Mengevaluasi temuan Macie dengan AWS Security Hub CSPM - Amazon Macie
Bagaimana Macie mempublikasikan temuan ke Security Hub CSPMContoh temuan Macie di Security Hub CSPMMengintegrasikan Macie dengan Security Hub CSPMMenghentikan publikasi temuan Macie ke Security Hub CSPM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengevaluasi temuan Macie dengan AWS Security Hub CSPM

AWS Security Hub CSPM adalah layanan yang memberi Anda pandangan komprehensif tentang postur keamanan Anda di seluruh AWS lingkungan Anda dan membantu Anda memeriksa lingkungan Anda terhadap standar industri keamanan dan praktik terbaik. Hal ini dilakukan sebagian dengan mengkonsumsi, menggabungkan, mengatur, dan memprioritaskan temuan dari berbagai Layanan AWS solusi keamanan yang didukung.AWS Partner Network Security Hub CSPM membantu Anda menganalisis tren keamanan dan mengidentifikasi masalah keamanan prioritas tertinggi. Dengan Security Hub CSPM, Anda juga dapat mengumpulkan temuan dari beberapa Wilayah AWS, lalu mengevaluasi dan memproses semua data temuan agregat dari satu Wilayah. Untuk mempelajari CSPM Security Hub selengkapnya, lihat AWS Security Hub Panduan Pengguna.

Amazon Macie terintegrasi dengan Security Hub CSPM, yang berarti Anda dapat mempublikasikan temuan dari Macie ke Security Hub CSPM secara otomatis. Security Hub CSPM kemudian dapat memasukkan temuan-temuan tersebut dalam analisisnya tentang postur keamanan Anda. Selain itu, Anda dapat menggunakan Security Hub CSPM untuk mengevaluasi dan memproses kebijakan dan temuan data sensitif sebagai bagian dari kumpulan data temuan yang lebih besar dan teragregat untuk lingkungan Anda.AWS Dengan kata lain, Anda dapat mengevaluasi temuan Macie sambil melakukan analisis yang lebih luas tentang postur keamanan organisasi Anda, dan memulihkan temuan seperlunya. Security Hub CSPM mengurangi kompleksitas menangani sejumlah besar temuan dari beberapa penyedia. Selain itu, ia menggunakan format standar untuk semua temuan, termasuk temuan dari Macie. Penggunaan format ini, AWS Security Finding Format (ASFF), menghilangkan kebutuhan Anda untuk melakukan konversi data yang memakan waktu.

Bagaimana Macie menerbitkan temuan untuk AWS Security Hub CSPM

Pada tahun AWS Security Hub CSPM, masalah keamanan dilacak sebagai temuan. Beberapa temuan berasal dari masalah yang terdeteksi oleh Layanan AWS, seperti Amazon Macie, atau dengan solusi AWS Partner Network keamanan yang didukung. Security Hub CSPM juga memiliki seperangkat aturan yang digunakan untuk mendeteksi masalah keamanan dan menghasilkan temuan.

Security Hub CSPM menyediakan alat untuk mengelola temuan dari semua sumber ini. Anda dapat meninjau dan memfilter daftar temuan dan meninjau detail temuan individu. Untuk mempelajari caranya, lihat Meninjau riwayat pencarian dan detail di Panduan AWS Security Hub Pengguna. Anda juga dapat melacak status penyelidikan ke temuan. Untuk mempelajari caranya, lihat Menyetel status alur kerja temuan di Panduan AWS Security Hub Pengguna.

Semua temuan di Security Hub CSPM menggunakan format JSON standar yang disebut AWS Security Finding Format (ASFF). ASFF mencakup detail tentang sumber masalah, sumber daya yang terpengaruh, dan status temuan saat ini. Untuk informasi selengkapnya, lihat AWS Security Finding Format (ASFF) di Panduan Pengguna AWS Security Hub.

