本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 評估 Macie 調查結果 AWS Security Hub
AWS Security Hub 是一項服務,可讓您全面檢視整個 AWS 環境的安全狀態,並協助您根據安全產業標準和最佳實務檢查環境。它透過取用、彙總、組織和優先處理來自多個 AWS 服務 和支援 AWS Partner Network 的安全解決方案的問題清單,部分地做到這一點。Security Hub 可協助您分析安全趨勢,並識別最高優先順序的安全問題。使用 Security Hub,您也可以彙總多個調查結果 AWS 區域,然後評估和處理來自單一區域的所有彙總調查結果資料。若要進一步了解 Security Hub,請參閱 AWS Security Hub 使用者指南。
Amazon Macie 與 Security Hub 整合,這表示您可以將問題清單從 Macie 自動發佈到 Security Hub。Security Hub 接著可將這些問題清單納入其安全狀態的分析中。此外,您可以使用 Security Hub 來評估和處理政策和敏感資料調查結果,作為您 AWS 環境較大、彙總調查結果資料的一部分。換句話說,您可以在對組織的安全狀態執行更廣泛的分析時評估 Macie 問題清單,並視需要修復問題清單。Security Hub 可降低處理來自多個供應商大量調查結果的複雜性。此外,它對所有問題清單使用標準格式,包括 Macie 的問題清單。使用此格式是AWS 安全調查結果格式 (ASFF),您不需要執行耗時的資料轉換工作。
主題
Macie 如何發佈問題清單至 AWS Security Hub
在 中 AWS Security Hub,安全問題會追蹤為問題清單。有些問題清單來自 偵測到的問題 AWS 服務,例如 Amazon Macie,或受支援 AWS Partner Network 的安全解決方案。Security Hub 也有一組規則,用來偵測安全問題並產生問題清單。
Security Hub 提供工具來管理所有這些來源的問題清單。您可以檢閱和篩選問題清單,並檢閱個別問題清單的詳細資訊。若要了解如何進行,請參閱AWS Security Hub 《 使用者指南》中的檢閱問題清單歷史記錄和問題清單詳細資訊。您也可以追蹤問題清單的調查狀態。若要了解如何進行,請參閱AWS Security Hub 《 使用者指南》中的設定問題清單的工作流程狀態。
所有 Security Hub 中的問題清單都使用稱為 AWS 安全問題清單格式 (ASFF) 的標準 JSON 格式。ASFF 包含問題來源的詳細資訊、受影響的資源,以及問題清單的目前狀態。請參閱《AWS Security Hub 使用者指南》中的 AWS 安全問題清單格式 (ASFF)。
Macie 發佈至 Security Hub 的問題清單類型
根據您為 Macie 帳戶選擇的發佈設定,Macie 可以將其建立的所有調查結果發佈至 Security Hub,包括敏感資料調查結果和政策調查結果。如需這些設定以及如何變更設定的資訊,請參閱 設定問題清單的發佈設定。根據預設,Macie 只會將新的和更新的政策調查結果發佈至 Security Hub。Macie 不會將敏感資料調查結果發佈至 Security Hub。
敏感資料調查結果
如果您設定 Macie 將敏感資料調查結果發佈到 Security Hub,Macie 會自動發佈它為您的帳戶建立的每個敏感資料調查結果,並在它完成處理調查結果後立即這樣做。Macie 會對未由禁止規則自動封存的所有敏感資料調查結果執行此操作。
如果您是組織的 Macie 管理員,則發佈僅限於您執行之敏感資料探索任務的調查結果,以及 Macie 為組織執行的自動化敏感資料探索活動。只有建立任務的帳戶可以發佈任務產生的敏感資料調查結果。只有 Macie 管理員帳戶可以發佈自動化敏感資料探索為其組織產生的敏感資料調查結果。
當 Macie 將敏感資料調查結果發佈至 Security Hub 時,會使用 AWS Security Finding Format (ASFF),這是 Security Hub 中所有調查結果的標準格式。在 ASFF 中, Types 欄位表示調查結果的類型。此欄位使用的分類與 Macie 中的調查結果類型分類略有不同。
下表列出 Macie 可以建立之每種敏感資料調查結果的 ASFF 調查結果類型。
| Macie 調查結果類型 | ASFF 問題清單類型 |
|---|---|
SensitiveData:S3Object/Credentials |
Sensitive Data Identifications/Passwords/SensitiveData:S3Object-Credentials |
SensitiveData:S3Object/CustomIdentifier |
Sensitive Data Identifications/PII/SensitiveData:S3Object-CustomIdentifier |
|
SensitiveData:S3Object/Financial |
Sensitive Data Identifications/Financial/SensitiveData:S3Object-Financial |
SensitiveData:S3Object/Multiple |
Sensitive Data Identifications/PII/SensitiveData:S3Object-Multiple |
|
SensitiveData:S3Object/Personal |
Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal |
政策調查結果
如果您設定 Macie 將政策調查結果發佈到 Security Hub,Macie 會自動發佈其建立的每個新政策調查結果,並在它完成處理調查結果後立即這樣做。如果 Macie 偵測到現有政策調查結果的後續出現,它會使用您為帳戶指定的發佈頻率,自動發佈更新至 Security Hub 中的現有調查結果。Macie 會針對未被禁止規則自動封存的所有政策調查結果執行這些任務。
如果您是組織的 Macie 管理員,則發佈僅限於您的 帳戶直接擁有的 S3 儲存貯體的政策調查結果。Macie 不會發佈其為組織中的成員帳戶建立或更新的政策調查結果。這有助於確保您在 Security Hub 中沒有重複的問題清單資料。
如同敏感資料調查結果的情況,Macie 會在將新的和更新的政策調查結果發佈至 Security Hub 時使用 AWS 安全調查結果格式 (ASFF)。在 ASFF 中, Types 欄位使用與 Macie 中調查結果類型分類略有不同的分類。
下表列出 Macie 可以建立之每種政策調查結果的 ASFF 調查結果類型。如果 Macie 在 2021 年 1 月 28 日或之後在 Security Hub 中建立或更新政策調查結果,則該調查結果具有下列其中一個適用於 Security Hub 中 ASFF Types 欄位的值。
| Macie 調查結果類型 | ASFF 問題清單類型 |
|---|---|
|
Policy:IAMUser/S3BlockPublicAccessDisabled |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled |
Policy:IAMUser/S3BucketEncryptionDisabled |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketEncryptionDisabled |
|
Policy:IAMUser/S3BucketPublic |
Effects/Data Exposure/Policy:IAMUser-S3BucketPublic |
Policy:IAMUser/S3BucketReplicatedExternally |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketReplicatedExternally |
|
Policy:IAMUser/S3BucketSharedExternally |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedExternally |
|
Policy:IAMUser/S3BucketSharedWithCloudFront |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedWithCloudFront |
如果 Macie 在 2021 年 1 月 28 日之前建立或上次更新政策調查結果,則調查結果在 Security Hub 中的 ASFF Types 欄位具有下列其中一個值:
-
Policy:IAMUser/S3BlockPublicAccessDisabled
-
Policy:IAMUser/S3BucketEncryptionDisabled
-
Policy:IAMUser/S3BucketPublic
-
Policy:IAMUser/S3BucketReplicatedExternally
-
Policy:IAMUser/S3BucketSharedExternally
上述清單中的值會直接對應至 Macie 中問題清單類型 (type) 欄位的值。
備註
當您在 Security Hub 中檢閱和處理政策調查結果時,請注意下列例外狀況:
-
當然 AWS 區域,Macie 最早會在 2021 年 1 月 25 日開始將 ASFF 調查結果類型用於新的和更新的調查結果。
-
如果您在 Macie 開始使用 ASFF 調查結果類型之前,對 Security Hub 中的政策調查結果採取行動 AWS 區域,調查結果的 ASFF
Types欄位的值將是上述清單中的 Macie 調查結果類型之一。它不會是上表中其中一個 ASFF 調查結果類型。對於您使用 AWS Security Hub 主控台或 APIBatchUpdateFindings操作執行的政策調查結果, AWS Security Hub 這是如此。
將問題清單發佈至 Security Hub 的延遲
當 Amazon Macie 建立新的政策或敏感資料調查結果時,它會在完成處理調查結果 AWS Security Hub 後立即將調查結果發佈至 。
如果 Macie 偵測到現有政策調查結果的後續出現,則會將更新發佈至 Security Hub 中的現有調查結果。更新的時間取決於您為 Macie 帳戶選擇的發佈頻率。根據預設,Macie 每 15 分鐘發佈一次更新。如需詳細資訊,包括如何變更帳戶的設定,請參閱 設定問題清單的發佈設定。
無法使用 Security Hub 時重試發佈
如果 AWS Security Hub 無法使用,Amazon Macie 會建立 Security Hub 尚未收到的問題清單佇列。當系統還原時,Macie 會重試發佈,直到 Security Hub 收到問題清單為止。
更新 Security Hub 中的現有問題清單
