Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Valutazione dei risultati di Macie con AWS Security Hub CSPM
AWS Security Hub CSPMè un servizio che offre una visione completa del livello di sicurezza in tutto AWS l'ambiente e consente di verificare la conformità dell'ambiente rispetto agli standard e alle best practice del settore della sicurezza. Lo fa in parte consumando, aggregando, organizzando e dando priorità ai risultati provenienti da più soluzioni di sicurezza Servizi AWS supportate.AWS Partner Network Security Hub CSPM ti aiuta ad analizzare le tendenze della sicurezza e a identificare i problemi di sicurezza con la massima priorità. Con Security Hub CSPM, puoi anche aggregare i risultati di piùRegioni AWS risultati e quindi valutare ed elaborare tutti i dati aggregati dei risultati provenienti da una singola regione. Per ulteriori informazioni su Security Hub CSPM, consulta la Guida per l'AWS Security Hub utente.
Amazon Macie si integra con Security Hub CSPM, il che significa che puoi pubblicare automaticamente i risultati di Macie su Security Hub CSPM. Security Hub CSPM può quindi includere tali risultati nell'analisi del livello di sicurezza dell'utente. Inoltre, puoi utilizzare Security Hub CSPM per valutare ed elaborare i risultati delle policy e dei dati sensibili come parte di un set più ampio e aggregato di dati sui risultati per il tuo ambiente.AWS In altre parole, puoi valutare i risultati di Macie eseguendo analisi più ampie del livello di sicurezza della tua organizzazione e correggerli se necessario. Security Hub CSPM riduce la complessità legata all'elaborazione di grandi volumi di risultati provenienti da più provider. Inoltre, utilizza un formato standard per tutti i risultati, compresi i risultati di Macie. L'uso di questo formato, il AWS Security Finding Format (ASFF), elimina la necessità di eseguire operazioni di conversione dei dati che richiedono molto tempo.
Argomenti
In che modo Macie pubblica i risultati su AWS Security Hub CSPM
Nel AWS Security Hub CSPM, i problemi di sicurezza vengono registrati come risultati. Alcuni risultati derivano da problemi rilevati da Servizi AWS, come Amazon Macie, o da soluzioni di AWS Partner Network sicurezza supportate. Security Hub CSPM dispone anche di una serie di regole che utilizza per rilevare problemi di sicurezza e generare risultati.
Security Hub CSPM fornisce strumenti per gestire i risultati da tutte queste fonti. È possibile esaminare e filtrare gli elenchi dei risultati e rivedere i dettagli dei singoli risultati. Per ulteriori informazioni, consulta la sezione Revisione della cronologia e dei dettagli dei risultati nella Guida per AWS Security Hub l'utente. È inoltre possibile monitorare lo stato di un'indagine in un esito. Per sapere come, consulta Impostazione dello stato dei risultati del flusso di lavoro nella Guida AWS Security Hub per l'utente.
Tutti i risultati in Security Hub CSPM utilizzano un formato JSON standard chiamato AWS Security Finding Format (ASFF). L'ASFF include dettagli sull'origine di un problema, sulle risorse interessate e sullo stato attuale di un risultato. Per ulteriori informazioni, consulta AWS Security Finding Format (ASFF) nella Guida per l'utente di AWS Security Hub.
Tipi di risultati che Macie pubblica su Security Hub CSPM
A seconda delle impostazioni di pubblicazione scelte per il tuo account Macie, Macie può pubblicare tutti i risultati che crea su Security Hub CSPM, sia i risultati relativi ai dati sensibili che i risultati delle politiche. Per informazioni su queste impostazioni e su come modificarle, consulta. Configurazione delle impostazioni di pubblicazione per i risultati Per impostazione predefinita, Macie pubblica solo i risultati delle policy nuovi e aggiornati su Security Hub CSPM. Macie non pubblica i risultati relativi ai dati sensibili su Security Hub CSPM.
Rilevamenti relativi a dati sensibili
Se configuri Macie per pubblicare i risultati relativi ai dati sensibili su Security Hub CSPM, Macie pubblica automaticamente tutti i dati sensibili che crea per il tuo account e lo fa immediatamente dopo aver completato l'elaborazione del risultato. Macie esegue questa operazione per tutti i dati sensibili che non vengono archiviati automaticamente in base a una regola di soppressione.
Se sei l'amministratore Macie di un'organizzazione, la pubblicazione è limitata ai risultati dei lavori di rilevamento di dati sensibili che hai eseguito e alle attività automatizzate di rilevamento di dati sensibili eseguite da Macie per la tua organizzazione. Solo l'account che crea un lavoro può pubblicare i risultati relativi ai dati sensibili prodotti dal lavoro. Solo l'account amministratore di Macie può pubblicare i risultati relativi ai dati sensibili che il rilevamento automatico di dati sensibili produce per la propria organizzazione.