Jenis temuan yang dipublikasikan Macie ke Security Hub CSPM

Bergantung pada pengaturan publikasi yang Anda pilih untuk akun Macie Anda, Macie dapat mempublikasikan semua temuan yang dibuatnya ke Security Hub CSPM, baik temuan data sensitif maupun temuan kebijakan. Untuk informasi tentang pengaturan ini dan cara mengubahnya, lihat Mengonfigurasi pengaturan publikasi untuk temuan. Secara default, Macie hanya menerbitkan temuan kebijakan baru dan yang diperbarui ke Security Hub CSPM. Macie tidak mempublikasikan temuan data sensitif ke Security Hub CSPM.

Temuan data sensitif

Jika Anda mengonfigurasi Macie untuk mempublikasikan temuan data sensitif ke Security Hub CSPM, Macie secara otomatis menerbitkan setiap temuan data sensitif yang dibuatnya untuk akun Anda, dan segera melakukannya setelah selesai memproses temuan. Macie melakukan ini untuk semua temuan data sensitif yang tidak diarsipkan secara otomatis oleh Aturan penekan.

Jika Anda administrator Macie untuk suatu organisasi, publikasi terbatas pada temuan dari pekerjaan penemuan data sensitif yang Anda jalankan dan aktivitas penemuan data sensitif otomatis yang dilakukan Macie untuk organisasi Anda. Hanya akun yang membuat tugas dapat memublikasikan temuan data sensitif yang dihasilkan oleh tugas. Hanya akun administrator Macie yang dapat mempublikasikan temuan data sensitif yang dihasilkan oleh penemuan data sensitif otomatis untuk organisasi mereka.

Ketika Macie menerbitkan temuan data sensitif ke Security Hub CSPM, ia menggunakan AWS Security Finding Format (ASFF), yang merupakan format standar untuk semua temuan di Security Hub CSPM. Dalam ASFF, bidang Types menunjukkan tipe temuan. Bidang ini menggunakan taksonomi yang sedikit berbeda dari tipe temuan taksonomi di Macie.

Tabel berikut mencantumkan daftar tipe temuan ASFF untuk setiap tipe temuan data sensitif ketika Macie dapat membuatnya.

Tipe temuan Macie Tipe temuan ASFF

SensitiveData:S3Object/Credentials

Sensitive Data Identifications/Passwords/SensitiveData:S3Object-Credentials

SensitiveData:S3Object/CustomIdentifier

Sensitive Data Identifications/PII/SensitiveData:S3Object-CustomIdentifier

SensitiveData:S3Object/Financial

Sensitive Data Identifications/Financial/SensitiveData:S3Object-Financial

SensitiveData:S3Object/Multiple

Sensitive Data Identifications/PII/SensitiveData:S3Object-Multiple

SensitiveData:S3Object/Personal

Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal

Temuan kebijakan

Jika Anda mengonfigurasi Macie untuk mempublikasikan temuan kebijakan ke Security Hub CSPM, Macie secara otomatis menerbitkan setiap temuan kebijakan baru yang dibuatnya, dan segera melakukannya setelah selesai memproses temuan. Jika Macie mendeteksi kejadian berikutnya dari temuan kebijakan yang ada, ia secara otomatis menerbitkan pembaruan ke temuan yang ada di Security Hub CSPM, menggunakan frekuensi publikasi yang Anda tentukan untuk akun Anda. Macie melakukan tugas ini untuk semua temuan kebijakan yang tidak diarsipkan secara otomatis oleh Aturan penekan.

Jika Anda administrator Macie untuk suatu organisasi, publikasi terbatas pada temuan kebijakan untuk bucket S3 yang dimiliki langsung oleh akun Anda. Macie tidak memublikasikan temuan kebijakan yang dibuat atau diperbarui untuk akun anggota di organisasi Anda. Ini membantu memastikan bahwa Anda tidak memiliki data temuan duplikat di Security Hub CSPM.

