macie の AWS User Notifications との統合 - Amazon Macie

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Macie の AWS User Notifications との統合

AWS User Notifications は、AWS Management Console での AWS 通知を一元的に管理するサービスです。これには、Amazon CloudWatch のアラーム、AWS Support ケース、他のユーザーからの通信などの通知が含まれます。AWS のサービスユーザー通知では、特定の種類の Amazon EventBridge イベントに関する通知を受信するためのカスタムルールと配信チャネルを設定できます。配信チャネルには、E メール、AWS Chatbot チャット通知、AWS Console Mobile Application プッシュ通知が含まれます。AWS User Notifications コンソールで通知を確認することもできます。ユーザー通知の詳細については、AWS User Notifications ユーザーガイドを参照してください。

Macie は AWS User Notifications と統合されているため、ポリシーや機密データの検出結果について Macie が EventBridge に公開するイベントを通知するようにユーザー通知を設定できます。検索イベントが指定した条件に一致すると、ユーザー通知によって通知が生成されます。通知には、検出結果のタイプや重要度、影響を受けるリソースの名前など、関連する結果の重要な詳細が含まれます。ユーザー通知は、指定した 1 つ以上の配信チャネルに通知を送信することもできます。セキュリティとコンプライアンスのワークフローに合わせて、選択した配信チャネルを調整できます。

たとえば、特定のタイプの新しい重要度の高い検出結果に関する通知を生成するようにユーザー通知を設定できます。また、これらの通知の配信チャネルとして AWS Chatbot を指定することもできます。次に、ユーザー通知は結果の EventBridge イベントを検出し、結果からのデータを含む通知を生成し、通知を AWS Chatbot に送信します。その後、AWS Chatbot は通知を Slack チャネルまたは Amazon Chime チャットルームに転送して、インシデント対応チームに通知します。

AWS User Notifications の使用

AWS User Notifications では、モニタリングし、通知を受信する Amazon EventBridge イベントのタイプを指定するルールを作成します。ルールは、通知を生成するために EventBridge イベントが一致しなければならない条件を定義します。ルールには 1 つ以上の配信チャネルを選択することもできます。配信チャネルでは、ルールの条件に一致するイベントの通知を受信する場所を指定します。

ユーザー通知がルールの条件に一致する EventBridge イベントを検出すると、次の一般的なタスクが実行されます。

  1. イベントからデータのサブネットを抽出します。

  2. 抽出されたデータを含む通知を生成します。

  3. そのタイプのイベント用に指定した配信チャネルに通知を送信します。

通知のデザインと構造は、送信先の配信チャネルごとに最適化されます。

受信する通知の頻度や数を制御するには、ルールの集計設定を設定できます。これらの設定を有効にすると、ユーザー通知は複数のイベントのデータを 1 つの通知にまとめます。集約されたイベント通知を迅速かつ頻繁に送信するように選択できます。これは、重要度の高いイベントを検索する場合に便利です。または、送信頻度を減らして受け取る通知の数を減らすこともできます。これは、重要度が低い検出イベントに対して行うとよいでしょう。イベントデータを組み合わせると、AWS User Notifications コンソールを使用して集計された各イベントの詳細をドリルダウンして確認できます。そこから、Amazon Macie コンソール上の関連する検出結果に移動することもできます。

Amazon Macie に関する AWS User Notifications の有効化と設定に関する検出結果

AWS User Notifications で Amazon Macie の検出結果に関する通知を生成できるようにするには、ユーザー通知で Macie の通知設定を作成します。通知設定はルールの基準を指定します。また、ルールの条件に一致する Amazon EventBridge イベントを監視して通知を送信するための配信チャネルやその他の設定も指定します。通知設定の作成の詳細については、AWS User Notifications ユーザーガイドの AWS User Notifications の使用開始を参照してください。

Macie の結果の通知設定を作成するには、イベントルールで以下のオプションを選択します。

  • AWS のサービスサービス名 では Macie を選択します。

  • イベントタイプ では、Macie の調査結果 を選択します。

  • リージョン では、Macie を使用していて、結果の通知を受け取りたい地域をそれぞれ AWS リージョン を選択します。

この設定では、ユーザー通知は AWS アカウント の EventBridge イベントを監視し、選択したリージョン内のすべての Macie Finding イベントに関する通知を生成します。イベントは、以下の条件に一致します。

  • sourceaws.macie

  • detail-typeMacie Finding

イベントルールの基になる JSON パターンは次のとおりです。

{ "source": ["aws.macie"], "detail-type": ["Macie Finding"] }

ルールを絞り込み、結果のサブセットのみの通知を生成するには、ルールの JSON パターンをカスタマイズできます。これを行うには、 Macie の調査結果の EventBridge イベントスキーマ から派生する基準を指定します。

カスタム JSON パターンを使用するルールを作成すると、Macie の結果に対して複数の通知設定を作成できます。その後、特定のタイプの調査結果のセキュリティとコンプライアンスのワークフローに合わせて、設定ごとに配信チャネルやその他の設定を調整できます。

たとえば、Macie がPolicy:IAMUser/S3BucketPublic検出結果を生成または更新した場合に通知する 1 つのルールを作成できます。この場合、ルールのパターンは次のようになります。

{ "source": ["aws.macie"], "detail-type": ["Macie Finding"], "detail": { "type": ["Policy:IAMUser/S3BucketPublic"] } }

