本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
评估 Macie 的调查结果AWS Security Hub CSPM
AWS Security Hub CSPM是一项服务,可让您全面了解整个AWS环境中的安全状况,并帮助您根据安全行业标准和最佳实践检查您的环境。它部分通过使用、汇总、整理来自多个AWS 服务且受支持AWS Partner Network的安全解决方案的发现结果并对其进行优先级排序来实现。Security Hub CSPM 可帮助您分析安全趋势并确定优先级最高的安全问题。借助 Security Hub CSPM,您还可以汇总来自多个区域的调查结果AWS 区域,然后评估和处理来自单个区域的所有聚合结果数据。要了解有关 Security Hub CSPM 的更多信息,请参阅《AWS Security Hub用户指南》。
亚马逊 Macie 与 Security Hub CSPM 集成,这意味着你可以自动将调查结果从 Macie 发布到 Security Hub CSPM。然后,Security Hub CSPM 可以将这些发现纳入其对您的安全态势的分析中。此外,您可以使用 Security Hub CSPM 来评估和处理策略和敏感数据发现,将其作为环境中更大的聚合结果数据集的一部分。AWS换句话说,您可以在对组织的安全状况进行更广泛分析的同时,对 Macie 的调查发现进行评估,并在必要时对调查发现进行补救。Security Hub CSPM 降低了处理来自多个提供商的大量调查结果的复杂性。此外,它对所有调查发现(包括 Macie 调查发现)都使用标准格式。使用这种格式,即AWS安全调查发现格式 (ASFF),您无需执行耗时的数据转换工作。
主题
Macie 如何向AWS Security Hub CSPM发布调查发现
在中AWS Security Hub CSPM,安全问题作为发现结果进行跟踪。有些发现来自由AWS 服务(例如 Amazon Macie)或支持AWS Partner Network的安全解决方案检测到的问题。Security Hub CSPM 还有一套用于检测安全问题和生成调查发现的规则。
Security Hub CSPM 提供了管理来自所有这些来源的发现的工具。您可以查看和筛选结果列表,并查看单个调查发现的详细信息。要了解操作方法,请参阅AWS Security Hub用户指南中的查看查找历史记录和详细信息。您还可以跟踪调查发现的调查状态。要了解如何操作,请参阅《AWS Security Hub用户指南》中的设置调查发现的工作流程状态。
Security Hub CSPM 中的所有发现都使用一种称为AWS安全调查结果格式 (ASFF) 的标准 JSON 格式。ASFF 包括有关问题根源、受影响资源以及调查发现当前状态的详细信息。有关更多信息,请参阅 AWS Security Hub用户指南中的 AWS Security Finding 格式 (ASFF)。
Macie 向 Security Hub CSPM 发布的调查结果类型
根据您为 Macie 账户选择的发布设置,Macie 可以将其创建的所有调查结果(包括敏感数据发现和政策发现)发布到 Security Hub CSPM。有关这些设置以及如何更改它们的信息,请参阅 为调查发现配置发布设置。默认情况下,Macie 仅向 Security Hub CSPM 发布新的和更新的政策调查结果。Macie 不会向 Security Hub CSPM 发布敏感数据发现。
敏感数据调查发现
如果您将 Macie 配置为将敏感数据发现结果发布到 Security Hub CSPM,则 Macie 会自动发布它为你的账户创建的每个敏感数据查找结果,并在处理完查找结果后立即发布。Macie 会对所有未按抑制规则自动存档的敏感数据调查发现执行此操作。
如果您是组织的 Macie 管理员,则仅可发布您运行的敏感数据发现作业的调查发现,以及 Macie 为组织执行的自动敏感数据发现活动的调查发现。仅作业创建账户才能发布此作业产生的敏感数据调查发现。仅 Macie 管理员账户可为组织发布自动敏感数据发现活动中生成的敏感数据调查发现。
当 Macie 向 Security Hub CSPM 发布敏感数据发现时,它使用AWS安全调查结果格式 (ASFF),这是 Security Hub CSPM 中所有发现结果的标准格式。在 ASFF 中,该 Types 字段表示调查发现的类型。此字段使用的分类法与 Macie 中的调查发现类型分类法略有不同。
下表列出了 Macie 可以为每类敏感数据调查发现创建的 ASFF 调查发现类型。
| Macie 调查发现类型 | ASFF 结果类型 |
|---|---|
SensitiveData:S3Object/Credentials |
Sensitive Data Identifications/Passwords/SensitiveData:S3Object-Credentials |
SensitiveData:S3Object/CustomIdentifier |
Sensitive Data Identifications/PII/SensitiveData:S3Object-CustomIdentifier |
|
SensitiveData:S3Object/Financial |
Sensitive Data Identifications/Financial/SensitiveData:S3Object-Financial |
SensitiveData:S3Object/Multiple |
Sensitive Data Identifications/PII/SensitiveData:S3Object-Multiple |
|
SensitiveData:S3Object/Personal |
Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal |
策略调查发现
如果您将 Macie 配置为将策略结果发布到 Security Hub CSPM,则 Macie 会自动发布它创建的每个新策略调查结果,并且会在处理完发现后立即发布。如果 Macie 检测到后续出现现有策略发现,它会使用您为账户指定的发布频率,自动在 Security Hub CSPM 中发布现有发现的更新。Macie 对所有未按抑制规则自动存档的策略调查发现执行此任务。
如果您是组织的 Macie 管理员,则发布内容仅限直属于您账户的 S3 存储桶的策略调查发现。对于组织中的成员账户创建或更新的策略调查发现,Macie 不会发布。这有助于确保 Security Hub CSPM 中没有重复的发现数据。
与敏感数据发现一样,Macie 在向 Sec AWS urity Hub CSPM 发布新的和更新的策略发现时使用安全调查结果格式 (ASFF)。在 ASFF 中,该 Types 字段使用的分类法与 Macie 中的调查发现类型分类法略有不同。
下表列出了 Macie 可针对每种策略调查发现创建的 ASFF 调查发现类型。如果 Macie 在 2021 年 1 月 28 日当天或之后在 Security Hub CSPM 中创建或更新了策略调查结果,则该发现的 Sec Types urity Hub CSPM 中的 ASFF 字段具有以下值之一。
| Macie 调查发现类型 | ASFF 结果类型 |
|---|---|
|
Policy:IAMUser/S3BlockPublicAccessDisabled |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled |
Policy:IAMUser/S3BucketEncryptionDisabled |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketEncryptionDisabled |
|
Policy:IAMUser/S3BucketPublic |
Effects/Data Exposure/Policy:IAMUser-S3BucketPublic |
Policy:IAMUser/S3BucketReplicatedExternally |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketReplicatedExternally |
|
Policy:IAMUser/S3BucketSharedExternally |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedExternally |
|
Policy:IAMUser/S3BucketSharedWithCloudFront |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedWithCloudFront |
如果 Macie 在 2021 年 1 月 28 日之前创建或上次更新了策略调查结果,则该发现的 Security Hub CSPM 中的 ASFF Types 字段具有以下值之一:
-
Policy:IAMUser/S3BlockPublicAccessDisabled
-
Policy:IAMUser/S3BucketEncryptionDisabled
-
Policy:IAMUser/S3BucketPublic
-
Policy:IAMUser/S3BucketReplicatedExternally
-
Policy:IAMUser/S3BucketSharedExternally
前面列表中的值直接映射至 Macie 中调查发现类型 (type) 字段的值。
注意
在 Security Hub CSPM 中查看和处理策略结果时,请注意以下例外情况:
-
当然AWS 区域,早在2021年1月25日,Macie就开始使用ASFF查找类型来获取新的和更新的发现。
-
如果您在 Macie 开始在您的中使用 ASFF 查找类型之前对 Security Hub CSPM 中的策略发现采取了行动AWS 区域,则该发现的 ASFF
Types字段的值将是前面列表中的 Macie 查找类型之一。它不会是上表列出的 ASFF 调查发现类型之一。对于您使用AWS Security Hub CSPM控制台或AWS Security Hub CSPM APIBatchUpdateFindings操作执行的政策发现而言,情况确实如此。
将调查结果发布到 Security Hub CSPM 的延迟
当 Amazon Macie 创建新的策略或敏感数据调查发现时,它会在完成处理后立即将调查发现发布至AWS Security Hub CSPM。
如果 Macie 检测到后续出现现有策略发现,它会在 Security Hub CSPM 中发布现有发现的更新。更新的时间取决于您为 Macie 账户选择的发布频率。默认情况下,Macie 每 15 分钟发布一次更新。有关更多信息(包括如何更改账户设置),请参阅 为调查发现配置发布设置。
当 Security Hub CSPM 不可用时重试发布
如果AWS Security Hub CSPM不可用,Amazon Macie 会创建一个 Security Hub CSPM 尚未收到的调查结果队列。系统恢复后,Macie 会重试发布,直到 Security Hub CSPM 收到调查结果。
更新 Security Hub CSPM 中的现有调查发现
