本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
亚马逊 Macie 与AWS用户通知集成
AWS用户通知是一项服务,可充当您在上发布 AWS 通知的中心位置 AWS Management Console。这包括诸如 Amazon CloudWatch 警报、 AWS Support 案例和其他人的通信之类的通知 AWS 服务。借助 “用户通知”,您可以配置自定义规则和发送渠道,以接收有关某些类型的 Amazon EventBridge 事件的通知。交付渠道包括电子邮件、 AWS Chatbot 聊天通知和 AWS Console Mobile Application 推送通知。您还可以在AWS用户通知控制台上查看通知。要了解有关用户通知的更多信息,请参阅《AWS用户通知用户指南》。
Macie 与AWS用户通知集成,这意味着您可以将用户通知配置为通知 Macie 发布的事件以 EventBridge 获取策略和敏感数据发现。如果调查发现符合您指定的标准,则用户通知服务会生成通知。该通知包括相关调查发现的关键细节,例如调查发现的类型和严重性,以及受影响资源的名称。用户通知服务还可将通知发送至您指定的一个或多个传递通道。您可以根据您的安全和合规工作流程,自定义选择传递通道。
例如,您可配置用户通知服务,以生成关于特定类型的新建、高严重性调查发现通知。您也可以将这些通知指定 AWS Chatbot 为传递渠道。然后,用户通知会检测发现 EventBridge 的事件,生成包含发现结果数据的通知,并将通知发送到 AWS Chatbot。 AWS Chatbot 然后,可能会将通知发送到 Slack 频道或 Amazon Chime 聊天室以通知您的事件响应团队。
处理AWS用户通知
通过AWS用户通知,您可以创建规则来指定要监控和接收通知的 Amazon EventBridge 事件类型。规则定义了 EventBridge 事件必须匹配才能生成通知的标准。您也可以选择一个或多个规则传递通道。传递通道是指您想要按规则条件接收事件通知的位置。
如果 “用户通知” 检测到符合规则标准 EventBridge 的事件,则它会执行以下常规任务:
-
从事件中提取数据子集。
-
生成包含提取数据的通知。
-
将通知发送至指定类型的事件传递通道。
通知的设计和结构针对每个目标传递通道进行了优化。
若要管理收到通知的频率或数量,您可以为规则配置聚合设置。如果您启用此设置,则用户通知服务会将多个事件的数据合并至一个通知中。严重性较高的调查发现事件,您可选择快速、频繁地发送聚合事件通知。或者对于严重性较低的调查发现事件,您可选择降低发送频率以减少收到的通知数量。如果您合并事件数据,则可以使用AWS用户通知控制台向下钻取以查看每个聚合事件的详细信息。您还可在此导航至 Amazon Macie 控制台上的每个相关调查发现信息。
启用和配置 Amazon Macie 调查结果的AWS用户通知
要让 “AWS用户通知” 能够为 Amazon Macie 的发现生成通知,请在用户通知中为 Macie 创建通知配置。通知配置指定规则标准。它还指定配送渠道和其他设置,用于监控和发送符合规则标准的亚马逊 EventBridge 事件的通知。有关创建通知配置的详细信息,请参阅《AWS用户通知用户指南》中的AWS用户通知入门。
要为 Macie 调查发现创建通知配置,请选择以下事件规则选项:
-
对于 AWS 服务 名称,请选择 Macie。
-
对于 事件类型,选择 Macie 调查发现。
-
对于区域,选择您使用 Macie 并希望收到调查结果通知的每个 AWS 区域 区域。
使用此配置,用户通知会监控您的 EventBridge 事件, AWS 账户 并针对您所选区域中的所有 Macie 查找事件生成通知。事件匹配以下条件:
-
source
equalsaws.macie
-
detail-type
equalsMacie Finding
事件规则的基本JSON模式是:
{ "source": ["aws.macie"], "detail-type": ["Macie Finding"] }
要完善规则并仅针对部分发现结果生成通知,您可以自定义规则的JSON模式。为此,请为 Macie 的发现指定从EventBridge 事件架构中派生的其他标准。
如果您创建使用自定义JSON模式的规则,则可以为 Macie 的发现结果创建多个通知配置。然后,您可以为每种配置自定义传递通道和其他设置,使其与针对特定调查发现类型的安全和合规工作流程保持一致。
