Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Evaluación de los hallazgos de Macie con AWS Security Hub
AWS Security Hub es un servicio que le proporciona una visión completa de su postura de seguridad en todos sus AWS y le ayuda a comparar su entorno con los estándares y las mejores prácticas del sector de la seguridad. Lo hace, en parte, mediante el consumo, la agregación, la organización y la priorización de los hallazgos de múltiples Servicios de AWS y apoyado AWS Partner Network soluciones de seguridad. Security Hub lo ayuda a analizar sus tendencias de seguridad y a identificar los problemas de seguridad de mayor prioridad. Con Security Hub, también puede agregar hallazgos de múltiples Regiones de AWS y, a continuación, evaluar y procesar todos los datos agregados de las conclusiones de una sola región. Para obtener más información sobre Security Hub, consulte la AWS Security Hub Guía del usuario.
Amazon Macie se integra con Security Hub, lo que significa que puede publicar automáticamente los hallazgos de Macie en Security Hub. Security Hub puede incluir esos resultados en su análisis de la posición de seguridad. Además, puede usar Security Hub para evaluar y procesar las conclusiones sobre políticas y datos confidenciales como parte de un conjunto más amplio y agregado de datos de hallazgos para su AWS entorno. En otras palabras, puede evaluar las conclusiones de Macie y, al mismo tiempo, realizar análisis más amplios de la postura de seguridad de su organización y corregir las conclusiones según sea necesario. Security Hub reduce la complejidad de abordar grandes volúmenes de resultados de múltiples proveedores. Además, utiliza un formato estándar para todos los resultado, incluidos los de Macie. El uso de este formato, el AWS Security Finding Format (ASFF) elimina la necesidad de realizar esfuerzos de conversión de datos que consumen mucho tiempo.
Temas
Cómo publica Macie sus hallazgos para AWS Security Hub
En AWS Security Hub, los problemas de seguridad se registran como hallazgos. Algunos hallazgos provienen de problemas detectados por Servicios de AWS, como Amazon Macie, o mediante soporte AWS Partner Network soluciones de seguridad. Security Hub también cuenta con un conjunto de reglas que utiliza para detectar problemas de seguridad y generar resultados.
Security Hub proporciona herramientas para administrar los resultados de todas estas fuentes. Puede ver y filtrar listas de resultados y ver los detalles de un resultado en particular. Para obtener información sobre cómo hacerlo, consulte Revisar el historial de búsquedas y buscar detalles en la AWS Security Hub Guía del usuario. También puede realizar un seguimiento del estado de una investigación de un resultado. Para obtener información sobre cómo hacerlo, consulte Configurar el estado del flujo de trabajo de los hallazgos en la AWS Security Hub Guía del usuario.
Todos los resultados de Security Hub utilizan un JSON formato estándar denominado AWS Formato de búsqueda de seguridad (ASFF). ASFFIncluye detalles sobre el origen de un problema, los recursos afectados y el estado actual de un hallazgo. Para obtener más información, consulte AWS Formato de comprobación de seguridad (ASFF) en el AWS Security Hub Guía del usuario.
Tipos de hallazgos que Macie publica en Security Hub
En función de la configuración de publicación que elija para su cuenta de Macie, Macie puede publicar todos los resultados que cree en Security Hub, tanto los resultados de datos confidenciales como los de políticas. Para obtener más información acerca de estas configuraciones y de cómo cambiarlas, consulte Configuración de los ajustes de publicación de los resultados . De forma predeterminada, Macie publica solo los resultados de políticas nuevos y actualizados en Security Hub. Macie no publica los resultados de datos confidenciales en Security Hub.
Resultados de datos confidenciales
Si configura a Macie para que publique resultados de datos confidenciales en Security Hub, Macie publica automáticamente cada resultado de datos confidenciales que cree para su cuenta y lo hace inmediatamente después de terminar de procesar el resultado. Macie lo hace con todos los resultados de datos confidenciales que encuentre y que no se archiven automáticamente mediante una regla de supresión.
Si es el administrador de Macie de una organización, la publicación se limita a los resultados de los trabajos de detección de datos confidenciales que haya realizado y a las actividades de detección automatizada de datos confidenciales que Macie realizó para su organización. Solo la cuenta que crea un trabajo puede publicar los datos confidenciales que genere el trabajo. Solo la cuenta de administrador de Macie puede publicar los datos confidenciales que la detección automatizada de datos confidenciales genere para su organización.