Quando Macie pubblica i risultati dei dati sensibili su Security Hub CSPM, utilizza il AWS Security Finding Format (ASFF), che è il formato standard per tutti i risultati in Security Hub CSPM. Nell'ASFF, il campo indica il tipo di risultato. Types Questo campo utilizza una tassonomia leggermente diversa dalla tassonomia dei tipi di risultati di Macie.
La tabella seguente elenca il tipo di ricerca ASFF per ogni tipo di ricerca di dati sensibili che Macie può creare.
| Tipo di ricerca Macie | Tipo di risultati ASFF |
|---|---|
SensitiveData:S3Object/Credentials |
Sensitive Data Identifications/Passwords/SensitiveData:S3Object-Credentials |
SensitiveData:S3Object/CustomIdentifier |
Sensitive Data Identifications/PII/SensitiveData:S3Object-CustomIdentifier |
|
SensitiveData:S3Object/Financial |
Sensitive Data Identifications/Financial/SensitiveData:S3Object-Financial |
SensitiveData:S3Object/Multiple |
Sensitive Data Identifications/PII/SensitiveData:S3Object-Multiple |
|
SensitiveData:S3Object/Personal |
Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal |
Risultati politici
Se configuri Macie per pubblicare i risultati delle policy su Security Hub CSPM, Macie pubblica automaticamente ogni nuova ricerca di policy che crea e lo fa immediatamente dopo aver terminato l'elaborazione del risultato. Se Macie rileva una successiva occorrenza di un risultato di policy esistente, pubblica automaticamente un aggiornamento del risultato esistente in Security Hub CSPM, utilizzando una frequenza di pubblicazione specificata per il tuo account. Macie esegue queste attività per tutti i risultati delle policy che non vengono archiviati automaticamente da una regola di soppressione.
Se sei l'amministratore Macie di un'organizzazione, la pubblicazione è limitata ai risultati delle policy per i bucket S3 di proprietà diretta del tuo account. Macie non pubblica i risultati delle politiche che crea o aggiorna per gli account dei membri della tua organizzazione. Questo aiuta a garantire che non ci siano dati sui risultati duplicati in Security Hub CSPM.
Come nel caso delle rilevazioni di dati sensibili, Macie utilizza il AWS Security Finding Format (ASFF) quando pubblica i risultati delle politiche nuovi e aggiornati su Security Hub CSPM. Nell'ASFF, il Types campo utilizza una tassonomia leggermente diversa dalla tassonomia dei tipi di risultati di Macie.
La tabella seguente elenca il tipo di ricerca ASFF per ogni tipo di ricerca politica che Macie può creare. Se Macie ha creato o aggiornato un risultato di policy in Security Hub CSPM a partire dal 28 gennaio 2021, il risultato ha uno dei seguenti valori per il campo ASFF in Types Security Hub CSPM.
| Tipo di ricerca Macie | Tipo di risultati ASFF |
|---|---|
|
Policy:IAMUser/S3BlockPublicAccessDisabled |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled |
Policy:IAMUser/S3BucketEncryptionDisabled |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketEncryptionDisabled |
|
Policy:IAMUser/S3BucketPublic |
Effects/Data Exposure/Policy:IAMUser-S3BucketPublic |
Policy:IAMUser/S3BucketReplicatedExternally |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketReplicatedExternally |
|
Policy:IAMUser/S3BucketSharedExternally |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedExternally |
|
Policy:IAMUser/S3BucketSharedWithCloudFront |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedWithCloudFront |
Se Macie ha creato o aggiornato l'ultima volta un risultato di policy prima del 28 gennaio 2021, il risultato ha uno dei seguenti valori per il Types campo ASFF in Security Hub CSPM:
-
Policy:IAMUser/S3BlockPublicAccessDisabled
-
Policy:IAMUser/S3BucketEncryptionDisabled
-
Policy:IAMUser/S3BucketPublic
-
Policy:IAMUser/S3BucketReplicatedExternally
-
Policy:IAMUser/S3BucketSharedExternally
I valori dell'elenco precedente vengono mappati direttamente ai valori del campo Finding type () type in Macie.
Note
Mentre esaminate ed elaborate i risultati delle policy in Security Hub CSPM, tenete presente le seguenti eccezioni:
-
In alcuni casi Regioni AWS, Macie ha iniziato a utilizzare i tipi di ricerca ASFF per risultati nuovi e aggiornati già il 25 gennaio 2021.
