Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Auswertung der Ergebnisse von Macie mit AWS Security Hub
AWS Security Hub ist ein Service, der Ihnen einen umfassenden Überblick über Ihren Sicherheitsstatus in allen Bereichen bietet AWS Umgebung und hilft Ihnen dabei, Ihre Umgebung anhand der Sicherheitsstandards und bewährten Verfahren der Branche zu überprüfen. Dies geschieht unter anderem durch die Nutzung, Zusammenfassung, Organisation und Priorisierung von Ergebnissen aus mehreren AWS-Services und unterstützt AWS Partner Network Sicherheitslösungen. Security Hub hilft Ihnen dabei, Ihre Sicherheitstrends zu analysieren und Sicherheitsprobleme mit der höchsten Priorität zu identifizieren. Mit Security Hub können Sie auch Ergebnisse aus mehreren zusammenfassen AWS-Regionen und anschließend alle aggregierten Ergebnisdaten aus einer einzigen Region auswerten und verarbeiten. Weitere Informationen über Security Hub finden Sie im AWS Security Hub Benutzerleitfaden.
Amazon Macie ist in Security Hub integriert, was bedeutet, dass Sie Ergebnisse von Macie automatisch in Security Hub veröffentlichen können. Der Security Hub kann diese Erkenntnisse dann in die Analyse Ihres Sicherheitsniveaus einbeziehen. Darüber hinaus können Sie Security Hub verwenden, um Ergebnisse aus Richtlinien und sensiblen Daten als Teil eines größeren, aggregierten Datensatzes von Ergebnisdaten für Ihr AWS Umgebung. Mit anderen Worten, Sie können die Ergebnisse von Macie auswerten und gleichzeitig umfassendere Analysen der Sicherheitslage Ihres Unternehmens durchführen und die Ergebnisse bei Bedarf korrigieren. Security Hub reduziert die Komplexität der Bearbeitung großer Mengen von Erkenntnissen mehrerer Anbieter. Darüber hinaus verwendet es ein Standardformat für alle Ergebnisse, einschließlich der Ergebnisse von Macie. Verwendung dieses Formats, das AWS Mit dem Security Finding Format (ASFF) müssen Sie keine zeitaufwändigen Datenkonvertierungen durchführen.
Themen
Wie veröffentlicht Macie Ergebnisse AWS Security Hub
In AWS Security Hub, Sicherheitsprobleme werden als Ergebnisse erfasst. Einige Ergebnisse stammen aus Problemen, die entdeckt wurden von AWS-Services, wie Amazon Macie, oder von unterstützten AWS Partner Network Sicherheitslösungen. Security Hub verwendet ebenfalls verschiedene Regeln, um Sicherheitsprobleme zu erkennen und Ergebnisse zu generieren.
Security Hub bietet Tools zur Verwaltung von Ergebnissen aus all diesen Quellen. Sie können Ergebnislisten überprüfen und filtern und die Details einzelner Ergebnisse überprüfen. Wie das geht, erfahren Sie unter Überprüfung der Suchhistorie und der Details zu den Ergebnissen in der AWS Security Hub Benutzerleitfaden. Sie können auch den Status einer Untersuchung zu einer Erkenntnis nachverfolgen. Wie das geht, erfahren Sie unter Einstellung des Workflow-Status von Ergebnissen im AWS Security Hub Benutzerleitfaden.
Alle Ergebnisse in Security Hub verwenden ein JSON Standardformat namens AWS Format für Sicherheitslücken (ASFF). Das ASFF beinhaltet Details zur Ursache eines Problems, zu den betroffenen Ressourcen und zum aktuellen Status eines Fundes. Weitere Informationen finden Sie unter AWS Format für ASFF Sicherheitsbefunde () im AWS Security Hub Benutzerleitfaden.
