翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
を使用した Macie の検出結果の評価AWS Security Hub CSPM
AWS Security Hub CSPMは、AWS環境全体のセキュリティ体制を包括的に把握し、セキュリティ業界標準とベストプラクティスに照らして環境をチェックするのに役立つサービスです。これは部分的に、AWS のサービスサポートされている複数のAWS Partner Networkセキュリティソリューションからの結果を消費、集約、整理、優先順位付けすることによって行われます。Security Hub CSPM は、セキュリティの傾向を分析し、最も優先度の高いセキュリティ問題を特定するのに役立ちます。Security Hub CSPM を使用すると、複数の から検出結果を集約しAWS リージョン、1 つのリージョンから集約されたすべての検出結果データを評価して処理することもできます。Security Hub CSPM の詳細については、AWS Security Hub「 ユーザーガイド」を参照してください。
Amazon Macie は Security Hub CSPM と統合されています。つまり、Macie から Security Hub CSPM に結果を自動的に発行できます。Security Hub CSPM は、これらの検出結果をセキュリティ体制の分析に含めることができます。さらに、Security Hub CSPM を使用して、AWS環境の検出結果データの大規模な集約セットの一部として、ポリシーと機密データの検出結果を評価および処理できます。つまり、組織のセキュリティ体制の広範な分析を実行しながら、Macie の検出結果を評価し、必要に応じて、その検出結果を修復できます。Security Hub CSPM は、複数のプロバイダーからの大量の検出結果に対処する複雑さを軽減します。さらに、これは Macie からの検出結果を含むすべての検出結果に標準形式を使用します。この形式、すなわち AWS Security Finding 形式を使用すると、時間のかかるデータ変換作業を実行する必要性を排除します。
トピック
Macie が検出結果をAWS Security Hub CSPMに出力する方法
ではAWS Security Hub CSPM、セキュリティの問題は検出結果として追跡されます。一部の検出結果はAWS のサービス、Amazon Macie やサポートされているAWS Partner Networkセキュリティソリューションなど、 によって検出された問題に基づいています。Security Hub CSPM には、セキュリティの問題を検出し、検出結果を生成するために使用する一連のルールもあります。
Security Hub CSPM には、これらのすべてのソースの結果を管理するためのツールが用意されています。検出結果のリストを確認およびフィルタリングして、個々の検出結果の詳細をレビューできます。詳細については、「 AWS Security Hubユーザーガイド」の「検出結果の履歴と詳細の確認」を参照してください。結果の調査状況を追跡することもできます。詳細については、「AWS Security Hubユーザーガイド」の「結果のワークフローステータスを設定する」を参照してください。
Security Hub CSPM のすべての検出結果は、AWS Security Finding Format (ASFF) と呼ばれる標準 JSON 形式を使用します。ASFF には、問題のソース、影響を受けるリソース、および調査結果の現在のステータスに関する詳細が含まれます。詳細については、AWS Security Hubユーザーガイドの AWS Security Finding 形式 (ASFF)を参照してください。
Macie が Security Hub CSPM に発行する検出結果のタイプ
Macie アカウントで選択した発行設定に応じて、Macie は機密データの検出結果とポリシーの検出結果の両方を Security Hub CSPM に発行できます。これらの設定とそれらの変更方法については、調査結果の発行設定を設定するを参照してください。デフォルトでは、Macie は新規および更新されたポリシーの検出結果のみを Security Hub CSPM に発行します。Macie は機密データの検出結果を Security Hub CSPM に発行しません。
機密データの調査結果
機密データの検出結果を Security Hub CSPM に発行するように Macie を設定すると、Macie はアカウント用に作成した各機密データの検出結果を自動的に発行し、検出結果の処理が完了した直後に発行します。Macie は、抑制ルールによって自動的にアーカイブされないすべての機密データの調査結果に対してこれを行います。
ユーザーが組織の Macie 管理者である場合、出力は、Macie の所属組織の機密データ検出活動をユーザーが実行および自動化する機密データ検出ジョブからの検出結果に限定されます。ジョブを作成するアカウントのみが、ジョブが生成する機密データの結果を発行できます。Macie 管理者アカウントのみが、機密データ自動検出によって所属組織用に生成された機密データ検出結果を出力できます。
Macie が機密データの検出結果を Security Hub CSPM に発行すると、AWS Security Hub CSPM のすべての検出結果の標準形式である Security Finding Format (ASFF) が使用されます。ASFF では、Types フィールドは調査結果のタイプを示します。このフィールドでは、Macie での調査結果タイプの分類とは若干異なる分類を使用します。
次のテーブルに、Macie が作成できる機密データの調査結果の各タイプの ASFF 調査結果タイプを示します。
| Macie 調査結果タイプ | ASFF 調査結果タイプ |
|---|---|
SensitiveData:S3Object/Credentials |
Sensitive Data Identifications/Passwords/SensitiveData:S3Object-Credentials |
SensitiveData:S3Object/CustomIdentifier |
Sensitive Data Identifications/PII/SensitiveData:S3Object-CustomIdentifier |
|
