Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Evaluación de los hallazgos de Macie con AWS Security Hub CSPM
AWS Security Hub CSPM es un servicio que le proporciona una visión completa de su postura de seguridad en todo su entorno y le ayuda a comprobar su AWS entorno con respecto a los estándares y las mejores prácticas del sector de la seguridad. Esto lo consigue, en parte, mediante el consumo, la agregación, la organización y la priorización de los hallazgos de varias soluciones Servicios de AWS de AWS Partner Network seguridad compatibles. Security Hub CSPM le ayuda a analizar sus tendencias de seguridad e identificar los problemas de seguridad más prioritarios. Con Security Hub CSPM, también puede agregar las conclusiones de varias regiones y, a continuación Regiones de AWS, evaluar y procesar todos los datos de las conclusiones agregadas de una sola región. Para obtener más información sobre Security Hub CSPM, consulte la Guía del AWS Security Hub usuario.
Amazon Macie se integra con Security Hub CSPM, lo que significa que puede publicar automáticamente los hallazgos de Macie en Security Hub CSPM. Luego, Security Hub CSPM puede incluir esos hallazgos en su análisis de su postura de seguridad. Además, puede usar Security Hub CSPM para evaluar y procesar las conclusiones sobre políticas y datos confidenciales como parte de un conjunto más amplio y agregado de datos de hallazgos para su AWS entorno. En otras palabras, puede evaluar los resultados de Macie y, al mismo tiempo, realizar análisis más amplios de la postura de seguridad de su organización y corregir los resultados según sea necesario. Security Hub CSPM reduce la complejidad de abordar grandes volúmenes de hallazgos de varios proveedores. Además, utiliza un formato estándar para todos los resultado, incluidos los de Macie. El uso de este formato, el AWS Security Finding Format (ASFF), elimina la necesidad de realizar esfuerzos de conversión de datos que consumen mucho tiempo.
Temas
Cómo publica Macie sus resultados en AWS Security Hub CSPM
En AWS Security Hub CSPM, los problemas de seguridad se rastrean como hallazgos. Algunos hallazgos provienen de problemas detectados por Servicios de AWS, como Amazon Macie, o por soluciones de AWS Partner Network seguridad compatibles. El CSPM de Security Hub también cuenta con un conjunto de reglas que utiliza para detectar problemas de seguridad y generar resultados.
Security Hub CSPM proporciona herramientas para gestionar los hallazgos de todas estas fuentes. Puede ver y filtrar listas de resultados y ver los detalles de un resultado en particular. Para obtener información sobre cómo hacerlo, consulte Revisar el historial y los detalles de las búsquedas en la Guía del AWS Security Hub usuario. También puede realizar un seguimiento del estado de una investigación de un resultado. Para obtener información sobre cómo hacerlo, consulte Configuración del estado de flujo de trabajo de los resultados en la Guía del usuario de AWS Security Hub.
Todos los resultados del CSPM de Security Hub utilizan un formato JSON estándar denominado AWS Security Finding Format (ASFF). El ASFF incluye detalles sobre el origen del problema, los recursos afectados y el estado actual del resultado. Para obtener más información, consulte AWS Security Finding Format (ASFF) en la Guía del usuario de AWS Security Hub.
Tipos de hallazgos que Macie publica en Security Hub (CSPM)
Según la configuración de publicación que elija para su cuenta de Macie, Macie puede publicar todas las conclusiones que cree en Security Hub CSPM, tanto las de datos confidenciales como las de políticas. Para obtener más información acerca de estas configuraciones y de cómo cambiarlas, consulte Configuración de los ajustes de publicación de los resultados . De forma predeterminada, Macie publica solo los hallazgos de políticas nuevos y actualizados en Security Hub CSPM. Macie no publica los hallazgos de datos confidenciales en Security Hub CSPM.
Resultados de datos confidenciales
Si configura Macie para que publique los hallazgos de datos confidenciales en Security Hub CSPM, Macie publica automáticamente cada hallazgo de datos confidenciales que cree para su cuenta y lo hace inmediatamente después de terminar de procesar el hallazgo. Macie lo hace con todos los resultados de datos confidenciales que encuentre y que no se archiven automáticamente mediante una regla de supresión.
Si es el administrador de Macie de una organización, la publicación se limita a los resultados de los trabajos de detección de datos confidenciales que haya realizado y a las actividades de detección de datos confidenciales automatizada que Macie realizó para su organización. Solo la cuenta que crea un trabajo puede publicar los datos confidenciales que genere el trabajo. Solo la cuenta de administrador de Macie puede publicar los datos confidenciales que la detección de datos confidenciales automatizada genere para su organización.