Seperti halnya temuan data sensitif, Macie menggunakan AWS Security Finding Format (ASFF) ketika menerbitkan temuan kebijakan baru dan diperbarui ke Security Hub CSPM. Dalam ASFF, bidang Types menggunakan taksonomi yang sedikit berbeda dari tipe temuan taksonomi di Macie.

Tabel berikut mencantumkan tipe temuan ASFF untuk setiap tipe temuan kebijakan ketika Macie dapat membuatnya. Jika Macie membuat atau memperbarui temuan kebijakan di Security Hub CSPM pada atau setelah 28 Januari 2021, temuan tersebut memiliki salah satu nilai berikut untuk bidang ASFF di Types Security Hub CSPM.

Tipe temuan Macie Tipe temuan ASFF

Policy:IAMUser/S3BlockPublicAccessDisabled

Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled

Policy:IAMUser/S3BucketEncryptionDisabled

Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketEncryptionDisabled

Policy:IAMUser/S3BucketPublic

Effects/Data Exposure/Policy:IAMUser-S3BucketPublic

Policy:IAMUser/S3BucketReplicatedExternally

Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketReplicatedExternally

Policy:IAMUser/S3BucketSharedExternally

Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedExternally

Policy:IAMUser/S3BucketSharedWithCloudFront

Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedWithCloudFront

Jika Macie membuat atau terakhir memperbarui temuan kebijakan sebelum 28 Januari 2021, temuan tersebut memiliki salah satu nilai berikut untuk Types bidang ASFF di CSPM Security Hub:

  • Policy:IAMUser/S3BlockPublicAccessDisabled

  • Policy:IAMUser/S3BucketEncryptionDisabled

  • Policy:IAMUser/S3BucketPublic

  • Policy:IAMUser/S3BucketReplicatedExternally

  • Policy:IAMUser/S3BucketSharedExternally

Nilai-nilai dalam daftar peta langsung sebelumnya ke nilai-nilai untuk bidang Tipe temuan (type) di Macie.

Catatan

Saat Anda meninjau dan memproses temuan kebijakan di Security Hub CSPM, perhatikan pengecualian berikut:

  • Secara pasti Wilayah AWS, Macie mulai menggunakan tipe temuan ASFF untuk temuan baru dan yang diperbarui pada awal 25 Januari 2021.

  • Jika Anda menindaklanjuti temuan kebijakan di Security Hub CSPM sebelum Macie mulai menggunakan tipe pencarian ASFF di Anda Wilayah AWS, nilai untuk Types bidang ASFF dari temuan tersebut akan menjadi salah satu jenis temuan Macie di daftar sebelumnya. Hal ini tidak akan menjadi salah satu tipe temuan ASFF pada tabel sebelumnya. Hal ini berlaku untuk temuan kebijakan yang Anda lakukan saat menggunakan AWS Security Hub CSPM konsol atau BatchUpdateFindings pengoperasian AWS Security Hub CSPM API.

Latensi untuk mempublikasikan temuan ke Security Hub CSPM

Saat Amazon Macie membuat kebijakan baru atau penemuan data sensitif, Amazon Macie menerbitkan temuan tersebut AWS Security Hub CSPM segera setelah selesai memproses temuan.

Jika Macie mendeteksi kejadian berikutnya dari temuan kebijakan yang ada, Macie menerbitkan pembaruan untuk temuan yang ada di Security Hub CSPM. Waktu pembaruan tergantung pada frekuensi publikasi yang Anda pilih untuk akun Macie Anda. Secara default, Macie memublikasikan pembaruan setiap 15 menit. Untuk informasi selengkapnya, termasuk bagaimana mengubah pengaturan akun, lihat Mengonfigurasi pengaturan publikasi untuk temuan.