Cuando Macie publica datos confidenciales en Security Hub, utiliza el AWS
Security Finding Format (ASFF), que es el formato estándar para todos los hallazgos de Security Hub. En elASFF, el Types campo indica el tipo de hallazgo. Este campo usa una taxonomía ligeramente diferente de la taxonomía del tipo de resultado de Macie.
En la siguiente tabla se muestra el tipo de ASFF búsqueda para cada tipo de búsqueda de datos confidenciales que Macie puede crear.
| Tipo de resultado de Macie. | ASFFtipo de búsqueda |
|---|---|
SensitiveData:S3Object/Credentials |
Sensitive Data Identifications/Passwords/SensitiveData:S3Object-Credentials |
SensitiveData:S3Object/CustomIdentifier |
Sensitive Data Identifications/PII/SensitiveData:S3Object-CustomIdentifier |
|
SensitiveData:S3Object/Financial |
Sensitive Data Identifications/Financial/SensitiveData:S3Object-Financial |
SensitiveData:S3Object/Multiple |
Sensitive Data Identifications/PII/SensitiveData:S3Object-Multiple |
|
SensitiveData:S3Object/Personal |
Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal |
Hallazgos de políticas
Si configura Macie para que publique resultados de políticas en Security Hub, Macie publica automáticamente cada resultado de política que cree para su cuenta y lo hace inmediatamente después de terminar de procesar el resultado. Si Macie detecta la aparición posterior de un resultado de política existente, publica automáticamente una actualización del resultado existente en Security Hub, utilizando la frecuencia de publicación que especifique para su cuenta. Macie lo hace con todos los resultados de políticas que encuentre y que no se archiven automáticamente mediante una regla de supresión.
Si es el administrador de Macie de una organización, la publicación se limita a las conclusiones sobre las políticas de los segmentos de S3 que son propiedad directa de su cuenta. Macie no publica los resultados de las políticas que crea o actualiza para las cuentas de los miembros de su organización. Esto ayuda a garantizar que no haya datos de resultados duplicados en Security Hub.
Como en el caso de los hallazgos de datos confidenciales, Macie utiliza el AWS Security Finding Format (ASFF) cuando publica los hallazgos de políticas nuevos y actualizados en Security Hub. En el ASFF Types campo se utiliza una taxonomía ligeramente diferente de la taxonomía del tipo de hallazgo de Macie.
En la siguiente tabla se muestra el tipo de ASFF hallazgo para cada tipo de hallazgo de política que Macie puede crear. Si Macie creó o actualizó un hallazgo de política en Security Hub el 28 de enero de 2021 o después, el hallazgo tiene uno de los siguientes valores para el ASFF Types campo de Security Hub.
| Tipo de resultado de Macie. | ASFFtipo de búsqueda |
|---|---|
|
Policy:IAMUser/S3BlockPublicAccessDisabled |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled |
Policy:IAMUser/S3BucketEncryptionDisabled |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketEncryptionDisabled |
|
Policy:IAMUser/S3BucketPublic |
Effects/Data Exposure/Policy:IAMUser-S3BucketPublic |
Policy:IAMUser/S3BucketReplicatedExternally |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketReplicatedExternally |
|
Policy:IAMUser/S3BucketSharedExternally |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedExternally |
|
Policy:IAMUser/S3BucketSharedWithCloudFront |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedWithCloudFront |
Si Macie creó o actualizó por última vez una conclusión de política antes del 28 de enero de 2021, la conclusión tiene uno de los siguientes valores para el ASFF Types campo de Security Hub:
-
Policy:IAMUser/S3BlockPublicAccessDisabled
-
Policy:IAMUser/S3BucketEncryptionDisabled
-
Policy:IAMUser/S3BucketPublic
-
Policy:IAMUser/S3BucketReplicatedExternally
-
Policy:IAMUser/S3BucketSharedExternally
Los valores de la lista anterior se asignan directamente a los valores del campo Tipo de resultado (type) de Macie.
Notas
Al revisar y procesar los resultados de las políticas en Security Hub, tenga en cuenta las siguientes excepciones:
-
En ciertos Regiones de AWS, Macie comenzó a utilizar tipos de ASFF búsqueda para obtener resultados nuevos y actualizados a partir del 25 de enero de 2021.