Arten von Ergebnissen, die Macie auf Security Hub veröffentlicht
Abhängig von den Veröffentlichungseinstellungen, die Sie für Ihr Macie-Konto wählen, kann Macie alle Ergebnisse, die es erstellt, auf Security Hub veröffentlichen, sowohl Ergebnisse vertraulicher Daten als auch Richtlinienergebnisse. Informationen zu diesen Einstellungen und wie Sie sie ändern können, finden Sie unter. Konfiguration der Veröffentlichungseinstellungen für Ergebnisse Standardmäßig veröffentlicht Macie nur neue und aktualisierte Richtlinienergebnisse auf Security Hub. Macie veröffentlicht keine Ergebnisse sensibler Daten im Security Hub.
Ergebnisse sensibler Daten
Wenn Sie Macie so konfigurieren, dass Ergebnisse vertraulicher Daten auf Security Hub veröffentlicht werden, veröffentlicht Macie automatisch alle Ergebnisse vertraulicher Daten, die es für Ihr Konto erstellt, und zwar sofort, nachdem die Verarbeitung der Ergebnisse abgeschlossen ist. Macie tut dies für alle Ergebnisse sensibler Daten, die nicht automatisch durch eine Unterdrückungsregel archiviert werden.
Wenn Sie der Macie-Administrator einer Organisation sind, beschränkt sich die Veröffentlichung auf Ergebnisse aus Aufträgen zur Erkennung sensibler Daten, die Sie ausgeführt haben, und auf automatisierte Aktivitäten zur Erkennung sensibler Daten, die Macie für Ihr Unternehmen durchgeführt hat. Nur das Konto, das einen Job erstellt, kann die Ergebnisse veröffentlichen, die der Job hervorbringt. Nur das Macie-Administratorkonto kann Ergebnisse zu sensiblen Daten veröffentlichen, die durch die automatische Erkennung sensibler Daten für das Unternehmen generiert wurden.
Wenn Macie Ergebnisse sensibler Daten auf Security Hub veröffentlicht, verwendet es die AWS
Security Finding Format (ASFF), das Standardformat für alle Ergebnisse in Security Hub. In der ASFF gibt das Types Feld den Typ eines Ergebnisses an. In diesem Feld wird eine Taxonomie verwendet, die sich geringfügig von der Taxonomie des Befundtyps in Macie unterscheidet.
In der folgenden Tabelle ist der ASFF Befundtyp für jeden Befundtyp aufgeführt, den Macie erstellen kann.
| Macie-Suchtyp | ASFFTyp finden |
|---|---|
SensitiveData:S3Object/Credentials |
Sensitive Data Identifications/Passwords/SensitiveData:S3Object-Credentials |
SensitiveData:S3Object/CustomIdentifier |
Sensitive Data Identifications/PII/SensitiveData:S3Object-CustomIdentifier |
|
SensitiveData:S3Object/Financial |
Sensitive Data Identifications/Financial/SensitiveData:S3Object-Financial |
SensitiveData:S3Object/Multiple |
Sensitive Data Identifications/PII/SensitiveData:S3Object-Multiple |
|
SensitiveData:S3Object/Personal |
Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal |
Politische Ergebnisse
Wenn Sie Macie so konfigurieren, dass Richtlinienergebnisse auf Security Hub veröffentlicht werden, veröffentlicht Macie automatisch jedes neue Richtlinienergebnis, das es erstellt, und zwar sofort, nachdem es die Verarbeitung des Ergebnisses abgeschlossen hat. Wenn Macie ein späteres Auftreten einer bestehenden Richtlinienfeststellung feststellt, veröffentlicht es automatisch ein Update des vorhandenen Ergebnisses in Security Hub, wobei die Veröffentlichungshäufigkeit verwendet wird, die Sie für Ihr Konto angeben. Macie führt diese Aufgaben für alle Richtlinienfeststellungen aus, die nicht automatisch durch eine Unterdrückungsregel archiviert werden.
Wenn Sie der Macie-Administrator einer Organisation sind, beschränkt sich die Veröffentlichung auf Richtlinienergebnisse für S3-Buckets, die direkt Ihrem Konto gehören. Macie veröffentlicht keine Richtlinienergebnisse, die es für Mitgliedskonten in Ihrer Organisation erstellt oder aktualisiert. Dadurch wird sichergestellt, dass Sie keine doppelten Ergebnisdaten in Security Hub haben.