例如,您可创建一个规则,当 Macie 生成或更新 Policy:IAMUser/S3BucketPublic 调查发现时通知您。在这种情况下,规则模式可能是:
{ "source": ["aws.macie"], "detail-type": ["Macie Finding"], "detail": { "type": ["Policy:IAMUser/S3BucketPublic"] } }
您还可可以创建另一条规则,在 Macie 为可公开访问的 S3 存储桶生成敏感数据调查发现时通知您。在这种情况下,规则模式可能是:
{ "source": ["aws.macie"], "detail-type": ["Macie Finding"], "detail": { "type": [ { "prefix": "SensitiveData" } ], "resourcesAffected": { "effectivePermission": ["PUBLIC"] } } }
如果您为 Macie 调查发现创建了多个通知配置,则最好确保每项配置规则的唯一性。否则,您可能会收到有关个别调查发现的重复通知。
要了解有关为规则自定义事件模式的更多信息,请参阅《AWS用户通知用户指南》中的使用自定义JSON事件模式。
将 AWS “用户通知” 字段映射到 Amazon Macie 查找字段
当AWS用户通知针对 Amazon Macie 的发现生成通知时,它会使用来自相应亚马逊事件中部分字段的数据填充通知。 EventBridge 此字段包括相关调查发现的关键细节,例如调查发现的类型和严重性以及受影响资源的名称。
如果您在AWS用户通知控制台上查看通知,则该通知将包含该字段子集的所有数据。此外还提供了指向 Amazon Macie 控制台上的相关调查发现的链接。如果您通过其他传递通道查看该通知,则可能仅包含部分字段数据。原因是用户通知服务会自定义通知的设计和结构,以适应其所支持的每种类型传递通道。
下表列出了调查发现通知中可能包含的字段。在表中,通知字段列描述(斜体)或表示通知中字段的名称。“查找结果” 事件字段列使用点表示法来表示查找结果 EventBridge 的事件中相应JSON字段的名称。描述列描述了存储在此字段内的数据。
通知字段 | 调查发现事件字段 | 描述 |
---|---|---|
消息标题 |
|
结果类型。 例如: |
摘要 |
|
调查发现的简要描述 例如: |
描述 |
|
调查发现的完整描述 例如: |
严重性 |
|
调查发现严重程度的定性表示: |
调查发现 ID |
|
调查发现的唯一标识符。 |
创建时间 |
|
Macie 创建调查发现的日期和时间。 |
已更新 |
|
Macie 最近更新调查发现的日期和时间。 对于敏感数据调查发现,此值与创建 ( |
受影响的 S3 存储桶 |
|
受影响的 S3 存储桶的 Amazon 资源名称 (ARN)。 |
受影响的 S3 对象 |
|
受影响的 S3 对象名称(密钥),包括存储对象和对象前缀(如适用)的存储桶名称。 此字段不包含在策略调查发现通知中。 |
敏感数据检测 |
AND 或 &&
|
这串联了事件中的多个字段,用于敏感数据的调查发现。此字段不包含在策略调查发现通知中。 如果托管数据标识符检测到敏感数据,则此字段指定所检测到的敏感数据的类别、类型和出现次数 ( 如果自定义数据标识符检测到敏感数据,则此字段指定自定义数据标识符的名称,以及检测到的敏感数据出现次数 ( 如果调查发现报告多种类型敏感数据,则通知包含最多四类数据。数据中首先填充适当的自定义标识符,然后填充适当的托管数据标识符。 |
更改 Amazon Macie 调查结果的AWS用户通知设置
您可以随时更改 Amazon Macie 调查结果的AWS用户通知设置。为此,请在用户通知服务中编辑通知配置。要了解操作方法,请参阅《用户通知AWS用户指南》中的管理通知配置。
如果您的 Macie 调查发现包含多种通知配置,则更改一项通知配置不会影响其他配置设置。您可以编辑全部或部分配置。
禁用亚马逊 Macie 调查结果的AWS用户通知
要停止生成和接收来自 Amazon Macie AWS 用户通知结果的通知,请删除 “用户通知” 中的通知配置。要了解操作方法,请参阅《用户通知AWS用户指南》中的管理通知配置。
如果您的 Macie 调查发现包含多种通知配置,则删除一项通知配置不会影响其他配置设置。您可以删除全部或部分配置。