在 Amazon Macie 向其发布政策调查结果后AWS Security Hub CSPM,Macie 会更新调查结果以反映该发现或发现活动中出现的任何其他事件。Macie 仅针对策略调查发现执行此操作。Macie 不会更新 Security Hub CSPM 中发现的敏感数据。与策略调查发现不同,所有敏感数据调查发现都被视为新的(唯一的)。
当 Macie 发布策略调查发现的更新时,Macie 会更新该调查发现的 更新于 (UpdatedAt) 字段值。当 Macie 近期检测到后续调查发现生成过程中会发生潜在策略违规行为或问题时,您可通过此值进行判定。
如果此字段的现有值不是ASFF 调查发现类型,则 Macie 也可以更新类型 (Types) 字段值。这取决于你是否根据Security Hub CSPM中的发现采取了行动。如果您尚未对调查发现执行操作,Macie 会将该字段的值更改为相应的 ASFF 调查发现类型。如果您使用AWS Security Hub CSPM控制台或AWS Security Hub CSPM API 的操作对发现进行了BatchUpdateFindings操作,则 Macie 不会更改该字段的值。
AWS Security Hub CSPM中的 Macie 调查发现示例
当 Amazon Macie 向发布调查结果时AWS Security Hub CSPM,它会使用AWS安全调查结果格式 (AS FF)。这是 Security Hub CSPM 中所有发现结果的标准格式。以下示例使用示例数据来演示 Macie 以这种格式发布到 Security Hub CSPM 的调查结果数据的结构和性质:
在 Security Hub CSPM 中发现敏感数据的示例
以下是 Macie 使用 ASFF 向 Security Hub CSPM 发布的敏感数据发现的示例。
{
"SchemaVersion": "2018-10-08",
"Id": "5be50fce24526e670df77bc00example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types":[
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
],
"CreatedAt": "2022-05-11T10:23:49.667Z",
"UpdatedAt": "2022-05-11T10:23:49.667Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "The S3 object contains personal information.",
"Description": "The object contains personal information such as first or last names, addresses, or identification numbers.",
"ProductFields": {
"JobArn": "arn:aws:macie2:us-east-1:111122223333:classification-job/698e99c283a255bb2c992feceexample",
"S3Object.Path": "amzn-s3-demo-bucket/2022 Sourcing.tsv",
"S3Object.Extension": "tsv",
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"OriginType": "SENSITIVE_DATA_DISCOVERY_JOB",
"S3Object.PublicAccess": "false",
"S3Object.Size": "14",
"S3Object.StorageClass": "STANDARD",
"S3Bucket.allowsUnencryptedObjectUploads": "TRUE",
"JobId": "698e99c283a255bb2c992feceexample",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/5be50fce24526e670df77bc00example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-12-30T18:16:25.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"BlockPublicPolicy": true,
"IgnorePublicAcls": true,
"RestrictPublicBuckets": true
}
}
}
},
{
"Type": "AwsS3Object",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket/2022 Sourcing.tsv",
"Partition": "aws",
"Region": "us-east-1",
"DataClassification": {
"DetailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/111122223333/Macie/us-east-1/
698e99c283a255bb2c992feceexample/111122223333/32b8485d-4f3a-3aa1-be33-aa3f0example.jsonl.gz",
"Result":{
"MimeType": "text/tsv",
"SizeClassified": 14,
"AdditionalOccurrences": false,
"Status": {
"Code": "COMPLETE"
