を使用した Amazon Macie API呼び出しのログ記録 AWS CloudTrail - Amazon Macie
の Macie 情報 CloudTrailMacie ログファイルエントリの概要

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を使用した Amazon Macie API呼び出しのログ記録 AWS CloudTrail

Amazon Macie は、ユーザー AWS CloudTrail、ロール、または別の によって Macie で実行されたアクションを記録するサービスである と統合されます AWS のサービス。 CloudTrail は Macie のすべてのAPI呼び出しをイベントとしてキャプチャします。キャプチャされた呼び出しには、Amazon Macie コンソールからの呼び出しとAmazon Macie APIオペレーションへのプログラムによる呼び出しが含まれます。

証跡を作成する場合は、Macie の CloudTrail イベントなど、Amazon Simple Storage Service (Amazon S3) バケットへのイベントの継続的な配信を有効にすることができます。証跡を設定しない場合でも、 AWS CloudTrail コンソールの [イベント履歴] を使用して最新のイベントを表示できます。によって収集された情報を使用して CloudTrail、Macie に対するリクエスト、リクエスト元の IP アドレス、リクエスト者、リクエスト日時などの詳細を確認できます。

の詳細については CloudTrail、「 AWS CloudTrail ユーザーガイド」を参照してください。

の Amazon Macie 情報 AWS CloudTrail

AWS CloudTrail アカウントを作成する AWS アカウント と、 は に対して有効になります。Amazon Macie でアクティビティが発生すると、そのアクティビティは CloudTrail イベント履歴 の他の AWS イベントとともにイベントに記録されます。 で最近のイベントを確認、検索、ダウンロードできます AWS アカウント。詳細については、「 ユーザーガイド」の CloudTrail 「イベント履歴の使用AWS CloudTrail 」を参照してください。

Macie のイベントなど AWS アカウント、 のイベントの継続的な記録については、証跡を作成します。証跡により CloudTrail 、 はログファイルを Amazon Simple Storage Service (Amazon S3) バケットに配信できます。デフォルトでは、 AWS CloudTrail コンソールを使用して証跡を作成するときに、証跡がすべての AWS リージョンに適用されます。証跡は、 AWS パーティション内のすべてのリージョンからのイベントをログに記録し、指定した S3 バケットにログファイルを配信します。さらに、他の を設定 AWS のサービス して、 CloudTrail ログで収集されたイベントデータをさらに分析し、それに基づく対応を行うことができます。詳細については、『AWS CloudTrail ユーザーガイド:』の以下のトピックを参照してください。

すべての Macie アクションは によってログに記録 CloudTrail され、Amazon Macie APIリファレンス に記載されています。例えば、CreateClassificationJob、、および ListFindingsアクションを呼び出すとDescribeBuckets、 CloudTrail ログファイルにエントリが生成されます。

各イベントまたはログエントリには、誰がリクエストを生成したかという情報が含まれます。アイデンティティ情報は、以下を判別するのに役立ちます:

  • リクエストがルートまたは AWS Identity and Access Management (IAM) ユーザー認証情報のどちらを使用して行われたか。

  • リクエストがロールまたはフェデレーションユーザーのテンポラリなセキュリティ認証情報を使用して行われたかどうか。

  • リクエストが、別の AWS のサービスによって送信されたかどうか。

詳細については、「 ユーザーガイド」の「 CloudTrail userIdentity要素AWS CloudTrail 」を参照してください。

Amazon Macie ログファイルエントリの概要

証跡は、指定した Amazon Simple Storage Service (Amazon S3) バケットにイベントをログファイルとして配信するように設定できます。イベントは任意のソースからの単一のリクエストを表し、リクエストされたアクション、アクションの日時、リクエストパラメータなどに関する情報が含まれます。 AWS CloudTrail ログファイルには、events. CloudTrail log の 1 つ以上のログエントリが含まれているため、パブリックAPIコールの順序付けられたスタックトレースではないため、特定の順序では表示されません。

次の例は、Amazon Macie アクションのイベントを示す CloudTrail ログエントリを示しています。ログエントリに含まれる可能性のある情報の詳細については、「 ユーザーガイド」の「 CloudTrail ログイベントリファレンスAWS CloudTrail 」を参照してください。