Cuando Macie publica los hallazgos de datos confidenciales en Security Hub CSPM, utiliza el AWS Security Finding Format (ASFF), que es el formato estándar para todos los hallazgos en Security Hub CSPM. En el ASFF, el campo Types indica el tipo de resultado. Este campo usa una taxonomía ligeramente diferente de la taxonomía del tipo de resultado de Macie.
En la siguiente tabla se muestra el tipo de resultado ASFF para cada tipo de resultado de datos confidenciales que Macie puede crear.
| Tipo de resultado de Macie. | Tipo de resultado de ASFF |
|---|---|
SensitiveData:S3Object/Credentials |
Sensitive Data Identifications/Passwords/SensitiveData:S3Object-Credentials |
SensitiveData:S3Object/CustomIdentifier |
Sensitive Data Identifications/PII/SensitiveData:S3Object-CustomIdentifier |
|
SensitiveData:S3Object/Financial |
Sensitive Data Identifications/Financial/SensitiveData:S3Object-Financial |
SensitiveData:S3Object/Multiple |
Sensitive Data Identifications/PII/SensitiveData:S3Object-Multiple |
|
SensitiveData:S3Object/Personal |
Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal |
Hallazgos de políticas
Si configura a Macie para que publique las conclusiones de políticas en Security Hub CSPM, Macie publica automáticamente cada nueva conclusión de política que cree y lo hace inmediatamente después de terminar de procesar la búsqueda. Si Macie detecta una aparición posterior de una constatación de política existente, publica automáticamente una actualización de la constatación existente en Security Hub CSPM, utilizando la frecuencia de publicación que usted especifique para su cuenta. Macie lo hace con todos los resultados de políticas que encuentre y que no se archiven automáticamente mediante una regla de supresión.
Si es el administrador de Macie de una organización, la publicación se limita a las conclusiones sobre las políticas de los segmentos de S3 que son propiedad directa de su cuenta. Macie no publica los resultados de las políticas que crea o actualiza para las cuentas de los miembros de su organización. Esto ayuda a garantizar que no haya datos de hallazgos duplicados en Security Hub CSPM.
Como ocurre con los hallazgos de datos confidenciales, Macie utiliza el AWS Security Finding Format (ASFF) cuando publica los hallazgos de políticas nuevos y actualizados en Security Hub CSPM. En el ASFF, el campo Types usa una taxonomía ligeramente diferente de la taxonomía del tipo de resultado de Macie.
En la siguiente tabla se muestra el tipo de resultado ASFF para cada tipo de resultado de política que Macie puede crear. Si Macie creó o actualizó un hallazgo de política en Security Hub CSPM el 28 de enero de 2021 o después, el hallazgo tiene uno de los siguientes valores para el campo ASFF de Types Security Hub CSPM.
| Tipo de resultado de Macie. | Tipo de resultado de ASFF |
|---|---|
|
Policy:IAMUser/S3BlockPublicAccessDisabled |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled |
Policy:IAMUser/S3BucketEncryptionDisabled |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketEncryptionDisabled |
|
Policy:IAMUser/S3BucketPublic |
Effects/Data Exposure/Policy:IAMUser-S3BucketPublic |
Policy:IAMUser/S3BucketReplicatedExternally |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketReplicatedExternally |
|
Policy:IAMUser/S3BucketSharedExternally |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedExternally |
|
Policy:IAMUser/S3BucketSharedWithCloudFront |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedWithCloudFront |
Si Macie creó o actualizó por última vez una conclusión de política antes del 28 de enero de 2021, la conclusión tiene uno de los siguientes valores para el Types campo ASFF de Security Hub CSPM:
-
Policy:IAMUser/S3BlockPublicAccessDisabled
-
Policy:IAMUser/S3BucketEncryptionDisabled
-
Policy:IAMUser/S3BucketPublic
-
Policy:IAMUser/S3BucketReplicatedExternally
-
Policy:IAMUser/S3BucketSharedExternally
Los valores de la lista anterior se asignan directamente a los valores del campo Tipo de resultado (type) de Macie.
Notas
Al revisar y procesar los resultados de las políticas en Security Hub CSPM, tenga en cuenta las siguientes excepciones:
-
De hecho Regiones de AWS, Macie comenzó a utilizar los tipos de búsqueda del ASFF para obtener hallazgos nuevos y actualizados el 25 de enero de 2021.