-
Si actuó en función de un hallazgo de política en Security Hub antes de que Macie comenzara a utilizar los tipos de ASFF búsqueda en su Región de AWS, el valor del ASFF
Typescampo del hallazgo será uno de los tipos de hallazgo de Macie de la lista anterior. No será uno de los tipos de ASFF búsqueda de la tabla anterior. Esto es válido para las conclusiones políticas en función de las cuales usted actuó utilizando el AWS Security Hub consola o el BatchUpdateFindings funcionamiento del AWS Security Hub API.
Latencia para publicar los hallazgos en Security Hub
Cuando Amazon Macie crea una nueva política o un hallazgo de datos confidenciales, publica el hallazgo en AWS Security Hub inmediatamente después de que termine de procesar el hallazgo.
Si Macie detecta una aparición posterior de una constatación de política existente, publica una actualización de la constatación de Security Hub existente. El momento de la actualización depende de la frecuencia de publicación que elija para su cuenta de Macie. De forma predeterminada, Macie publica las actualizaciones cada 15 minutos. Para obtener más información, incluido el modo de cambiar la configuración de su cuenta, consulte Configuración de los ajustes de publicación de los resultados .
Reintentar la publicación cuando Security Hub no está disponible
Si AWS Security Hub no está disponible, Amazon Macie crea una cola de hallazgos que Security Hub no ha recibido. Cuando se restablece el sistema, Macie vuelve a intentar la publicación hasta que Security Hub reciba los resultados.
Actualización de los resultados existentes en Security Hub
Después de que Amazon Macie publique una conclusión de política para AWS Security Hub, Macie actualiza el hallazgo para reflejar cualquier incidencia adicional del hallazgo o de la actividad de búsqueda. Macie lo hace solo en relación con los resultados de políticas. Los resultados de datos confidenciales, a diferencia de los resultados de políticas, se tratan todos como nuevos (únicos).
Cuando Macie publica una actualización de un resultado de política, actualiza el valor del campo Actualizado en (UpdatedAt) del resultado. Puede usar este valor para determinar cuándo Macie detectó por última vez una posible infracción de la política o problema que dio lugar al resultado.
Macie también podría actualizar el valor del campo Types (Types) de un hallazgo si el valor existente del campo no es un tipo de ASFFbúsqueda. Esto depende de si ha actuado en función del resultado publicado en Security Hub. Si no ha realizado ninguna acción en función de la conclusión, Macie cambia el valor del campo por el tipo de ASFF búsqueda adecuado. Si ha actuado en función del hallazgo, utilizando una de las siguientes opciones AWS Security Hub consola o el BatchUpdateFindings funcionamiento del AWS Security Hub API, Macie no cambia el valor del campo.
Ejemplos de los hallazgos de Macie en AWS Security Hub
Cuando Amazon Macie publique sus hallazgos en AWS Security Hub, utiliza el AWS Formato de búsqueda de seguridad (ASFF). Este es el formato estándar para todos los resultados en Security Hub. Los siguientes ejemplos utilizan datos de muestra para demostrar la estructura y la naturaleza de los datos de los resultados que Macie publica en Security Hub en este formato:
Ejemplo de un resultado de datos confidenciales en Security Hub
Este es un ejemplo de un hallazgo de datos confidenciales que Macie publicó en Security Hub utilizando elASFF.