例: 検出結果の一覧表示

次の例は、Macie ListFindingsアクションのイベントを示す CloudTrail ログエントリを示しています。この例では、 AWS Identity and Access Management (IAM) ユーザー (Mary_Major) が Amazon Macie コンソールを使用して、アカウントの現在のポリシー検出結果に関する情報のサブセットを取得しました。

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "123456789012",
        "arn": "arn:aws:iam::123456789012:user/Mary_Major",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "Mary_Major",
        "sessionContext":{
            "attributes": {
                "creationdate": "2023-11-14T15:49:57Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-11-14T16:09:56Z",
    "eventSource": "macie2.amazonaws.com",
    "eventName": "ListFindings",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "198.51.100.1",
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36",
    "requestParameters": {
        "sortCriteria": {
            "attributeName": "updatedAt",
            "orderBy": "DESC"
        },
        "findingCriteria": {
            "criterion": {
                "archived": {
                    "eq": [
                        "false"
                    ]
                },
                "category": {
                    "eq": [
                        "POLICY"
                    ]
                }
            }
        },
        "maxResults": 25,
        "nextToken": ""
    },
    "responseElements": null,
    "requestID": "d58af6be-1115-4a41-91f8-ace03example",
    "eventID": "ad97fac5-f7cf-4ff9-9cf2-d0676example",
    "readOnly": true,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management"
}
例: 検出結果についての機密データのサンプルの取得

この例では、Macie が検出結果で報告した機密データのサンプルを取得して公開するためのイベントを示す CloudTrail ログエントリを示します。この例では、IAMユーザー (JohnDoe) が Amazon Macie コンソールを使用して機密データのサンプルを取得して公開しました。ユーザーの Macie アカウントは、機密データのサンプルを取得して公開するための IAM ロール (MacieReveal) を引き受けるように設定されています。

次のログイベントは、Macie GetSensitiveDataOccurrencesアクションを実行して機密データのサンプルを取得して公開するユーザーのリクエストに関する詳細を示しています。

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "UU4MH7OYK5ZCOAEXAMPLE:JohnDoe",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/JohnDoe",
        "accountId": "111122223333",
        "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "UU4MH7OYK5ZCOAEXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Admin",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-12-12T14:40:23Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-12-12T17:04:47Z",
    "eventSource": "macie2.amazonaws.com",
    "eventName": "GetSensitiveDataOccurrences",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "198.51.100.252",
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36",
    "requestParameters": {
        "findingId": "3ad9d8cd61c5c390bede45cd2example"
    },
    "responseElements": null,
    "requestID": "c30cb760-5102-47e7-88d8-ff2e8example",
    "eventID": "baf52d92-f9c3-431a-bfe8-71c81example",
    "readOnly": true,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

次のログイベントは、Macie の詳細を表示し、 (MacieReveal) AssumeRoleアクションを実行して、指定されたIAMロール AWS Security Token Service (AWS STS) を引き受けます。

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "reveal-samples.macie.amazonaws.com"
    },
    "eventTime": "2023-12-12T17:04:47Z",
    "eventSource": "sts.amazonaws.com",
    "eventName": "AssumeRole",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "reveal-samples.macie.amazonaws.com",
    "userAgent": "reveal-samples.macie.amazonaws.com",
    "requestParameters": {
        "roleArn": "arn:aws:iam::111122223333:role/MacieReveal",
        "roleSessionName": "RevealCrossAccount"
    },
    "responseElements": {
        "credentials": {
            "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
            "sessionToken": "XXYYaz...
EXAMPLE_SESSION_TOKEN
XXyYaZAz",
            "expiration": "Dec 12, 2023, 6:04:47 PM"
        },
        "assumedRoleUser": {
            "assumedRoleId": "AROAXOTKAROCSNEXAMPLE:RevealCrossAccount",
            "arn": "arn:aws:sts::111122223333:assumed-role/MacieReveal/RevealCrossAccount"
        }
    },
    "requestID": "d905cea8-2dcb-44c1-948e-19419example",
    "eventID": "74ee4d0c-932d-3332-87aa-8bcf3example",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::IAM::Role",
            "ARN": "arn:aws:iam::111122223333:role/MacieReveal"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}