Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Evaluación de los hallazgos de Macie con AWS Security Hub
AWS Security Hub es un servicio que le proporciona una visión completa de su postura de seguridad en todo su AWS entorno y le ayuda a comprobar su entorno según los estándares y las mejores prácticas del sector de la seguridad. Esto lo consigue, en parte, mediante el consumo, la agregación, la organización y la priorización de los hallazgos de varias soluciones Servicios de AWS de AWS Partner Network seguridad compatibles. Security Hub lo ayuda a analizar sus tendencias de seguridad y a identificar los problemas de seguridad de mayor prioridad. Con Security Hub, también puede agregar las conclusiones de varias y Regiones de AWS, a continuación, evaluar y procesar todos los datos de las conclusiones agregadas de una sola región. Para obtener más información sobre Security Hub, consulte la AWS Security Hub Guía del usuario.
Amazon Macie se integra con Security Hub, lo que significa que puede publicar automáticamente los hallazgos de Macie en Security Hub. Security Hub puede incluir esos resultados en su análisis de la posición de seguridad. Además, puede usar Security Hub para evaluar y procesar las conclusiones sobre políticas y datos confidenciales como parte de un conjunto más amplio y agregado de datos de hallazgos para su AWS entorno. En otras palabras, puede evaluar los hallazgos de Macie y, al mismo tiempo, realizar análisis más amplios de la postura de seguridad de su organización y corregir los hallazgos según sea necesario. Security Hub reduce la complejidad de abordar grandes volúmenes de resultados de múltiples proveedores. Además, utiliza un formato estándar para todos los resultado, incluidos los de Macie. El uso de este formato, el AWS Security Finding Format (ASFF), elimina la necesidad de realizar esfuerzos de conversión de datos que consumen mucho tiempo.
Temas
Cómo publica Macie sus hallazgos en AWS Security Hub
En AWS Security Hub, los problemas de seguridad se rastrean como hallazgos. Algunos hallazgos provienen de problemas detectados por Servicios de AWS, como Amazon Macie, o por soluciones de AWS Partner Network seguridad compatibles. Security Hub también cuenta con un conjunto de reglas que utiliza para detectar problemas de seguridad y generar resultados.
Security Hub proporciona herramientas para administrar los resultados de todas estas fuentes. Puede ver y filtrar listas de resultados y ver los detalles de un resultado en particular. Para obtener información sobre cómo hacerlo, consulte Revisar el historial de búsquedas y los detalles de las búsquedas en la Guía del AWS Security Hub usuario. También puede realizar un seguimiento del estado de una investigación de un resultado. Para obtener información sobre cómo hacerlo, consulte Configurar el estado del flujo de trabajo de los hallazgos en la Guía del AWS Security Hub usuario.
Todos los resultados de Security Hub utilizan un JSON formato estándar denominado AWS Security Finding Format (ASFF). ASFFIncluye detalles sobre el origen del problema, los recursos afectados y el estado actual del hallazgo. Para obtener más información, consulte AWS Security Finding Format (ASFF) en la Guía del AWS Security Hub usuario.
Tipos de hallazgos que Macie publica en Security Hub
En función de la configuración de publicación que elija para su cuenta de Macie, Macie puede publicar todos los resultados que cree en Security Hub, tanto los resultados de datos confidenciales como los de políticas. Para obtener más información acerca de estas configuraciones y de cómo cambiarlas, consulte Configuración de los ajustes de publicación de los resultados . De forma predeterminada, Macie publica solo los resultados de políticas nuevos y actualizados en Security Hub. Macie no publica los resultados de datos confidenciales en Security Hub.
Resultados de datos confidenciales
Si configura a Macie para que publique resultados de datos confidenciales en Security Hub, Macie publica automáticamente cada resultado de datos confidenciales que cree para su cuenta y lo hace inmediatamente después de terminar de procesar el resultado. Macie lo hace con todos los resultados de datos confidenciales que encuentre y que no se archiven automáticamente mediante una regla de supresión.