-
Si actuó en función de una búsqueda de política en el CSPM de Security Hub antes de que Macie comenzara a utilizar los tipos de búsqueda de ASFF en el suyo Región de AWS, el valor del
Typescampo ASFF de la búsqueda será uno de los tipos de búsqueda de Macie de la lista anterior. No será uno de los tipos de resultado de ASFF de la tabla anterior. Esto es válido para las conclusiones de políticas que usted haya tomado en cuenta al utilizar la AWS Security Hub CSPM consola o el funcionamiento de la API.BatchUpdateFindingsAWS Security Hub CSPM
Latencia para publicar los hallazgos en Security Hub (CSPM)
Cuando Amazon Macie crea un nuevo resultado de política o de datos confidenciales, lo publica en AWS Security Hub CSPM inmediatamente después de terminar de procesarlo.
Si Macie detecta una aparición posterior de una constatación de política existente, publica una actualización de la constatación existente en Security Hub CSPM. El momento de la actualización depende de la frecuencia de publicación que elija para su cuenta de Macie. De forma predeterminada, Macie publica las actualizaciones cada 15 minutos. Para obtener más información, incluido el modo de cambiar la configuración de su cuenta, consulte Configuración de los ajustes de publicación de los resultados .
Reintentar la publicación cuando el CSPM de Security Hub no está disponible
Si no AWS Security Hub CSPM está disponible, Amazon Macie crea una cola de resultados que Security Hub CSPM no ha recibido. Cuando se restaura el sistema, Macie vuelve a intentar la publicación hasta que Security Hub CSPM reciba los resultados.
Actualización de resultados existentes en el CSPM de Security Hub
Después de que Amazon Macie publique una conclusión de política en AWS Security Hub CSPM, Macie la actualiza para reflejar cualquier incidencia adicional del hallazgo o actividad de búsqueda. Macie lo hace solo en relación con los resultados de políticas. Macie no actualiza los datos confidenciales encontrados en Security Hub CSPM. Los resultados de datos confidenciales, a diferencia de los resultados de políticas, se tratan todos como nuevos (únicos).
Cuando Macie publica una actualización de un resultado de política, actualiza el valor del campo Actualizado en (UpdatedAt) del resultado. Puede usar este valor para determinar cuándo Macie detectó por última vez una posible infracción de la política o problema que dio lugar al resultado.
Macie también podría actualizar el valor del campo Tipos (Types) de un resultado si el valor existente del campo no es un tipo de resultado ASFF. Esto depende de si ha actuado en función del hallazgo en Security Hub CSPM. Si no ha actuado en función del resultado, Macie cambia el valor del campo por el tipo de resultado ASFF adecuado. Si ha actuado en función del hallazgo, utilizando la AWS Security Hub CSPM consola o el BatchUpdateFindings funcionamiento de la AWS Security Hub CSPM API, Macie no cambia el valor del campo.
Ejemplos de resultados de Macie en AWS Security Hub CSPM
Cuando Amazon Macie publica los resultados en AWS Security Hub CSPM, utiliza el formato de búsqueda AWS de seguridad (ASFF). Este es el formato estándar para todos los hallazgos en Security Hub CSPM. Los siguientes ejemplos utilizan datos de muestra para demostrar la estructura y la naturaleza de los datos de los hallazgos que Macie publica en Security Hub CSPM en este formato:
Ejemplo de búsqueda de datos confidenciales en Security Hub (CSPM)
Este es un ejemplo de un hallazgo de datos confidenciales que Macie publicó en Security Hub CSPM utilizando el ASFF.
