Amazon Macie 調査結果の発行設定を設定する

他のアプリケーション、サービス、およびシステムとの統合をサポートするために、Amazon Macie はポリシーの調査結果と機密データの調査結果の両方をイベント EventBridge として Amazon に自動的に発行します。 EventBridge を使用して検出結果のモニタリングと処理を行う方法については、「」を参照してくださいAmazon Macie の Amazon EventBridge との統合。

アカウントの発行設定で指定した送信先オプションを使用して AWS Security Hub 、調査結果を自動的に に発行するように Macie を設定できます。これらのオプションを使用すると、ポリシーの調査結果のみ、機密データの調査結果のみ、またはポリシーと機密データの調査結果の両方を Security Hub に発行するように Macie を設定できます。また、Security Hub への調査結果の発行を停止するように Macie を設定することもできます。Security Hub を使用して調査結果のモニタリングと処理を行う方法の詳細については、Amazon Macie の AWS Security Hub との統合を参照してください。

ポリシーの調査結果では、Macie が別の AWS のサービス に調査結果を発行するタイミングは、調査結果が新規であるかどうか、およびアカウントに指定する発行頻度によって異なります。機密データの調査結果では、タイミングは常に即時です。Macie は、調査結果の処理が終了した直後に機密データの調査結果を発行します。ポリシーの検出結果とは異なり、すべての機密データの検出結果はすべて (一意) として処理されます。

Macie は、suppression rule (抑制ルール) によって自動的にアーカイブされるポリシーや機密データの調査結果を発行しないことに注意してください。つまり、Macie は抑制された調査結果を他の AWS のサービスに発行しません。

調査結果の発行先を選択する

Amazon Macie は、Amazon AWS Security Hub に加えて、ポリシーと機密データの検出結果を に自動的に発行するように設定できます EventBridge。デフォルトでは、Macie は新規および更新されたポリシーの調査結果のみを Security Hub に発行します。デフォルトの設定を変更または拡張するには、アカウントの発行先の設定を調整します。

送信先設定を調整するときは、Macie が Security Hub に発行する調査結果のカテゴリを選択します。ポリシーの調査結果のみ、機密データの調査結果のみ、またはポリシーと機密データの調査結果の両方を選択します。調査結果のカテゴリの Security Hub への発行を停止することもできます。

発行先の設定を変更した場合、変更は現在の AWS リージョンにのみ適用されます。ユーザーが組織の Macie 管理者である場合、変更は自分のアカウントにのみ適用されます。関連付けられているメンバーアカウントには適用されません。詳細については、複数のアカウントの管理を参照してください。

調査結果の発行先を選択するには

1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

2. ナビゲーションペインで 設定 を選択します。

3. Publication of findings (調査結果の発行) セクションの Destinations (発行先) の下で、次のオプションから選択します。

   • Security Hub へのポリシーの調査結果の発行 – このチェックボックスをオンにすると、新規および更新されたポリシーの調査結果を Security Hub に自動的に発行できるようになります。Security Hub への新規および更新されたポリシーの調査結果の発行を停止するには、このチェックボックスをオフにします。

     このチェックボックスをオンにして既存のポリシーの調査結果がある場合、Macie はそれらを Security Hub に自動的に公開しません。代わりに、Macie は変更を保存した後に作成または更新したポリシーの調査結果のみを公開します。

   • 機密データの調査結果を Security Hub に公開する — このチェックボックスをオンにすると、新しい機密データの検出結果を Security Hub に自動的に公開し始めます。Security Hub への新しい機密データの検出結果の発行を停止するには、このチェックボックスをオフにします。

     このチェックボックスをオンにして、既存の機密データの検出結果がある場合、Macie はそれらを Security Hub に自動的に公開しません。代わりに、Macie は変更を保存した後に作成した機密データの調査結果のみを公開します。

4. [保存] を選択します。

Security Hub に任意のカテゴリの結果を発行することを選択した場合は、現在のリージョンで Security Hub も有効にし、Macie からの結果を受け入れるように設定してください。そうしないと、Security Hub の調査結果にアクセスできなくなります。Security Hub で調査結果を受け入れる方法については、AWS Security Hub ユーザーガイドの製品統合の管理を参照してください。

調査結果の発行頻度を決定する

Amazon Macie では、各調査結果に一意の識別子があります。Macie はこの識別子を使用して、別の AWS のサービスに調査結果をいつ公開するかを決定します。

• New findings (新しい調査結果) — Macie が新しいポリシーまたは機密データの調査結果を作成すると、調査結果の処理の一部として一意の識別子が調査結果に割り当てられます。Macie が検出結果の処理を完了するとすぐに、検出結果を新しい Amazon EventBridge イベントとして公開します。アカウントの発行設定に応じて、Macie はその調査結果を新しい調査結果として AWS Security Hubでも発行します。

• 更新された調査結果 – Macie は、既存のポリシーの調査結果のその後の出現を検出すると、その後の出現に関する詳細を追加し、出現の数を増加させて、既存の調査結果を更新します。Macie はこれらの更新を既存の EventBridgeイベントに発行し、アカウントの発行設定に応じて、既存の Security Hub の検出結果にも発行します。Macie は、ポリシーの調査結果についてのみこれを行います。機密データの検出結果は、ポリシーの検出結果とは異なり、すべて新規 (一意) として処理されます。

  デフォルトでは、Macie は定期的な発行サイクルの一部として 15 分ごとに更新された調査結果を発行します。これは、最新の発行サイクル後に更新されたポリシーの調査結果はすべて保持され、必要に応じて再度更新され、次の発行サイクル (約 15 分後) に含まれることを意味します。このスケジュールを変更するには、別の発行頻度を選択します。たとえば、Macie が 1 時間ごとに更新された結果を発行するように設定し、発行が 12:00 に発生した場合は、12:00 以降に発生するすべての更新は 13:00 に発行されます。

これらのケースはいずれも、抑制ルール によって自動的にアーカイブされる調査結果には適用されないことに注意してください。Macie は抑制された検出結果を他の に公開しません AWS のサービス。

調査結果の発行頻度を変更する

Amazon Macie が他の の既存のポリシーの調査結果に更新を発行するために使用するスケジュールを変更できます AWS のサービス。デフォルトでは、Macie は 15 分ごとに更新された調査結果を発行します。このスケジュールを変更した場合、変更は現在の AWS リージョンにのみ適用されます。ユーザーが組織の Macie 管理者である場合、変更はリージョン内のすべての関連付けられたメンバーアカウントにも適用されます。詳細については、複数のアカウントの管理を参照してください。

更新された調査結果の発行頻度を変更するには

1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

2. ナビゲーションペインで 設定 を選択します。

3. 調査結果の発行 セクションの ポリシーの調査結果の更新頻度 の下で、Macie が更新されたポリシーの調査結果を他の AWS のサービスに発行する頻度を選択します。

4. 保存 を選択します。