Mencoba lagi publikasi saat CSPM Security Hub tidak tersedia

Jika AWS Security Hub CSPM tidak tersedia, Amazon Macie membuat antrian temuan yang belum diterima oleh Security Hub CSPM. Ketika sistem dipulihkan, Macie mencoba kembali publikasi sampai temuan diterima oleh Security Hub CSPM.

Memperbarui temuan yang ada di Security Hub CSPM

Setelah Amazon Macie menerbitkan temuan kebijakan AWS Security Hub CSPM, Macie memperbarui temuan tersebut untuk mencerminkan kejadian tambahan apa pun dari aktivitas temuan atau pencarian. Macie melakukan ini hanya demi temuan kebijakan. Macie tidak memperbarui temuan data sensitif di Security Hub CSPM. Tidak seperti temuan kebijakan, semua temuan data sensitif diperlakukan sebagai baru (unik).

Ketika Macie mempublikasikan pembaruan untuk temuan kebijakan, Macie memperbarui nilai untuk bidang temuan Diperbarui Pada (UpdatedAt). Anda dapat menggunakan nilai ini untuk menentukan kapan Macie baru-baru ini mendeteksi terjadinya potensi pelanggaran kebijakan atau masalah berikutnya yang menghasilkan temuan tersebut.

Macie mungkin juga memperbarui nilai untuk bidang temuan Tipe (Types) jika nilai yang ada untuk bidang tersebut bukan merupakan Tipe temuan ASFF. Ini tergantung pada apakah Anda telah bertindak atas temuan di Security Hub CSPM. Jika Anda belum bertindak berdasarkan temuan, Macie mengubah nilai bidang untuk tipe temuan ASFF yang sesuai. Jika Anda telah menindaklanjuti temuan tersebut, menggunakan AWS Security Hub CSPM konsol atau BatchUpdateFindings pengoperasian AWS Security Hub CSPM API, Macie tidak mengubah nilai bidang.

Contoh temuan Macie di AWS Security Hub CSPM

Saat Amazon Macie menerbitkan temuannya AWS Security Hub CSPM, Amazon Macie menggunakan AWS Security Finding Format (ASFF). Ini adalah format standar untuk semua temuan di Security Hub CSPM. Contoh berikut menggunakan data sampel untuk menunjukkan struktur dan sifat data temuan yang dipublikasikan Macie ke Security Hub CSPM dalam format ini:

Contoh temuan data sensitif di Security Hub CSPM

Berikut adalah contoh temuan data sensitif yang dipublikasikan Macie ke Security Hub CSPM menggunakan ASFF.