},
"SensitiveData": [
{
"Category": "PERSONAL_INFORMATION",
"Detections": [
{
"Count": 1,
"Type": "USA_SOCIAL_SECURITY_NUMBER",
"Occurrences": {
"Cells": [
{
"Column": 10,
"Row": 1,
"ColumnName": "Other"
}
]
}
}
],
"TotalCount": 1
}
],
"CustomDataIdentifiers": {
"Detections": [
],
"TotalCount": 0
}
}
},
"Details": {
"AwsS3Object": {
"LastModified": "2022-04-22T18:16:46.000Z",
"ETag": "ebe1ca03ee8d006d457444445example",
"VersionId": "SlBC72z5hArgexOJifxw_IN57example",
"ServerSideEncryption": "aws:kms",
"SSEKMSKeyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
]
},
"Sample": false,
"ProcessedAt": "2022-05-11T10:23:49.667Z"
}在 Security Hub CSPM 中发现的策略示例
以下是Macie在ASFF上向Security Hub CSPM发布的一项新政策发现的示例。
{
"SchemaVersion": "2018-10-08",
"Id": "36ca8ba0-caf1-4fee-875c-37760example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
],
"CreatedAt": "2022-04-24T09:27:43.313Z",
"UpdatedAt": "2022-04-24T09:27:43.313Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "Block Public Access settings are disabled for the S3 bucket",
"Description": "All Amazon S3 block public access settings are disabled for the Amazon S3 bucket. Access to the bucket is
controlled only by access control lists (ACLs) or bucket policies.",
"ProductFields": {
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"S3Bucket.allowsUnencryptedObjectUploads": "FALSE",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/36ca8ba0-caf1-4fee-875c-37760example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Tags": {
"Team": "Recruiting",
"Division": "HR"
},
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-11-25T18:24:38.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": false,
"BlockPublicPolicy": false,
"IgnorePublicAcls": false,
"RestrictPublicBuckets": false
}
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
]
},
"Sample": false
}将 Macie 与AWS Security Hub CSPM
要将 Amazon Macie 与集成AWS Security Hub CSPM,请为你启用 Security Hub CSPM。AWS 账户要了解如何操作,请参阅《AWS Security Hub用户指南》中的 “启用 Security Hub CSPM”。
当你同时启用 Macie 和 Security Hub CSPM 时,集成会自动启用。默认情况下,Macie 开始自动向 Security Hub CSPM 发布新的和更新的政策调查结果。您无需执行任何其他步骤,即可配置集成。如果您在启用集成时已有策略发现,Macie 不会将其发布到 Security Hub CSPM。相反,Macie 只发布它在启用集成后创建或更新的策略调查发现。
您可以选择通过选择 Macie 在 Security Hub CSPM 中发布策略发现更新的频率来自定义您的配置。您也可以选择将敏感数据发现发布到 Security Hub CSPM。要了解如何操作,请参阅为调查发现配置发布设置。
停止向AWS Security Hub CSPM发布 Macie 调查发现
要停止向其发布亚马逊 Macie 调查结果AWS Security Hub CSPM,您可以更改 Macie 账户的发布设置。要了解如何操作,请参阅为调查发现选择发布目标。你也可以使用 Security Hub CSPM 来做到这一点。要了解如何操作,请参阅《AWS Security Hub用户指南》中的禁用集成调查发现流。
