Amazon Macie 與 Amazon 集成 EventBridge - Amazon Macie
使用 EventBridge建立發現項目的 EventBridge 規則

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon Macie 與 Amazon 集成 EventBridge

Amazon EventBridge,以前是 Amazon CloudWatch 活動,是一種無服務器事件總線服務。 EventBridge 從應用程式和服務交付即時資料串流,並將資料路由到 AWS Lambda 功能、Amazon 簡單通知服務 (AmazonSNS) 主題和 Amazon Kinesis 串流等目標。若要進一步了解EventBridge,請參閱 Amazon EventBridge 使用者指南

使用 EventBridge,您可以自動監視和處理特定類型的事件。這包括 Amazon Macie 針對新政策發現和敏感資料發現自動發佈的事件。這也包括 Macie 為後續發現的現有策略發現項目自動發佈的事件。如需 Macie 如何及何時發佈這些事件的詳細資訊,請參閱設定發現項目的發行設定

透過使用 EventBridge 和 Macie 針對發現項目發佈的事件,您可以近乎即時地監視和處理發現項目。然後,您可以使用其他應用程序和服務根據發現採取行動。例如,您可 EventBridge 以使用將特定類型的新發現項目傳送至 AWS Lambda 函數。然後 Lambda 函數可能會處理資料,並將其傳送至您的安全事件和事件管理 (SIEM) 系統。如果您將「使用AWS者通知」與 Macie 整合,您也可以使用事件,透過您指定的傳送管道自動通知發現項目。

除了自動化監控和處理之外,使用的還 EventBridge 可以長期保留您的發現項目資料。瑪西存儲 90 天的發現。使用時 EventBridge,您可以將發現結果資料傳送至您偏好的儲存平台,並且只要您喜歡的時間就可以儲存資料。

注意

對於長期保留,也請將 Macie 設定為將敏感資料探索結果存放在 S3 儲存貯體中。敏感資料探索結果是記錄 Macie 在 S3 物件上執行的分析詳細資料的記錄,以判斷物件是否包含敏感資料。如需進一步了解,請參閱儲存及保留敏感資料探索結果

與 Amazon 合作 EventBridge

使用 Amazon EventBridge,您可以建立規則來指定要監控的事件,以及要針對這些事件執行自動動作的目標。目標是 EventBridge 將事件傳送至的目的地。

若要自動監控和處理發現項目的任務,您可以建立自動偵測 Amazon Macie 尋找事件的 EventBridge 規則,並將這些事件傳送到另一個應用程式或服務以進行處理或其他動作。您可以自訂規則,以僅傳送符合特定條件的事件。若要執行此操作,請指定衍生自EventBridge 發現項目的事件綱要

例如,您可以建立將特定類型的新發現項目傳送至 AWS Lambda 函數的規則。然後 Lambda 函數可以執行以下任務:處理資料並將其傳送到您的SIEM系統;自動將特定類型的伺服器端加密套用至 S3 物件;或透過變更物件的存取控制清單 (ACL) 來限制 S3 物件的存取。或者,您可以建立一個規則,自動將新的高嚴重性發現項目傳送至 Amazon SNS 主題,然後通知您的事件回應團隊有關發現項目的資訊。

除了叫用 Lambda 函數和通知 Amazon SNS 主題外,還 EventBridge 支援其他類型的目標和動作,例如將事件轉送到 Amazon Kinesis 串流、啟用 AWS Step Functions 狀態機器以及叫用執行命令。 AWS Systems Manager 如需支援目標的相關資訊,請參閱 Amazon EventBridge 使用者指南中的 Amazon EventBridge 目標

為發現項目建立 Amazon EventBridge 規則

下列程序說明如何使用 Amazon EventBridge 主控台和 AWS Command Line Interface (AWS CLI) 為 Amazon Macie 發現項目建立 EventBridge 規則。此規則會偵測使用 EventBridge事件結構描述和 Macie 發現項目模式的事件,並將這些事件傳送至 AWS Lambda 函數進行處理。

AWS Lambda 是一種運算服務,您可以用來執行程式碼,而無需佈建或管理伺服器。您可以封裝程式碼並以 Lambda 函數的 AWS Lambda 形式上傳至。 AWS Lambda 然後在調用函數時運行該函數。函數可由您人工呼叫,可以自動回應事件,或回應應用程式或服務的請求。如需建立並調用 Lambda 函數的相關資訊,請參閱AWS Lambda 開發人員指南

Console

此程序說明如何使用 Amazon EventBridge 主控台建立自動將所有 Macie 發現事件傳送至 Lambda 函數進行處理的規則。此規則會針對接收到特定事件時執行的規則使用預設設定。如需規則設定的詳細資訊,或瞭解如何建立使用自訂設定的規則,請參閱 Amazon 使用 EventBridge者指南中的建立對事件做出反應的規則。

提示

您也可以建立使用自訂模式的規則,以偵測並僅針對 Macie 尋找事件的子集執行動作。此子集可以根據 Macie 在尋找事件中包含的特定欄位為基礎。若要瞭解可用欄位,請參閱EventBridge 發現項目的事件綱要。若要了解如何建立此類規則,請參閱 Amazon EventBridge 使用者指南中的事件模式中的內容篩選

在建立此規則之前,請先建立您希望規則做為目標使用的 Lambda 函數。在建立規則時,您需要將此函數指定為該規則的目標。

使用控制台建立事件規則

  1. 在打開 Amazon EventBridge 控制台https://console.aws.amazon.com/events/

  2. 在導覽窗格的 Events (事件) 下,選擇 Rules (規則)。

  3. Rules (規則) 區段中,選擇 Create Rule (建立規則)。

  4. 在「定義規則詳細資訊」頁面上,執行下列動作:

    • 對於 Name (名稱),請輸入規則的名稱。

    • (選擇性) 在說明中,輸入規則的簡短說明。

    • 對於事件匯流排,請確定已選取預設值,並開啟在選取的事件匯流排上啟用規則

    • 針對規則類型,選擇具有事件模式的規則

  5. 完成後,請選擇下一步

  6. 在 [建置事件模式] 頁面上,執行下列動作:

    • 對於事件來源,請選擇AWS 事件或 EventBridge合作夥伴

    • (選擇性) 對於範例事件,請檢閱 Macie 的範例尋找事件,以瞭解事件可能包含的內容。要做到這一點,選擇AWS 事件。然後,針對範例事件,選擇「Macie 尋找」。

    • 針對事件模式,選擇事件模式表單。然後輸入下列設定:

      • Event source (事件來源),選擇 AWS 服務

      • 對於 AWS 服務,輸入馬西

      • 針對「事件類型」,輸入 Macie 搜尋結果。

  7. 完成後,請選擇下一步

  8. 「選取目標」 頁面上,執行下列動作:

    • 對於 Target types (目標類型),選擇 AWS 服務

    • 對於選取目標,輸入 Lambda 函數。然後,針對「函數」,選擇您要傳送尋找事件的 Lambda 函數。

    • 在設定版本/別名中,輸入目標 Lambda 函數的版本和別名設定。

    • (選擇性) 對於其他設定,請輸入自訂設定以指定要傳送至 Lambda 函數的事件資料。您也可以指定如何處理未成功傳遞至函數的事件。

  9. 完成後,請選擇下一步

  10. [設定標記] 頁面上,選擇性地輸入要指派給規則的一或多個標記。然後選擇下一步

  11. 在 [檢閱和建立] 頁面上,檢閱規則的設定並確認其正確無誤。

    若要變更設定,請在包含設定的區段中選擇 [編輯],然後輸入正確的設定。您也可以使用導覽索引標籤移至包含設定的頁面。

  12. 完成驗證設定後,請選擇 [建立規則]。

AWS CLI

此程序說明如何使用建立 AWS CLI 將所有 Macie 尋找事件傳送至 Lambda 函數進行處理的 EventBridge 規則。此規則會針對接收到特定事件時執行的規則使用預設設定。在該過程中,這些命令被格式化為 Microsoft 視窗。如果是 Linux、macOS 或 Unix,請以反斜線 (\) 取代插入符號 (^) 行接續字元。

在建立此規則之前,請先建立您希望規則做為目標使用的 Lambda 函數。建立函數時,請注意函數的 Amazon 資源名稱 (ARN)。當您指定規則的目標ARN時,您必須輸入此項。

若要使用建立事件規則 AWS CLI

  1. 建立一個規則,以偵測 Macie 發佈至 EventBridge的所有發現項目的事件。若要這麼做,請使用 EventBridge put-rule 指令。例如:

    C:\> aws events put-rule ^
--name MacieFindings ^
--event-pattern "{\"source\":[\"aws.macie\"]}"

    位置 MacieFindings 是您要用於規則的名稱。

    如果命令執行成功,請使用規則ARN的 EventBridge 回應。請注意這一點ARN。您需要在步驟 3 輸入此名稱。

    提示

    您也可以建立使用自訂模式的規則,以偵測並僅針對 Macie 尋找事件的子集執行動作。此子集可以根據 Macie 在尋找事件中包含的特定欄位為基礎。若要瞭解可用欄位,請參閱EventBridge 發現項目的事件綱要。若要了解如何建立此類規則,請參閱 Amazon EventBridge 使用者指南中的事件模式中的內容篩選

  2. 指定要用作規則目標的 Lambda 函數。若要執行這項操作,請使用 EventBridge 放置目標指令。例如:

    C:\> aws events put-targets ^
--rule MacieFindings ^
--targets Id=1,Arn=arn:aws:lambda:regionalEndpoint:accountID:function:my-findings-function

    位置 MacieFindings 是您在步驟 1 中為規則指定的名稱,而Arn參數值是您希望規則用作目標ARN之函數的名稱。

  3. 新增允許規則呼叫目標 Lambda 函數的權限。若要這麼做,請使用 Lambda 新增權限命令。例如:

    C:\> aws lambda add-permission ^
--function-name my-findings-function ^
--statement-id Sid ^
--action lambda:InvokeFunction ^
--principal events.amazonaws.com ^
--source-arn arn:aws:events:regionalEndpoint:accountId:rule:MacieFindings

    其中:

    • my-findings-function 是您希望規則用作目標的 Lambda 函數名稱。

    • Sid 是您定義用來描述 Lambda 函數政策中陳述式的陳述式識別碼。

    • source-arn是ARN規 EventBridge則的。

    如果命令執行成功,您會收到類似下列內容的輸出:

    {
  "Statement": "{\"Sid\":\"sid\",
    \"Effect\":\"Allow\",
    \"Principal\":{\"Service\":\"events.amazonaws.com\"},
    \"Action\":\"lambda:InvokeFunction\",
    \"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:my-findings-function\",
    \"Condition\":
      {\"ArnLike\":
        {\"AWS:SourceArn\":
         \"arn:aws:events:us-east-1:111122223333:rule/MacieFindings\"}}}"
}

    Statement值是新增至 Lambda 函數政策之陳述式的JSON字串版本。