Amazon Macie 發佈政策調查結果到 之後 AWS Security Hub,Macie 會更新調查結果,以反映調查結果或調查結果活動的任何其他出現情況。Macie 只會針對政策調查結果執行此操作。Macie 不會更新 Security Hub 中的敏感資料調查結果。與政策調查結果不同,所有敏感資料調查結果都會視為新的 (唯一)。
當 Macie 發佈政策調查結果的更新時,Macie 會更新調查結果的更新時間 (UpdatedAt) 欄位的值。您可以使用此值來判斷 Macie 最近何時偵測到造成問題清單的潛在政策違規或問題的後續發生。
如果問題清單的現有值不是 ASFF 問題清單類型,Macie 也可能會更新問題清單類型 (Types) 欄位的值。這取決於您是否已對 Security Hub 中的調查結果採取行動。如果您尚未對調查結果採取行動,Macie 會將欄位的值變更為適當的 ASFF 調查結果類型。如果您已對問題清單採取動作,使用 AWS Security Hub 主控台或 AWS Security Hub API BatchUpdateFindings的操作,Macie 不會變更欄位的值。
中的 Macie 調查結果範例 AWS Security Hub
當 Amazon Macie 發佈問題清單到 時 AWS Security Hub,會使用AWS 安全性問題清單格式 (ASFF)。這是 Security Hub 中所有調查結果的標準格式。下列範例使用範例資料,示範 Macie 以此格式發佈至 Security Hub 之調查結果資料的結構和性質:
Security Hub 中的敏感資料調查結果範例
以下是 Macie 使用 ASFF 發佈至 Security Hub 的敏感資料調查結果範例。
{
"SchemaVersion": "2018-10-08",
"Id": "5be50fce24526e670df77bc00example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types":[
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
],
"CreatedAt": "2022-05-11T10:23:49.667Z",
"UpdatedAt": "2022-05-11T10:23:49.667Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "The S3 object contains personal information.",
"Description": "The object contains personal information such as first or last names, addresses, or identification numbers.",
"ProductFields": {
"JobArn": "arn:aws:macie2:us-east-1:111122223333:classification-job/698e99c283a255bb2c992feceexample",
"S3Object.Path": "amzn-s3-demo-bucket/2022 Sourcing.tsv",
"S3Object.Extension": "tsv",
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"OriginType": "SENSITIVE_DATA_DISCOVERY_JOB",
"S3Object.PublicAccess": "false",
"S3Object.Size": "14",
"S3Object.StorageClass": "STANDARD",
"S3Bucket.allowsUnencryptedObjectUploads": "TRUE",
"JobId": "698e99c283a255bb2c992feceexample",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/5be50fce24526e670df77bc00example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-12-30T18:16:25.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"BlockPublicPolicy": true,
"IgnorePublicAcls": true,
"RestrictPublicBuckets": true
}
}
}
},
{
"Type": "AwsS3Object",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket/2022 Sourcing.tsv",
"Partition": "aws",
"Region": "us-east-1",
"DataClassification": {
"DetailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/111122223333/Macie/us-east-1/
698e99c283a255bb2c992feceexample/111122223333/32b8485d-4f3a-3aa1-be33-aa3f0example.jsonl.gz",
"Result":{
"MimeType": "text/tsv",
"SizeClassified": 14,
"AdditionalOccurrences": false,
"Status": {
"Code": "COMPLETE"
},