Wie bei Ergebnissen sensibler Daten verwendet Macie den AWS Security Finding Format (ASFF), wenn neue und aktualisierte Richtlinienergebnisse auf Security Hub veröffentlicht werden. In dem Types Feld wird eine Taxonomie verwendetASFF, die sich geringfügig von der Taxonomie des Befundtyps in Macie unterscheidet.
In der folgenden Tabelle ist der ASFF Ergebnistyp für jeden Typ von Richtlinienergebnis aufgeführt, den Macie erstellen kann. Wenn Macie am oder nach dem 28. Januar 2021 ein Richtlinienergebnis in Security Hub erstellt oder aktualisiert hat, hat das Ergebnis einen der folgenden Werte für das ASFF Types Feld in Security Hub.
| Macie-Fundtyp | ASFFTyp finden |
|---|---|
|
Policy:IAMUser/S3BlockPublicAccessDisabled |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled |
Policy:IAMUser/S3BucketEncryptionDisabled |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketEncryptionDisabled |
|
Policy:IAMUser/S3BucketPublic |
Effects/Data Exposure/Policy:IAMUser-S3BucketPublic |
Policy:IAMUser/S3BucketReplicatedExternally |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketReplicatedExternally |
|
Policy:IAMUser/S3BucketSharedExternally |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedExternally |
|
Policy:IAMUser/S3BucketSharedWithCloudFront |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedWithCloudFront |
Wenn Macie vor dem 28. Januar 2021 ein Richtlinienergebnis erstellt oder zuletzt aktualisiert hat, hat das Ergebnis einen der folgenden Werte für das ASFF Types Feld in Security Hub:
-
Policy:IAMUser/S3BlockPublicAccessDisabled
-
Policy:IAMUser/S3BucketEncryptionDisabled
-
Policy:IAMUser/S3BucketPublic
-
Policy:IAMUser/S3BucketReplicatedExternally
-
Policy:IAMUser/S3BucketSharedExternally
Die Werte in der vorherigen Liste sind direkt den Werten für das Feld Finding type (type) in Macie zugeordnet.
Hinweise
Beachten Sie bei der Überprüfung und Verarbeitung der Richtlinienergebnisse in Security Hub die folgenden Ausnahmen:
-
In bestimmten AWS-Regionen Macie begann bereits am 25. Januar 2021, ASFF Findetypen für neue und aktualisierte Ergebnisse zu verwenden.
-
Wenn Sie auf eine Richtlinienfeststellung in Security Hub reagiert haben, bevor Macie begann, ASFF Suchtypen in Ihrem AWS-Region, entspricht der Wert für das ASFF
TypesErgebnisfeld einem der Macie-Suchttypen aus der obigen Liste. Es wird sich nicht um einen der ASFF Befundtypen in der vorherigen Tabelle handeln. Dies gilt für politische Erkenntnisse, auf die Sie reagiert haben, indem Sie AWS Security Hub Konsole oder die BatchUpdateFindings Bedienung des AWS Security Hub API.
Latenz bei der Veröffentlichung von Ergebnissen im Security Hub
Wenn Amazon Macie eine neue Richtlinie oder ein neues Ergebnis für sensible Daten erstellt, veröffentlicht es das Ergebnis an AWS Security Hub unmittelbar nach Abschluss der Verarbeitung des Ergebnisses.
Wenn Macie ein späteres Auftreten einer bestehenden Richtlinienfeststellung feststellt, veröffentlicht es ein Update für das bestehende Security Hub Hub-Ergebnis. Der Zeitpunkt der Aktualisierung hängt von der Veröffentlichungshäufigkeit ab, die Sie für Ihr Macie-Konto wählen. Standardmäßig veröffentlicht Macie Updates alle 15 Minuten. Weitere Informationen, unter anderem dazu, wie Sie die Einstellungen für Ihr Konto ändern können, finden Sie unterKonfiguration der Veröffentlichungseinstellungen für Ergebnisse.
Die Veröffentlichung wird erneut versucht, wenn Security Hub nicht verfügbar ist
Wenn AWS Security Hub ist nicht verfügbar, Amazon Macie erstellt eine Warteschlange mit Ergebnissen, die nicht von Security Hub empfangen wurden. Wenn das System wiederhergestellt ist, wiederholt Macie die Veröffentlichung, bis die Ergebnisse bei Security Hub eingegangen sind.
