本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
查看和分析 Macie 调查发现
当 Amazon Macie 检测到潜在的违反策略或 Amazon Simple Storage Service (Amazon S3) 通用存储桶的安全或隐私问题,或者检测到 S3 对象中的敏感数据时,它会生成调查发现。调查发现是 Macie 发现的潜在问题或敏感数据的详细报告。每个调查发现都提供了严重性评级、有关受影响资源的信息以及其他详细信息,例如 Macie 何时以及如何发现问题或数据。Macie 会将您的策略和敏感数据调查发现存储 90 天。
您可以通过以下方法查看、分析和管理调查发现。
- Amazon Macie 控制台
-
Amazon Macie 控制台上的调查发现页面列出了您的调查发现,并提供了各个调查发现的详细信息。这些页面还提供用于对调查发现进行分组、筛选和排序以及创建和管理抑制规则的选项。抑制规则可以帮助您简化对调查发现的分析。
- Amazon Macie API
-
借助 Amazon Macie API,您可以使用AWS命令行工具或AWS软件开发工具包,或者直接向 Macie 发送 HTTPS 请求来查询和检索调查结果数据。要查询数据,您需要向 Amazon Macie API 提交请求,然后使用支持的参数来指定要检索哪些调查发现。提交请求后,Macie 将以 JSON 响应的形式返回结果。然后,您可以将结果传递给另一个服务或应用程序,以进行更深入的分析、长期存储或报告。有关更多信息,请参阅Amazon Macie API 参考资料。
- Amazon EventBridge
-
为了进一步支持与其他服务和系统(例如监控或事件管理系统)的集成,Macie 将调查结果 EventBridge 作为事件发布给 Amazon。 EventBridge(前身为 Amazon CloudWatch Events)是一种无服务器事件总线服务,可以从您自己的应用程序、软件即服务 (SaaS) 应用程序以及 Macie AWS 服务等提供实时数据流。它可以将这些数据路由到AWS Lambda函数、亚马逊简单通知服务主题和 Amazon Kinesis 流等目标,以进行额外的自动处理。使用 EventBridge 还有助于确保长期保留调查结果数据。要了解更多信息 EventBridge,请参阅 Amazon EventBridge 用户指南。
Macie 会自动将事件发布到以 EventBridge 获取新发现。它还为现有策略调查发现的后续事件自动发布事件。由于调查结果数据是按 EventBridge 事件结构的,因此您可以使用其他服务和工具更轻松地监控、分析和根据发现采取行动。例如,您可以使用自动将特定类型的新发现发送 EventBridge 到某个函数,该AWS Lambda功能反过来会处理数据并将其发送到您的安全事件和事件管理 (SIEM) 系统。如果您AWS 用户通知服务与 Macie 集成,还可以使用事件通过您指定的交付渠道自动收到有关发现的通知。要了解如何使用 EventBridge 事件来监控和处理调查结果,请参阅使用 Amazon 处理调查结果 EventBridge。
- AWS Security Hub CSPM
-
要对组织的安全态势进行更多、更广泛的分析,您也可以将调查发现发布到AWS Security Hub CSPM。Security Hub CSPM 是一项从安全解决方案收集安全数据AWS 服务和支持AWS Partner Network的安全解决方案的服务,可为您提供AWS整个环境中安全状态的全面视图。Security Hub CSPM 还可以帮助您根据安全行业标准和最佳实践检查您的环境。要了解有关 Security Hub CSPM 的更多信息,请参阅《AWS Security Hub用户指南》。要了解如何使用 Security Hub CSPM 来评估和处理调查结果,请参阅。使用AWS Security Hub CSPM评估调查发现
除了调查发现外,Macie 还会为 S3 对象创建敏感数据调查发现,并对其进行分析以发现敏感数据。敏感数据发现结果是关于对象分析的详细信息的记录。这包括 Macie 无法发现到敏感数据的对象,因此不会生成调查发现,以及 Macie 由于错误或问题而无法分析的对象。敏感数据发现结果为您提供分析记录,这些记录可能有助于数据隐私和保护审计或调查。您无法直接在 Amazon Macie 控制台或使用 Amazon Macie API 访问敏感数据发现结果。相反,您可以配置 Macie 将结果存储至 S3 存储桶内。然后,您可以选择访问和查询该存储桶中的结果。要了解如何配置 Macie 以存储结果,请参阅 存储和保留敏感数据发现结果。