Si es el administrador de Macie de una organización, la publicación se limita a los resultados de los trabajos de detección de datos confidenciales que haya realizado y a las actividades de detección automatizada de datos confidenciales que Macie realizó para su organización. Solo la cuenta que crea un trabajo puede publicar los datos confidenciales que genere el trabajo. Solo la cuenta de administrador de Macie puede publicar los datos confidenciales que la detección automatizada de datos confidenciales genere para su organización.
Cuando Macie publica los hallazgos de datos confidenciales en Security Hub, utiliza el AWS
Security Finding Format (ASFF), que es el formato estándar para todos los hallazgos en Security Hub. En el Types campoASFF, se indica el tipo de hallazgo. Este campo usa una taxonomía ligeramente diferente de la taxonomía del tipo de resultado de Macie.
En la siguiente tabla se muestra el tipo de ASFF búsqueda para cada tipo de búsqueda de datos confidenciales que Macie puede crear.
| Tipo de resultado de Macie. | ASFFtipo de búsqueda |
|---|---|
SensitiveData:S3Object/Credentials |
Sensitive Data Identifications/Passwords/SensitiveData:S3Object-Credentials |
SensitiveData:S3Object/CustomIdentifier |
Sensitive Data Identifications/PII/SensitiveData:S3Object-CustomIdentifier |
|
SensitiveData:S3Object/Financial |
Sensitive Data Identifications/Financial/SensitiveData:S3Object-Financial |
SensitiveData:S3Object/Multiple |
Sensitive Data Identifications/PII/SensitiveData:S3Object-Multiple |
|
SensitiveData:S3Object/Personal |
Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal |
Hallazgos de políticas
Si configura Macie para que publique resultados de políticas en Security Hub, Macie publica automáticamente cada resultado de política que cree para su cuenta y lo hace inmediatamente después de terminar de procesar el resultado. Si Macie detecta la aparición posterior de un resultado de política existente, publica automáticamente una actualización del resultado existente en Security Hub, utilizando la frecuencia de publicación que especifique para su cuenta. Macie lo hace con todos los resultados de políticas que encuentre y que no se archiven automáticamente mediante una regla de supresión.
Si es el administrador de Macie de una organización, la publicación se limita a las conclusiones sobre las políticas de los segmentos de S3 que son propiedad directa de su cuenta. Macie no publica los resultados de las políticas que crea o actualiza para las cuentas de los miembros de su organización. Esto ayuda a garantizar que no haya datos de resultados duplicados en Security Hub.
Como ocurre con los hallazgos de datos confidenciales, Macie utiliza el AWS Security Finding Format (ASFF) cuando publica los hallazgos de políticas nuevos y actualizados en Security Hub. En el Types campo ASFF se utiliza una taxonomía ligeramente diferente de la taxonomía de tipos de búsqueda de Macie.
En la siguiente tabla se muestra el tipo de ASFF hallazgo para cada tipo de hallazgo de política que Macie puede crear. Si Macie creó o actualizó un hallazgo de política en Security Hub el 28 de enero de 2021 o después, el hallazgo tiene uno de los siguientes valores para el ASFF Types campo de Security Hub.
| Tipo de resultado de Macie. | ASFFtipo de búsqueda |
|---|---|
|
Policy:IAMUser/S3BlockPublicAccessDisabled |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled |
Policy:IAMUser/S3BucketEncryptionDisabled |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketEncryptionDisabled |
|
Policy:IAMUser/S3BucketPublic |
Effects/Data Exposure/Policy:IAMUser-S3BucketPublic |
Policy:IAMUser/S3BucketReplicatedExternally |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketReplicatedExternally |
|
Policy:IAMUser/S3BucketSharedExternally |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedExternally |
|
Policy:IAMUser/S3BucketSharedWithCloudFront |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedWithCloudFront |
Si Macie creó o actualizó por última vez una conclusión de política antes del 28 de enero de 2021, la conclusión tiene uno de los siguientes valores para el ASFF Types campo de Security Hub:
-
Policy:IAMUser/S3BlockPublicAccessDisabled
-
Policy:IAMUser/S3BucketEncryptionDisabled
-
Policy:IAMUser/S3BucketPublic
-
Policy:IAMUser/S3BucketReplicatedExternally
-
Policy:IAMUser/S3BucketSharedExternally
Los valores de la lista anterior se asignan directamente a los valores del campo Tipo de resultado (type) de Macie.