-
Se hai agito in base a una policy trovata in Security Hub CSPM prima che Macie iniziasse a utilizzare i tipi di ricerca ASFF nel tuo Regione AWS, il valore per il
Typescampo ASFF del risultato sarà uno dei tipi di ricerca Macie nell'elenco precedente. Non sarà uno dei tipi di risultati ASFF nella tabella precedente. Questo vale per i risultati delle politiche in base ai quali hai agito utilizzando la AWS Security Hub CSPM console o ilBatchUpdateFindingsfunzionamento dell'AWS Security Hub CSPM API.
Latenza per la pubblicazione dei risultati su Security Hub CSPM
Quando Amazon Macie crea una nuova policy o una ricerca di dati sensibili, pubblica il risultato AWS Security Hub CSPM immediatamente dopo aver terminato l'elaborazione del risultato.
Se Macie rileva una successiva occorrenza di un risultato di policy esistente, pubblica un aggiornamento del risultato esistente in Security Hub CSPM. La tempistica dell'aggiornamento dipende dalla frequenza di pubblicazione scelta per il tuo account Macie. Per impostazione predefinita, Macie pubblica gli aggiornamenti ogni 15 minuti. Per ulteriori informazioni, incluso come modificare le impostazioni dell'account, consulta. Configurazione delle impostazioni di pubblicazione per i risultati
Riprovare la pubblicazione quando Security Hub CSPM non è disponibile
Se non AWS Security Hub CSPMè disponibile, Amazon Macie crea una coda di risultati che non sono stati ricevuti da Security Hub CSPM. Quando il sistema viene ripristinato, Macie riprova a pubblicare fino a quando i risultati non vengono ricevuti dal Security Hub CSPM.
Aggiornamento dei risultati esistenti in Security Hub CSPM
Dopo che Amazon Macie ha pubblicato una decisione politica su AWS Security Hub CSPM, Macie aggiorna la scoperta per riflettere eventuali altre ricorrenze dell'attività di ricerca o di ricerca. Macie lo fa solo per risultati politici. Macie non aggiorna i dati sensibili rilevati in Security Hub CSPM. A differenza dei risultati delle policy, tutti i risultati relativi ai dati sensibili vengono trattati come nuovi (unici).
Quando Macie pubblica un aggiornamento di un risultato relativo a una policy, Macie aggiorna il valore del campo Updated At (UpdatedAt) del risultato. È possibile utilizzare questo valore per determinare quando Macie ha rilevato più di recente un successivo verificarsi della potenziale violazione delle politiche o del problema che ha prodotto la scoperta.
Macie potrebbe anche aggiornare il valore del campo Types (Types) di un risultato se il valore esistente per il campo non è un tipo di risultato ASFF. Dipende dal fatto che tu abbia agito o meno in base alla scoperta nel CSPM di Security Hub. Se non hai agito in base alla scoperta, Macie modifica il valore del campo con il tipo di risultato ASFF appropriato. Se hai agito in base alla scoperta, utilizzando la AWS Security Hub CSPM console o il BatchUpdateFindings funzionamento dell'AWS Security Hub CSPM API, Macie non modifica il valore del campo.
Esempi di scoperte di Macie in AWS Security Hub CSPM
Quando Amazon Macie pubblica i risultati su AWS Security Hub CSPM, utilizza il AWS Security Finding Format (ASFF). Questo è il formato standard per tutti i risultati in Security Hub CSPM. Gli esempi seguenti utilizzano dati di esempio per dimostrare la struttura e la natura dei dati dei risultati che Macie pubblica su Security Hub CSPM in questo formato:
Esempio di rilevamento di dati sensibili in Security Hub CSPM
Ecco un esempio di una scoperta di dati sensibili che Macie ha pubblicato su Security Hub CSPM utilizzando l'ASFF.