SensitiveData:S3Object/Financial |
Sensitive Data Identifications/Financial/SensitiveData:S3Object-Financial |
SensitiveData:S3Object/Multiple |
Sensitive Data Identifications/PII/SensitiveData:S3Object-Multiple |
|
SensitiveData:S3Object/Personal |
Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal |
ポリシーの調査結果
ポリシーの検出結果を Security Hub CSPM に発行するように Macie を設定すると、Macie は作成した新しいポリシーの検出結果を自動的に発行し、検出結果の処理が完了した直後に発行します。Macie が既存のポリシー検出結果の後続の発生を検出すると、アカウントで指定した発行頻度を使用して、Security Hub CSPM の既存の検出結果の更新を自動的に発行します。Macie は、抑制ルールによって自動的にアーカイブされないすべてのポリシーの調査結果に対してこれらのタスクを実行します。
ユーザーが組織の Macie 管理者である場合、出力は、ユーザーのアカウントが直接所有する S3 バケットのポリシー検出結果に制限されます。Macie は、組織内のメンバーアカウントに対して作成または更新したポリシーの調査結果を発行しません。これにより、Security Hub CSPM に重複した検出結果データがないことを確認できます。
機密データの検出結果の場合と同様に、Macie はAWS Security Hub CSPM に新規および更新されたポリシーの検出結果を公開するときに Security Finding 形式 (ASFF) を使用します。ASFF では、Types フィールドは、Macie での調査結果タイプの分類とは若干異なる分類を使用します。
次のテーブルに、Macie が作成できるポリシーの調査結果の各タイプについて ASFF 調査結果タイプを示します。Macie が 2021 年 1 月 28 日以降に Security Hub CSPM でポリシー検出結果を作成または更新した場合、検出結果には Security Hub CSPM の ASFF Typesフィールドの次のいずれかの値があります。
| Macie 調査結果タイプ | ASFF 調査結果タイプ |
|---|---|
|
Policy:IAMUser/S3BlockPublicAccessDisabled |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled |
Policy:IAMUser/S3BucketEncryptionDisabled |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketEncryptionDisabled |
|
Policy:IAMUser/S3BucketPublic |
Effects/Data Exposure/Policy:IAMUser-S3BucketPublic |
Policy:IAMUser/S3BucketReplicatedExternally |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketReplicatedExternally |
|
Policy:IAMUser/S3BucketSharedExternally |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedExternally |
|
Policy:IAMUser/S3BucketSharedWithCloudFront |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedWithCloudFront |
Macie が 2021 年 1 月 28 日より前にポリシー検出結果を作成または最後に更新した場合、検出結果には Security Hub CSPM の ASFF Typesフィールドの次のいずれかの値があります。
-
Policy:IAMUser/S3BlockPublicAccessDisabled
-
Policy:IAMUser/S3BucketEncryptionDisabled
-
Policy:IAMUser/S3BucketPublic
-
Policy:IAMUser/S3BucketReplicatedExternally
-
Policy:IAMUser/S3BucketSharedExternally
前のリストの値は、Macieの 調査結果タイプ(type) フィールドの値に直接マッピングされます。
注意事項
Security Hub CSPM でポリシーの検出結果を確認して処理するときは、次の例外に注意してください。
-
確かにAWS リージョン、Macie は 2021 年 1 月 25 日に、新規および更新された検出結果に ASFF 検出結果タイプの使用を開始しました。
-
Macie が で ASFF 検出結果タイプの使用を開始する前に Security Hub CSPM でポリシー検出結果を実行した場合AWS リージョン、検出結果の ASFF
Typesフィールドの値は、前述のリストの Macie 検出結果タイプの 1 つです。それは、前のテーブルの ASFF 調査結果タイプのいずれかにはなりません。これは、AWS Security Hub CSPMコンソールまたは API のAWS Security Hub CSPMBatchUpdateFindingsオペレーションを使用して実行したポリシーの検出結果に当てはまります。
Security Hub CSPM に結果を発行するレイテンシー
Amazon Macie は、新しいポリシーまたは機密データの検出結果を作成するとき、検出結果の処理が終了した直後にAWS Security Hub CSPMにその調査結果を発行します。
Macie が既存のポリシー検出結果の後続の発生を検出すると、Security Hub CSPM の既存の検出結果の更新を発行します。更新のタイミングは、Macie アカウントで選択した発行頻度によって異なります。デフォルトでは、Macie は 15 分ごとに更新を発行します。アカウントの設定を変更する方法など、詳細については、調査結果の発行設定を設定するを参照してください。
