はじめに

AWS re:Invent 2022開催中ですね。
Lambda SnapStartなどの注目の新しいサービスや機能が続々と発表される中、ひっそりと(?)発表されたAutomated Data Discovery for Amazon Macieを試します。
どういうものかというと、Amazon S3上に機密データが存在するかを自動検知してくれるセキュリティ機能です。
https://aws.amazon.com/jp/blogs/aws/automated-data-discovery-for-amazon-macie/

Amazon Macie自体は以前からあったサービスですが、今回自動検知機能が追加になって格段に使いやすくなっています。

早速使ってみる

機能の有効化

使い方はとても簡単です。
Amazon Macieの設定に自動検出という項目が増えているので、有効化します。以上です。

結果を確認する

しばらく待つと概要ページやS3バケットのページで結果を確認できます。
（以下のキャプチャは分析が終わってないので中途半端な状態です。）

機密情報が検知され問題があるバケットが見つかると、赤くなってその内容を通知してくれるようです。残念なことに(?)スキャンが完了したバケットは問題がなかったようで、どういう表示になるのか確認できませんでした。後日テスト用の環境を使って試したいと思います。

結果を通知する

結果をEventBridgeで拾って、SNSを使って通知することが出来ます。GuardDutyと同様にEventBridge→SNS→Chatbot→Slackと通知すると使い勝手が良さそうです。もちろんSNSからメールに送ることも出来ます。
現状、残念なこことに(?)手元の環境に機密情報を含むS3がなく、通知をあげることが出来ません。後日テスト用の環境を使って試したいと思います。

最後に

とりあえずONにするだけで使える便利なセキュリティ機能です。今後はコスト面の問題がなければ、GuardDutyとセットでMacieによる自動検知をONにするのを標準にするのが良さそうです。

記事が短くて内容も中途半端ですが、速報ということで勘弁してください。

数日後、追記

検知されました！

数日経ったら、S3の検知が終わったらしく、いくつか検知されていました。

通知を作りました!

実際に検知されたので、これは活用したほうがよいな。。。
ということで、EventBridgeでルールを作りました。流石にLowは無視でもいいだろうと判断して、Medium以上を検知させます。

{
  "source": ["aws.macie"],
  "detail-type": ["Macie Finding"],
  "detail": {
    "severity": {
      "score": [2, 3],
      "description": ["Medium", "High"]
    }
  }
}

宛先はSNS経由でChatbotを通ってSlackです。

S3にテスト用のダミーのcredentialファイルを置いたので、実際に通知が来たらまた追記します。

通知が、来ました

だいたい2日くらいで検知されて、slackに通知が飛んできました！