{
"SchemaVersion": "2018-10-08",
"Id": "5be50fce24526e670df77bc00example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types":[
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
],
"CreatedAt": "2022-05-11T10:23:49.667Z",
"UpdatedAt": "2022-05-11T10:23:49.667Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "The S3 object contains personal information.",
"Description": "The object contains personal information such as first or last names, addresses, or identification numbers.",
"ProductFields": {
"JobArn": "arn:aws:macie2:us-east-1:111122223333:classification-job/698e99c283a255bb2c992feceexample",
"S3Object.Path": "amzn-s3-demo-bucket/2022 Sourcing.tsv",
"S3Object.Extension": "tsv",
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"OriginType": "SENSITIVE_DATA_DISCOVERY_JOB",
"S3Object.PublicAccess": "false",
"S3Object.Size": "14",
"S3Object.StorageClass": "STANDARD",
"S3Bucket.allowsUnencryptedObjectUploads": "TRUE",
"JobId": "698e99c283a255bb2c992feceexample",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/5be50fce24526e670df77bc00example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-12-30T18:16:25.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"BlockPublicPolicy": true,
"IgnorePublicAcls": true,
"RestrictPublicBuckets": true
}
}
}
},
{
"Type": "AwsS3Object",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket/2022 Sourcing.tsv",
"Partition": "aws",
"Region": "us-east-1",
"DataClassification": {
"DetailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/111122223333/Macie/us-east-1/
698e99c283a255bb2c992feceexample/111122223333/32b8485d-4f3a-3aa1-be33-aa3f0example.jsonl.gz",
"Result":{
"MimeType": "text/tsv",
"SizeClassified": 14,
"AdditionalOccurrences": false,
"Status": {
"Code": "COMPLETE"
},
"SensitiveData": [
{
"Category": "PERSONAL_INFORMATION",
"Detections": [
{
"Count": 1,
"Type": "USA_SOCIAL_SECURITY_NUMBER",
"Occurrences": {
"Cells": [
{
"Column": 10,
"Row": 1,
"ColumnName": "Other"
}
]
}
}
],
"TotalCount": 1
}
],
"CustomDataIdentifiers": {
"Detections": [
],
"TotalCount": 0
}
}
},
"Details": {
"AwsS3Object": {
"LastModified": "2022-04-22T18:16:46.000Z",
"ETag": "ebe1ca03ee8d006d457444445example",
"VersionId": "SlBC72z5hArgexOJifxw_IN57example",
"ServerSideEncryption": "aws:kms",
"SSEKMSKeyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
]
},
"Sample": false,
"ProcessedAt": "2022-05-11T10:23:49.667Z"
}Ejemplo de hallazgo de una política en Security Hub (CSPM)
Este es un ejemplo de un nuevo descubrimiento de política que Macie publicó en Security Hub CSPM en la ASFF.
{
"SchemaVersion": "2018-10-08",
"Id": "36ca8ba0-caf1-4fee-875c-37760example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
],
"CreatedAt": "2022-04-24T09:27:43.313Z",
"UpdatedAt": "2022-04-24T09:27:43.313Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "Block Public Access settings are disabled for the S3 bucket",
"Description": "All Amazon S3 block public access settings are disabled for the Amazon S3 bucket. Access to the bucket is
controlled only by access control lists (ACLs) or bucket policies.",
"ProductFields": {
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"S3Bucket.allowsUnencryptedObjectUploads": "FALSE",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/36ca8ba0-caf1-4fee-875c-37760example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Tags": {
"Team": "Recruiting",
"Division": "HR"
},
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-11-25T18:24:38.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": false,
"BlockPublicPolicy": false,
"IgnorePublicAcls": false,
"RestrictPublicBuckets": false
}
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
]
},
"Sample": false
}Integrar a Macie con AWS Security Hub CSPM
Para integrar Amazon Macie con AWS Security Hub CSPM, habilite Security Hub CSPM para su.Cuenta de AWS Para obtener información sobre cómo hacerlo, consulte Habilitar el CSPM de Security Hub en la Guía del AWS Security Hub usuario.
Al habilitar Macie y Security Hub CSPM, la integración se habilita automáticamente. De forma predeterminada, Macie comienza a publicar automáticamente las conclusiones de las políticas nuevas y actualizadas en Security Hub CSPM. No es necesario adoptar ninguna medida adicional para configurar la integración. Si tiene conclusiones de políticas existentes cuando la integración está habilitada, Macie no las publica en Security Hub CSPM. En lugar de eso, Macie publica solo los resultados de las políticas que crea o actualiza una vez que la integración esté habilitada.
Si lo desea, puede personalizar su configuración eligiendo la frecuencia con la que Macie publica las actualizaciones de los hallazgos de políticas en Security Hub CSPM. También puede optar por publicar los hallazgos de datos confidenciales en Security Hub CSPM. Para aprender a hacerlo, consulte Configuración de los ajustes de publicación de los resultados .
Interrupción de la publicación de resultados de Macie en AWS Security Hub CSPM
Para dejar de publicar los hallazgos de Amazon Macie AWS Security Hub CSPM, puedes cambiar la configuración de publicación de tu cuenta de Macie. Para aprender a hacerlo, consulte Elección de los destinos de publicación de los resultados . También puede hacerlo mediante Security Hub CSPM. Para obtener información sobre cómo hacerlo, consulte Deshabilitación del flujo de resultados desde una integración en la Guía del usuario de AWS Security Hub.