{
    "SchemaVersion": "2018-10-08",
    "Id": "5be50fce24526e670df77bc00example",
    "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
    "ProductName": "Macie",
    "CompanyName": "Amazon",
    "Region": "us-east-1",
    "GeneratorId": "aws/macie",
    "AwsAccountId": "111122223333",
    "Types":[
        "Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
    ],
    "CreatedAt": "2022-05-11T10:23:49.667Z",
    "UpdatedAt": "2022-05-11T10:23:49.667Z",
    "Severity": {
        "Label": "HIGH",
        "Normalized": 70
    },
    "Title": "The S3 object contains personal information.",
    "Description": "The object contains personal information such as first or last names, addresses, or identification numbers.",
    "ProductFields": {
        "JobArn": "arn:aws:macie2:us-east-1:111122223333:classification-job/698e99c283a255bb2c992feceexample",
        "S3Object.Path": "amzn-s3-demo-bucket/2022 Sourcing.tsv",
        "S3Object.Extension": "tsv",
        "S3Bucket.effectivePermission": "NOT_PUBLIC",
        "OriginType": "SENSITIVE_DATA_DISCOVERY_JOB",
        "S3Object.PublicAccess": "false",
        "S3Object.Size": "14",
        "S3Object.StorageClass": "STANDARD",
        "S3Bucket.allowsUnencryptedObjectUploads": "TRUE",
        "JobId": "698e99c283a255bb2c992feceexample",
        "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/5be50fce24526e670df77bc00example",
        "aws/securityhub/ProductName": "Macie",
        "aws/securityhub/CompanyName": "Amazon"
    },
    "Resources": [
        {
            "Type": "AwsS3Bucket",
            "Id": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Partition": "aws",
            "Region": "us-east-1",
            "Details": {
                "AwsS3Bucket": {
                    "OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
                    "OwnerName": "johndoe",
                    "OwnerAccountId": "444455556666",
                    "CreatedAt": "2020-12-30T18:16:25.000Z",
                    "ServerSideEncryptionConfiguration": {
                        "Rules": [
                            {
                                "ApplyServerSideEncryptionByDefault": {
                                    "SSEAlgorithm": "aws:kms",
                                    "KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
                                }
                            }
                        ]
                    },
                    "PublicAccessBlockConfiguration": {
                        "BlockPublicAcls": true,
                        "BlockPublicPolicy": true,
                        "IgnorePublicAcls": true,
                        "RestrictPublicBuckets": true
                    }
                }
            }
        },
        {
            "Type": "AwsS3Object",
            "Id": "arn:aws:s3:::amzn-s3-demo-bucket/2022 Sourcing.tsv",
            "Partition": "aws",
            "Region": "us-east-1",
            "DataClassification": {
                "DetailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/111122223333/Macie/us-east-1/
                698e99c283a255bb2c992feceexample/111122223333/32b8485d-4f3a-3aa1-be33-aa3f0example.jsonl.gz",
                "Result":{
                    "MimeType": "text/tsv",
                    "SizeClassified": 14,
                    "AdditionalOccurrences": false,
                    "Status": {
                        "Code": "COMPLETE"
                    },
                    "SensitiveData": [
                        {
                            "Category": "PERSONAL_INFORMATION",
                            "Detections": [
                                {
                                    "Count": 1,
                                    "Type": "USA_SOCIAL_SECURITY_NUMBER",
                                    "Occurrences": {
                                        "Cells": [
                                            {
                                                "Column": 10,
                                                "Row": 1,
                                                "ColumnName": "Other"
                                            }
                                        ]
                                    }
                                }
                            ],
                            "TotalCount": 1
                        }
                    ],
                    "CustomDataIdentifiers": {
                        "Detections": [
                        ],
                        "TotalCount": 0
                    }
                }
            },
            "Details": {
                "AwsS3Object": {
                    "LastModified": "2022-04-22T18:16:46.000Z",
                    "ETag": "ebe1ca03ee8d006d457444445example",
                    "VersionId": "SlBC72z5hArgexOJifxw_IN57example",
                    "ServerSideEncryption": "aws:kms",
                    "SSEKMSKeyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
                }
            }
        }
    ],
    "WorkflowState": "NEW",
    "Workflow": {
        "Status": "NEW"
    },
    "RecordState": "ACTIVE",
    "FindingProviderFields": {
        "Severity": {
            "Label": "HIGH"
        },
        "Types": [
            "Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
        ]
    },
    "Sample": false,
    "ProcessedAt": "2022-05-11T10:23:49.667Z"
}

Contoh temuan kebijakan di Security Hub CSPM

Berikut adalah contoh temuan kebijakan baru yang diterbitkan Macie ke Security Hub CSPM di ASFF.