{
"SchemaVersion": "2018-10-08",
"Id": "5be50fce24526e670df77bc00example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types":[
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
],
"CreatedAt": "2022-05-11T10:23:49.667Z",
"UpdatedAt": "2022-05-11T10:23:49.667Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "The S3 object contains personal information.",
"Description": "The object contains personal information such as first or last names, addresses, or identification numbers.",
"ProductFields": {
"JobArn": "arn:aws:macie2:us-east-1:111122223333:classification-job/698e99c283a255bb2c992feceexample",
"S3Object.Path": "amzn-s3-demo-bucket/2022 Sourcing.tsv",
"S3Object.Extension": "tsv",
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"OriginType": "SENSITIVE_DATA_DISCOVERY_JOB",
"S3Object.PublicAccess": "false",
"S3Object.Size": "14",
"S3Object.StorageClass": "STANDARD",
"S3Bucket.allowsUnencryptedObjectUploads": "TRUE",
"JobId": "698e99c283a255bb2c992feceexample",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/5be50fce24526e670df77bc00example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-12-30T18:16:25.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"BlockPublicPolicy": true,
"IgnorePublicAcls": true,
"RestrictPublicBuckets": true
}
}
}
},
{
"Type": "AwsS3Object",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket/2022 Sourcing.tsv",
"Partition": "aws",
"Region": "us-east-1",
"DataClassification": {
"DetailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/111122223333/Macie/us-east-1/
698e99c283a255bb2c992feceexample/111122223333/32b8485d-4f3a-3aa1-be33-aa3f0example.jsonl.gz",
"Result":{
"MimeType": "text/tsv",
"SizeClassified": 14,
"AdditionalOccurrences": false,
"Status": {
"Code": "COMPLETE"
},
"SensitiveData": [
{
"Category": "PERSONAL_INFORMATION",
"Detections": [
{
"Count": 1,
"Type": "USA_SOCIAL_SECURITY_NUMBER",
"Occurrences": {
"Cells": [
{
"Column": 10,
"Row": 1,
"ColumnName": "Other"
}
]
}
}
],
"TotalCount": 1
}
],
"CustomDataIdentifiers": {
"Detections": [
],
"TotalCount": 0
}
}
},
"Details": {
"AwsS3Object": {
"LastModified": "2022-04-22T18:16:46.000Z",
"ETag": "ebe1ca03ee8d006d457444445example",
"VersionId": "SlBC72z5hArgexOJifxw_IN57example",
"ServerSideEncryption": "aws:kms",
"SSEKMSKeyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
]
},
"Sample": false,
"ProcessedAt": "2022-05-11T10:23:49.667Z"
}Esempio di una policy trovata in Security Hub CSPM
Ecco un esempio di una nuova scoperta politica che Macie ha pubblicato su Security Hub CSPM nell'ASFF.
{
"SchemaVersion": "2018-10-08",
"Id": "36ca8ba0-caf1-4fee-875c-37760example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
],
"CreatedAt": "2022-04-24T09:27:43.313Z",
"UpdatedAt": "2022-04-24T09:27:43.313Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "Block Public Access settings are disabled for the S3 bucket",
"Description": "All Amazon S3 block public access settings are disabled for the Amazon S3 bucket. Access to the bucket is
controlled only by access control lists (ACLs) or bucket policies.",
"ProductFields": {
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"S3Bucket.allowsUnencryptedObjectUploads": "FALSE",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/36ca8ba0-caf1-4fee-875c-37760example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Tags": {
"Team": "Recruiting",
"Division": "HR"
},
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-11-25T18:24:38.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": false,
"BlockPublicPolicy": false,
"IgnorePublicAcls": false,
"RestrictPublicBuckets": false
}
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
]
},
"Sample": false
}Integrazione di Macie con AWS Security Hub CSPM
Per integrare Amazon Macie con AWS Security Hub CSPM, abilita Security Hub CSPM per il tuo.Account AWS Per sapere come, consulta Enabling Security Hub CSPM nella Guida per l'AWS Security Hub utente.
Quando abiliti sia Macie che Security Hub CSPM, l'integrazione viene abilitata automaticamente. Per impostazione predefinita, Macie inizia a pubblicare automaticamente i risultati delle policy nuovi e aggiornati su Security Hub CSPM. Non è necessario eseguire ulteriori passaggi per configurare l'integrazione. Se disponi di risultati delle politiche esistenti quando l'integrazione è abilitata, Macie non li pubblica su Security Hub CSPM. Macie pubblica invece solo i risultati delle policy che crea o aggiorna dopo l'attivazione dell'integrazione.
Facoltativamente, puoi personalizzare la tua configurazione scegliendo la frequenza con cui Macie pubblica gli aggiornamenti ai risultati delle politiche in Security Hub CSPM. Puoi anche scegliere di pubblicare i risultati relativi ai dati sensibili su Security Hub CSPM. Per scoprire come, consulta Configurazione delle impostazioni di pubblicazione per i risultati.
Interruzione della pubblicazione dei risultati di Macie su AWS Security Hub CSPM
Per interrompere la pubblicazione dei risultati di Amazon Macie su AWS Security Hub CSPM, puoi modificare le impostazioni di pubblicazione per il tuo account Macie. Per scoprire come, consulta Scelta delle destinazioni di pubblicazione dei risultati. Puoi farlo anche usando Security Hub CSPM. Per sapere come, consulta Disabilitazione del flusso di risultati da un'integrazione nella Guida per l'AWS Security Hub utente.