また、Macie がパブリックにアクセス可能な S3 バケットの機密データ検出結果を生成した場合に通知する別のルールを作成することもできます。この場合、ルールのパターンは次のようになります。

{ "source": ["aws.macie"], "detail-type": ["Macie Finding"], "detail": { "type": [ { "prefix": "SensitiveData" } ], "resourcesAffected": { "effectivePermission": ["PUBLIC"] } } }

Macie の結果に対して複数の通知設定を作成する場合は、各設定のルールが固有であることを確認するとよいでしょう。それ以外の場合は、個別の検出結果の通知が重複する場合があります。

ルールのイベントパターンのカスタマイズについて詳しくは、User Notifications ユーザーガイドのカスタマイズされた JSON イベントパターンの使用を参照してください。

AWS User Notifications フィールドを Amazon Macie の検索フィールドにマッピングする

AWS User Notifications が Amazon Macie の検出結果に関する通知を生成すると、対応する Amazon EventBridge イベントのフィールドのサブセットからのデータが通知に入力されます。これらのフィールドには、結果のタイプや重大度、影響を受けるリソースの名前など、関連する結果の重要な詳細が表示されます。

AWS User Notifications コンソールで通知を確認すると、通知にはこのフィールドのサブセットのすべてのデータが含まれます。Amazon Macie コンソール内の関連する調査結果へのリンクも提供します。他の配信チャネルの通知を確認すると、その通知には一部のフィールドのデータしか含まれていない可能性があります。これは、ユーザー通知は、サポートする各タイプの配信チャネルに合わせて通知のデザインと構造を調整するためです。

以下のテーブルには、結果の通知に含まれる可能性のあるフィールドが一覧表示されます。このテーブルには、通知フィールド 列には、通知に含まれるフィールドの説明 (イタリック体) または名前を示しています。調査結果イベントフィールド の列は、EventBridge イベント内の対応する JSON フィールドの名前を示すために、ドット表記を使用します。説明列には、フィールドに保存されているデータが説明されています。

通知フィールド イベントフィールドの検索 説明

メッセージヘッドライン

detail.type

結果のタイプ。

たとえば、Policy:IAMUser/S3BucketPublicSensitiveData:S3Object/Financial などです。

概要

detail.title

検出結果の簡単な説明。

例: The S3 object contains financial information.

説明

detail.description

結果の詳細な説明

例: The S3 object contains financial information such as bank account numbers or credit card numbers.

緊急度

detail.severity.description

調査結果の重要度の定性的表現: LowMediumまたはHigh

検出結果 ID

detail.id

フィルターの一意の識別子。

作成

detail.createdAt

Macie が調査結果を作成した日時。

更新

detail.updatedAt

Macie が検出結果を直近に更新した日時。

機密データの調査結果では、この値は作成detail.createdAt日時フィールドの値と同じです。機密データの検出結果は、新規 (一意) とみなされます。

影響を受ける S3 バケット

detail.resourcesAffected.s3Bucket.arn

影響を受ける S3 バケットの Amazon リソースネーム (ARN)。

影響を受ける S3 オブジェクト

detail.resourcesAffected.s3Object.path

オブジェクトを格納するバケットの名前と、該当する場合はオブジェクトのプレフィックスが含む、影響を受けた S3 オブジェクトの名前キー。

このフィールドはポリシー検出結果の通知には含まれません。

機密データの検出

detail.classificationDetails.result.sensitiveData.detections...

And/Or

detail.classificationDetails.result.customDataIdentifiers.detections...

これは、機密データが見つかった場合のイベント内の複数のフィールドを連結したものです。このフィールドはポリシー検出結果の通知には含まれません。

マネージドデータ識別子が機密データを検出した場合、このフィールドには検出された機密データのカテゴリ、タイプ、および出現回数count を指定します。例: PERSONAL_INFORMATION: USA_SOCIAL_SECURITY_NUMBER 100 occurrences

カスタムデータ識別子が機密データを検出した場合、このフィールドにはカスタムデータ識別子の名前と検出された機密データの出現回数count を指定します。例: Employee ID 20 occurrences

結果から複数のタイプの機密データが報告される場合、通知には最大 4 種類のデータが含まれます。データは最初に該当するカスタムデータ識別子によって入力され、次に該当するマネージドデータ識別子によって入力されます。

Amazon Macie の検出結果に対する AWS User Notifications の設定を変更する

Amazon Macie 検出結果の AWS User Notifications 設定は、いつでも変更できます。そのためには、ユーザー通知設定を編集します。方法については、AWS User Notifications ユーザーガイドの通知設定の管理を参照してください。

Macie の検出結果に対して複数の通知設定がある場合、1 つの設定を変更しても他の設定の設定には影響しません。すべての設定を編集することも、一部の設定のみを編集することもできます。

Amazon Macie 検出結果に対する AWS User Notifications を無効化する

Amazon Macie の AWS User Notifications の検出結果からの通知の生成と受信を停止するには、ユーザー通知の通知設定を削除します。方法については、AWS User Notifications ユーザーガイドの通知設定の管理を参照してください。

Macie の結果に対して複数の通知設定がある場合、1 つの設定を削除しても他の設定には影響しません。すべての設定を削除することも、一部の設定のみを削除することもできます。