Security Hub CSPM が利用できない場合の発行の再試行
AWS Security Hub CSPMが使用できない場合、Amazon Macie は Security Hub CSPM によって受信されていない検出結果のキューを作成します。システムが復元されると、Macie は Security Hub CSPM が検出結果を受信するまで発行を再試行します。
Security Hub CSPM の既存の検出結果を更新する
Amazon Macie がポリシー検出結果を に発行するとAWS Security Hub CSPM、Macie は検出結果を更新して、検出結果または検出結果アクティビティの追加の発生を反映します。Macie は、ポリシーの調査結果についてのみこれを行います。Macie は Security Hub CSPM で機密データの検出結果を更新しません。ポリシー検出結果とは異なり、機密データ検捨結果はすべて、新規 (一意) として処理されます。
Macie がポリシー結果への更新を発行するときに、Macie は、調査結果の 更新時刻UpdatedAtのフィールド値を更新します。この値を使用して、検出結果を生成した潜在的なポリシー違反または問題のその後の出現を Macie が最後に検出したタイミングを判断できます。
Macie は、フィールドの既存の値が ASFF 調査結果タイプではない場合、調査結果の タイプTypesフィールドの値も更新する場合があります。これは、Security Hub CSPM の結果に基づいて行動したかどうかによって異なります。調査結果を処理していない場合、Macie はフィールドの値を適切な ASFF 調査結果タイプに変更します。AWS Security Hub CSPMコンソールまたはAWS Security Hub CSPM API の BatchUpdateFindingsオペレーションを使用して検出結果を処理した場合、Macie はフィールドの値を変更しません。
AWS Security Hub CSPMでの Macie の検出結果の例
Amazon Macie が検出結果を に発行するときはAWS Security Hub CSPM、AWS Security Finding 形式 (ASFF) を使用します。これは、Security Hub CSPM のすべての検出結果の標準形式です。次の例では、サンプルデータを使用して、Macie がこの形式で Security Hub CSPM に発行する検出結果データの構造と性質を示します。
Security Hub CSPM での機密データの検出結果の例
以下は、Macie が ASFF を使用して Security Hub CSPM に公開した機密データの検出結果の例です。
{
"SchemaVersion": "2018-10-08",
"Id": "5be50fce24526e670df77bc00example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types":[
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
],
"CreatedAt": "2022-05-11T10:23:49.667Z",
"UpdatedAt": "2022-05-11T10:23:49.667Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "The S3 object contains personal information.",
"Description": "The object contains personal information such as first or last names, addresses, or identification numbers.",
"ProductFields": {
"JobArn": "arn:aws:macie2:us-east-1:111122223333:classification-job/698e99c283a255bb2c992feceexample",
"S3Object.Path": "amzn-s3-demo-bucket/2022 Sourcing.tsv",
"S3Object.Extension": "tsv",
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"OriginType": "SENSITIVE_DATA_DISCOVERY_JOB",
"S3Object.PublicAccess": "false",
"S3Object.Size": "14",
"S3Object.StorageClass": "STANDARD",
"S3Bucket.allowsUnencryptedObjectUploads": "TRUE",
"JobId": "698e99c283a255bb2c992feceexample",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/5be50fce24526e670df77bc00example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-12-30T18:16:25.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"BlockPublicPolicy": true,
"IgnorePublicAcls": true,
"RestrictPublicBuckets": true
}
}
}
},
{
"Type": "AwsS3Object",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket/2022 Sourcing.tsv",
"Partition": "aws",
"Region": "us-east-1",
"DataClassification": {
"DetailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/111122223333/Macie/us-east-1/
698e99c283a255bb2c992feceexample/111122223333/32b8485d-4f3a-3aa1-be33-aa3f0example.jsonl.gz",