{
"SchemaVersion": "2018-10-08",
"Id": "5be50fce24526e670df77bc00example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types":[
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
],
"CreatedAt": "2022-05-11T10:23:49.667Z",
"UpdatedAt": "2022-05-11T10:23:49.667Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "The S3 object contains personal information.",
"Description": "The object contains personal information such as first or last names, addresses, or identification numbers.",
"ProductFields": {
"JobArn": "arn:aws:macie2:us-east-1:111122223333:classification-job/698e99c283a255bb2c992feceexample",
"S3Object.Path": "amzn-s3-demo-bucket/2022 Sourcing.tsv",
"S3Object.Extension": "tsv",
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"OriginType": "SENSITIVE_DATA_DISCOVERY_JOB",
"S3Object.PublicAccess": "false",
"S3Object.Size": "14",
"S3Object.StorageClass": "STANDARD",
"S3Bucket.allowsUnencryptedObjectUploads": "TRUE",
"JobId": "698e99c283a255bb2c992feceexample",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/5be50fce24526e670df77bc00example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-12-30T18:16:25.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"BlockPublicPolicy": true,
"IgnorePublicAcls": true,
"RestrictPublicBuckets": true
}
}
}
},
{
"Type": "AwsS3Object",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket/2022 Sourcing.tsv",
"Partition": "aws",
"Region": "us-east-1",
"DataClassification": {
"DetailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/111122223333/Macie/us-east-1/
698e99c283a255bb2c992feceexample/111122223333/32b8485d-4f3a-3aa1-be33-aa3f0example.jsonl.gz",
"Result":{
"MimeType": "text/tsv",
"SizeClassified": 14,
"AdditionalOccurrences": false,
"Status": {
"Code": "COMPLETE"
},
"SensitiveData": [
{
"Category": "PERSONAL_INFORMATION",
"Detections": [
{
"Count": 1,
"Type": "USA_SOCIAL_SECURITY_NUMBER",
"Occurrences": {
"Cells": [
{
"Column": 10,
"Row": 1,
"ColumnName": "Other"
}
]
}
}
],
"TotalCount": 1
}
],
"CustomDataIdentifiers": {
"Detections": [
],
"TotalCount": 0
}
}
},
"Details": {
"AwsS3Object": {
"LastModified": "2022-04-22T18:16:46.000Z",
"ETag": "ebe1ca03ee8d006d457444445example",
"VersionId": "SlBC72z5hArgexOJifxw_IN57example",
"ServerSideEncryption": "aws:kms",
"SSEKMSKeyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
]
},
"Sample": false,
"ProcessedAt": "2022-05-11T10:23:49.667Z"
}Ejemplo de un resultado de política en Security Hub
Este es un ejemplo de un nuevo hallazgo de política que Macie publicó en Security Hub en elASFF.
{
"SchemaVersion": "2018-10-08",
"Id": "36ca8ba0-caf1-4fee-875c-37760example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
],
"CreatedAt": "2022-04-24T09:27:43.313Z",
"UpdatedAt": "2022-04-24T09:27:43.313Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "Block Public Access settings are disabled for the S3 bucket",
"Description": "All Amazon S3 block public access settings are disabled for the Amazon S3 bucket. Access to the bucket is
controlled only by access control lists (ACLs) or bucket policies.",
"ProductFields": {
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"S3Bucket.allowsUnencryptedObjectUploads": "FALSE",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/36ca8ba0-caf1-4fee-875c-37760example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Tags": {
"Team": "Recruiting",
"Division": "HR"
},
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-11-25T18:24:38.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": false,
"BlockPublicPolicy": false,
"IgnorePublicAcls": false,
"RestrictPublicBuckets": false
}
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
]
},
"Sample": false
}Integrar a Macie con AWS Security Hub
Para integrar Amazon Macie con AWS Security Hub, habilite Security Hub para su Cuenta de AWS. Para obtener información sobre cómo hacerlo, consulte Habilitar Security Hub en la AWS Security Hub Guía del usuario.
Cuando habilita Macie y Security Hub, la integración se activa automáticamente. De forma predeterminada, Macie comienza a publicar automáticamente las conclusiones de las políticas nuevas y actualizadas en Security Hub. No necesita tomar medidas adicionales para configurar la integración. Si tiene conclusiones de políticas existentes cuando la integración está habilitada, Macie no las publica en Security Hub. En su lugar, Macie publica solo los resultados de las políticas que crea o actualiza una vez habilitada la integración.
Si lo desea, puede personalizar su configuración eligiendo la frecuencia con la que Macie publica las actualizaciones de los resultados de políticas en Security Hub. También puede optar por publicar los hallazgos de datos confidenciales en Security Hub. Para saber cómo hacerlo, consulte Configuración de los ajustes de publicación de los resultados .
Detener la publicación de los hallazgos de Macie a AWS Security Hub
Para dejar de publicar los hallazgos de Amazon Macie en AWS Security Hub, puede cambiar la configuración de publicación de su cuenta de Macie. Para saber cómo hacerlo, consulte Elección de los destinos de publicación de los resultados . También puede hacerlo mediante Security Hub. Para obtener información sobre cómo hacerlo, consulte Cómo deshabilitar el flujo de resultados de una integración en el AWS Security Hub Guía del usuario.