Aktualisieren von vorhandenen Erkenntnissen in Security Hub
Nachdem Amazon Macie ein politisches Ergebnis veröffentlicht hat, um AWS Security Hub, aktualisiert Macie das Ergebnis, um allen weiteren Ereignissen des Befundes oder der Findungsaktivität Rechnung zu tragen. Macie tut dies nur für politische Erkenntnisse. Ergebnisse sensibler Daten werden im Gegensatz zu politischen Ergebnissen alle als neu (einzigartig) behandelt.
Wenn Macie eine Aktualisierung eines Richtlinienergebnisses veröffentlicht, aktualisiert Macie den Wert für das Feld Aktualisiert am (UpdatedAt) des Ergebnisses. Sie können diesen Wert verwenden, um festzustellen, wann Macie zuletzt ein späteres Auftreten des potenziellen Richtlinienverstoßes oder Problems entdeckt hat, das zu dem Ergebnis geführt hat.
Macie aktualisiert möglicherweise auch den Wert für das Feld Types (Types) eines Ergebnisses, wenn es sich bei dem vorhandenen Wert für das Feld nicht ASFFum einen Befundtyp handelt. Dies hängt davon ab, ob Sie auf die Ergebnisse in Security Hub reagiert haben. Wenn Sie auf das Ergebnis nicht reagiert haben, ändert Macie den Feldwert auf den entsprechenden ASFF Befundtyp. Wenn Sie auf das Ergebnis reagiert haben, verwenden Sie entweder AWS Security Hub Konsole oder die BatchUpdateFindings Bedienung des AWS Security Hub API, Macie ändert den Feldwert nicht.
Beispiele für Macie-Ergebnisse in AWS Security Hub
Wenn Amazon Macie Ergebnisse veröffentlicht AWS Security Hub, es verwendet die AWS Format für Sicherheitslücken (ASFF). Dies ist das Standardformat für alle Ergebnisse in Security Hub. In den folgenden Beispielen werden anhand von Beispieldaten die Struktur und Art der Ergebnisdaten veranschaulicht, die Macie in diesem Format auf Security Hub veröffentlicht:
Beispiel für einen Fund sensibler Daten in Security Hub
Hier ist ein Beispiel für eine Entdeckung sensibler Daten, die Macie mit dem ASFF auf Security Hub veröffentlicht hat.
{
"SchemaVersion": "2018-10-08",
"Id": "5be50fce24526e670df77bc00example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types":[
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
],
"CreatedAt": "2022-05-11T10:23:49.667Z",
"UpdatedAt": "2022-05-11T10:23:49.667Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "The S3 object contains personal information.",
"Description": "The object contains personal information such as first or last names, addresses, or identification numbers.",
"ProductFields": {
"JobArn": "arn:aws:macie2:us-east-1:111122223333:classification-job/698e99c283a255bb2c992feceexample",
"S3Object.Path": "amzn-s3-demo-bucket/2022 Sourcing.tsv",
"S3Object.Extension": "tsv",
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"OriginType": "SENSITIVE_DATA_DISCOVERY_JOB",
"S3Object.PublicAccess": "false",
"S3Object.Size": "14",
"S3Object.StorageClass": "STANDARD",
"S3Bucket.allowsUnencryptedObjectUploads": "TRUE",
"JobId": "698e99c283a255bb2c992feceexample",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/5be50fce24526e670df77bc00example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-12-30T18:16:25.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"BlockPublicPolicy": true,
"IgnorePublicAcls": true,
"RestrictPublicBuckets": true
}
}
}
},
{
"Type": "AwsS3Object",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket/2022 Sourcing.tsv",
"Partition": "aws",
"Region": "us-east-1",
"DataClassification": {
"DetailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/111122223333/Macie/us-east-1/
698e99c283a255bb2c992feceexample/111122223333/32b8485d-4f3a-3aa1-be33-aa3f0example.jsonl.gz",
"Result":{
"MimeType": "text/tsv",
"SizeClassified": 14,
"AdditionalOccurrences": false,
"Status": {
"Code": "COMPLETE"
},
"SensitiveData": [
{
"Category": "PERSONAL_INFORMATION",
"Detections": [
{
"Count": 1,
"Type": "USA_SOCIAL_SECURITY_NUMBER",
"Occurrences": {
"Cells": [
{
"Column": 10,
"Row": 1,
"ColumnName": "Other"
}
]
}
}
],
"TotalCount": 1
}
],
"CustomDataIdentifiers": {
"Detections": [
],
"TotalCount": 0
}
}
},
"Details": {
"AwsS3Object": {
"LastModified": "2022-04-22T18:16:46.000Z",
"ETag": "ebe1ca03ee8d006d457444445example",
"VersionId": "SlBC72z5hArgexOJifxw_IN57example",
"ServerSideEncryption": "aws:kms",
"SSEKMSKeyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
]
},
"Sample": false,
"ProcessedAt": "2022-05-11T10:23:49.667Z"
}Beispiel für eine Richtlinienfeststellung in Security Hub
Hier ist ein Beispiel für ein neues Richtlinienergebnis, das Macie auf Security Hub im ASFF veröffentlicht hat.