"SensitiveData": [
{
"Category": "PERSONAL_INFORMATION",
"Detections": [
{
"Count": 1,
"Type": "USA_SOCIAL_SECURITY_NUMBER",
"Occurrences": {
"Cells": [
{
"Column": 10,
"Row": 1,
"ColumnName": "Other"
}
]
}
}
],
"TotalCount": 1
}
],
"CustomDataIdentifiers": {
"Detections": [
],
"TotalCount": 0
}
}
},
"Details": {
"AwsS3Object": {
"LastModified": "2022-04-22T18:16:46.000Z",
"ETag": "ebe1ca03ee8d006d457444445example",
"VersionId": "SlBC72z5hArgexOJifxw_IN57example",
"ServerSideEncryption": "aws:kms",
"SSEKMSKeyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
]
},
"Sample": false,
"ProcessedAt": "2022-05-11T10:23:49.667Z"
}Security Hub 中的政策調查結果範例
以下是 Macie 在 ASFF 中發佈至 Security Hub 的新政策調查結果範例。
{
"SchemaVersion": "2018-10-08",
"Id": "36ca8ba0-caf1-4fee-875c-37760example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
],
"CreatedAt": "2022-04-24T09:27:43.313Z",
"UpdatedAt": "2022-04-24T09:27:43.313Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "Block Public Access settings are disabled for the S3 bucket",
"Description": "All Amazon S3 block public access settings are disabled for the Amazon S3 bucket. Access to the bucket is
controlled only by access control lists (ACLs) or bucket policies.",
"ProductFields": {
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"S3Bucket.allowsUnencryptedObjectUploads": "FALSE",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/36ca8ba0-caf1-4fee-875c-37760example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Tags": {
"Team": "Recruiting",
"Division": "HR"
},
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-11-25T18:24:38.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": false,
"BlockPublicPolicy": false,
"IgnorePublicAcls": false,
"RestrictPublicBuckets": false
}
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
]
},
"Sample": false
}將 Macie 與 整合 AWS Security Hub
若要整合 Amazon Macie 與 AWS Security Hub,請為您的 啟用 Security Hub AWS 帳戶。若要了解如何啟用,請參閱AWS Security Hub 《 使用者指南》中的啟用 Security Hub。
當您同時啟用 Macie 和 Security Hub 時,會自動啟用整合。根據預設,Macie 開始自動將新的和更新的政策調查結果發佈至 Security Hub。您不需要採取其他步驟來設定整合。如果您在啟用整合時有現有的政策調查結果,Macie 不會將其發佈到 Security Hub。相反地,Macie 只會發佈在啟用整合之後建立或更新的政策調查結果。
您可以選擇 Macie 在 Security Hub 中發佈政策調查結果更新的頻率,以選擇性地自訂您的組態。您也可以選擇將敏感資料調查結果發佈至 Security Hub。如要瞭解如何作業,請參閱設定問題清單的發佈設定。
停止發佈 Macie 問題清單至 AWS Security Hub
若要停止發佈 Amazon Macie 調查結果至 AWS Security Hub,您可以變更 Macie 帳戶的發佈設定。如要瞭解如何作業,請參閱選擇問題清單的發佈目的地。您也可以使用 Security Hub 來執行此操作。若要了解如何進行,請參閱AWS Security Hub 《 使用者指南》中的從 整合停用問題清單的流程。