{
    "SchemaVersion": "2018-10-08",
    "Id": "36ca8ba0-caf1-4fee-875c-37760example",
    "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
    "ProductName": "Macie",
    "CompanyName": "Amazon",
    "Region": "us-east-1",
    "GeneratorId": "aws/macie",
    "AwsAccountId": "111122223333",
    "Types": [
        "Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
    ],
    "CreatedAt": "2022-04-24T09:27:43.313Z",
    "UpdatedAt": "2022-04-24T09:27:43.313Z",
    "Severity": {
        "Label": "HIGH",
        "Normalized": 70
    },
    "Title": "Block Public Access settings are disabled for the S3 bucket",
    "Description": "All Amazon S3 block public access settings are disabled for the Amazon S3 bucket. Access to the bucket is 
      controlled only by access control lists (ACLs) or bucket policies.",
    "ProductFields": {
        "S3Bucket.effectivePermission": "NOT_PUBLIC",
        "S3Bucket.allowsUnencryptedObjectUploads": "FALSE",
        "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/36ca8ba0-caf1-4fee-875c-37760example",
        "aws/securityhub/ProductName": "Macie",
        "aws/securityhub/CompanyName": "Amazon"
    },
    "Resources": [
        {
        "Type": "AwsS3Bucket",
        "Id": "arn:aws:s3:::amzn-s3-demo-bucket",
        "Partition": "aws",
        "Region": "us-east-1",
        "Tags": {
            "Team": "Recruiting",
            "Division": "HR"
        },
        "Details": {
            "AwsS3Bucket": {
              "OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
              "OwnerName": "johndoe",
              "OwnerAccountId": "444455556666",
              "CreatedAt": "2020-11-25T18:24:38.000Z",
              "ServerSideEncryptionConfiguration": {
                "Rules": [
                    {
                    "ApplyServerSideEncryptionByDefault": {
                        "SSEAlgorithm": "aws:kms",
                        "KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
                    }
                  }
                ]
              },
              "PublicAccessBlockConfiguration": {
                "BlockPublicAcls": false,
                "BlockPublicPolicy": false,
                "IgnorePublicAcls": false,
                "RestrictPublicBuckets": false
               }
            }
         }
      }
    ],
    "WorkflowState": "NEW",
    "Workflow": {
        "Status": "NEW"
    },
    "RecordState": "ACTIVE",
    "FindingProviderFields": {
        "Severity": {
            "Label": "HIGH"
        },
        "Types": [
            "Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
        ]
    },
    "Sample": false
}

Mengintegrasikan Macie dengan AWS Security Hub CSPM

Untuk mengintegrasikan Amazon Macie dengan AWS Security Hub CSPM, aktifkan CSPM Security Hub untuk Anda.Akun AWSUntuk mempelajari caranya, lihat Mengaktifkan CSPM Security Hub di Panduan Pengguna.AWS Security Hub

Saat Anda mengaktifkan CSPM Macie dan Security Hub, integrasi diaktifkan secara otomatis. Secara default, Macie mulai mempublikasikan temuan kebijakan baru dan diperbarui ke Security Hub CSPM secara otomatis. Anda tidak perlu mengambil langkah tambahan untuk mengonfigurasi integrasi. Jika Anda memiliki temuan kebijakan saat integrasi diaktifkan, Macie tidak mempublikasikannya ke Security Hub CSPM. Sebagai gantinya, Macie hanya menerbitkan temuan kebijakan yang dibuat atau diperbarui setelah integrasi diaktifkan.

Anda dapat menyesuaikan konfigurasi secara opsional dengan memilih frekuensi yang digunakan Macie untuk menerbitkan pembaruan temuan kebijakan di Security Hub CSPM. Anda juga dapat memilih untuk mempublikasikan temuan data sensitif ke Security Hub CSPM. Untuk mempelajari caranya, lihat Mengonfigurasi pengaturan publikasi untuk temuan.

Menghentikan publikasi temuan Macie ke AWS Security Hub CSPM

Untuk berhenti mempublikasikan temuan Amazon Macie ke AWS Security Hub CSPM, Anda dapat mengubah pengaturan publikasi untuk akun Macie Anda. Untuk mempelajari caranya, lihat Memilih tujuan publikasi untuk temuan. Anda juga dapat melakukan ini dengan menggunakan Security Hub CSPM. Untuk mempelajari caranya, lihat Menonaktifkan aliran temuan dari integrasi dalam AWS Security Hub Panduan Pengguna.