{
"SchemaVersion": "2018-10-08",
"Id": "36ca8ba0-caf1-4fee-875c-37760example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
],
"CreatedAt": "2022-04-24T09:27:43.313Z",
"UpdatedAt": "2022-04-24T09:27:43.313Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "Block Public Access settings are disabled for the S3 bucket",
"Description": "All Amazon S3 block public access settings are disabled for the Amazon S3 bucket. Access to the bucket is
controlled only by access control lists (ACLs) or bucket policies.",
"ProductFields": {
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"S3Bucket.allowsUnencryptedObjectUploads": "FALSE",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/36ca8ba0-caf1-4fee-875c-37760example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Tags": {
"Team": "Recruiting",
"Division": "HR"
},
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-11-25T18:24:38.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": false,
"BlockPublicPolicy": false,
"IgnorePublicAcls": false,
"RestrictPublicBuckets": false
}
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
]
},
"Sample": false
}Integration von Macie mit AWS Security Hub
Um Amazon Macie zu integrieren mit AWS Security Hub, aktivieren Sie Security Hub für Ihr AWS-Konto. Wie das geht, erfahren Sie unter Enabling Security Hub in der AWS Security Hub Benutzerleitfaden.
Wenn Sie sowohl Macie als auch Security Hub aktivieren, wird die Integration automatisch aktiviert. Standardmäßig beginnt Macie, neue und aktualisierte Richtlinienergebnisse automatisch auf Security Hub zu veröffentlichen. Sie müssen keine zusätzlichen Schritte unternehmen, um die Integration zu konfigurieren. Wenn Sie bereits über Richtlinienergebnisse verfügen, wenn die Integration aktiviert ist, veröffentlicht Macie diese nicht auf Security Hub. Stattdessen veröffentlicht Macie nur die Richtlinienergebnisse, die es erstellt oder aktualisiert, nachdem die Integration aktiviert wurde.
Sie können Ihre Konfiguration optional anpassen, indem Sie die Häufigkeit wählen, mit der Macie Aktualisierungen der Richtlinienergebnisse in Security Hub veröffentlicht. Sie können sich auch dafür entscheiden, Ergebnisse sensibler Daten auf Security Hub zu veröffentlichen. Um zu erfahren wie dies geht, vgl. Konfiguration der Veröffentlichungseinstellungen für Ergebnisse.
Einstellung der Veröffentlichung der Ergebnisse von Macie an AWS Security Hub
Um die Veröffentlichung von Amazon Macie Macie-Ergebnissen zu beenden AWS Security Hub, können Sie die Veröffentlichungseinstellungen für Ihr Macie-Konto ändern. Um zu erfahren wie dies geht, vgl. Auswahl der Veröffentlichungsziele für Ergebnisse. Sie können dies auch mithilfe von Security Hub tun. Wie das geht, erfahren Sie unter Deaktivierung des Flusses von Ergebnissen aus einer Integration in der AWS Security Hub Benutzerleitfaden.