"Result":{
"MimeType": "text/tsv",
"SizeClassified": 14,
"AdditionalOccurrences": false,
"Status": {
"Code": "COMPLETE"
},
"SensitiveData": [
{
"Category": "PERSONAL_INFORMATION",
"Detections": [
{
"Count": 1,
"Type": "USA_SOCIAL_SECURITY_NUMBER",
"Occurrences": {
"Cells": [
{
"Column": 10,
"Row": 1,
"ColumnName": "Other"
}
]
}
}
],
"TotalCount": 1
}
],
"CustomDataIdentifiers": {
"Detections": [
],
"TotalCount": 0
}
}
},
"Details": {
"AwsS3Object": {
"LastModified": "2022-04-22T18:16:46.000Z",
"ETag": "ebe1ca03ee8d006d457444445example",
"VersionId": "SlBC72z5hArgexOJifxw_IN57example",
"ServerSideEncryption": "aws:kms",
"SSEKMSKeyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
]
},
"Sample": false,
"ProcessedAt": "2022-05-11T10:23:49.667Z"
}Security Hub CSPM のポリシー検出結果の例
Macie が ASFF の Security Hub CSPM に公開した新しいポリシー検出結果の例を次に示します。
{
"SchemaVersion": "2018-10-08",
"Id": "36ca8ba0-caf1-4fee-875c-37760example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
],
"CreatedAt": "2022-04-24T09:27:43.313Z",
"UpdatedAt": "2022-04-24T09:27:43.313Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "Block Public Access settings are disabled for the S3 bucket",
"Description": "All Amazon S3 block public access settings are disabled for the Amazon S3 bucket. Access to the bucket is
controlled only by access control lists (ACLs) or bucket policies.",
"ProductFields": {
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"S3Bucket.allowsUnencryptedObjectUploads": "FALSE",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/36ca8ba0-caf1-4fee-875c-37760example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Tags": {
"Team": "Recruiting",
"Division": "HR"
},
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-11-25T18:24:38.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": false,
"BlockPublicPolicy": false,
"IgnorePublicAcls": false,
"RestrictPublicBuckets": false
}
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
]
},
"Sample": false
}Macie と の統合AWS Security Hub CSPM
Amazon Macie を と統合するにはAWS Security Hub CSPM、 の Security Hub CSPM を有効にしますAWS アカウント。詳細については、「 AWS Security Hubユーザーガイド」の「Security Hub CSPM の有効化」を参照してください。
Macie と Security Hub CSPM の両方を有効にすると、統合は自動的に有効になります。デフォルトでは、Macie は新規および更新されたポリシーの検出結果を Security Hub CSPM に自動的に発行し始めます。統合を設定するために、追加のステップを実行する必要はありません。統合が有効になっているときに既存のポリシー検出結果がある場合、Macie は Security Hub CSPM に発行しません。代わりに、Macie は統合が有効になった後に作成または更新されたポリシー検出結果のみを発行します。
オプションで、Macie が Security Hub CSPM でポリシー検出結果の更新を発行する頻度を選択することで、設定をカスタマイズできます。機密データの検出結果を Security Hub CSPM に発行することもできます。この方法の詳細は、「調査結果の発行設定を設定する」を参照してください。
Macie の検出結果のAWS Security Hub CSPMへの発行停止
Amazon Macie の検出結果の への発行を停止するにはAWS Security Hub CSPM、Macie アカウントの発行設定を変更します。この方法の詳細は、「調査結果の発行先を選択する」を参照してください。これを行うには、Security Hub CSPM を使用します。方法については、「AWS Security Hubユーザーガイド」の「統合先からの結果のフローの無効化」を参照してください。