Notas
Al revisar y procesar los resultados de las políticas en Security Hub, tenga en cuenta las siguientes excepciones:
-
De hecho Regiones de AWS, Macie comenzó a utilizar tipos de ASFF hallazgos para los hallazgos nuevos y actualizados ya el 25 de enero de 2021.
-
Si actuó en función de una búsqueda de política en Security Hub antes de que Macie empezara a utilizar tipos de ASFF búsqueda en la suya Región de AWS, el valor del ASFF
Typescampo de búsqueda será uno de los tipos de búsqueda de Macie de la lista anterior. No será uno de los tipos de ASFF búsqueda de la tabla anterior. Esto se aplica a las conclusiones de política en las que usted haya actuado al utilizar la AWS Security Hub consola o el BatchUpdateFindings funcionamiento de la AWS Security Hub API.
Latencia para publicar los hallazgos en Security Hub
Cuando Amazon Macie crea una nueva política o un hallazgo de datos confidenciales, publica el hallazgo AWS Security Hub inmediatamente después de terminar de procesarlo.
Si Macie detecta una aparición posterior de una constatación de política existente, publica una actualización de la constatación de Security Hub existente. El momento de la actualización depende de la frecuencia de publicación que elija para su cuenta de Macie. De forma predeterminada, Macie publica las actualizaciones cada 15 minutos. Para obtener más información, incluido el modo de cambiar la configuración de su cuenta, consulte Configuración de los ajustes de publicación de los resultados .
Reintentar la publicación cuando Security Hub no está disponible
Si no AWS Security Hub está disponible, Amazon Macie crea una cola de hallazgos que Security Hub no ha recibido. Cuando se restablece el sistema, Macie vuelve a intentar la publicación hasta que Security Hub reciba los resultados.
Actualización de los resultados existentes en Security Hub
Después de que Amazon Macie publique una conclusión de política en AWS Security Hub, Macie la actualiza para reflejar cualquier incidencia adicional del hallazgo o actividad de búsqueda. Macie lo hace solo en relación con los resultados de políticas. Los resultados de datos confidenciales, a diferencia de los resultados de políticas, se tratan todos como nuevos (únicos).
Cuando Macie publica una actualización de un resultado de política, actualiza el valor del campo Actualizado en (UpdatedAt) del resultado. Puede usar este valor para determinar cuándo Macie detectó por última vez una posible infracción de la política o problema que dio lugar al resultado.
Macie también podría actualizar el valor del campo Types (Types) de un hallazgo si el valor existente del campo no es un ASFF tipo de hallazgo. Esto depende de si ha actuado en función del resultado publicado en Security Hub. Si no ha realizado ninguna acción en función de la conclusión, Macie cambia el valor del campo por el tipo de ASFF búsqueda adecuado. Si ha actuado en función del hallazgo, utilizando la AWS Security Hub consola o la BatchUpdateFindings operación del AWS Security Hub API, Macie no cambiará el valor del campo.
Ejemplos de los hallazgos de Macie en AWS Security Hub
Cuando Amazon Macie publica los resultados en AWS Security Hub, utiliza el formato de búsqueda AWS de seguridad () ASFF. Este es el formato estándar para todos los resultados en Security Hub. Los siguientes ejemplos utilizan datos de muestra para demostrar la estructura y la naturaleza de los datos de los resultados que Macie publica en Security Hub en este formato:
Ejemplo de un resultado de datos confidenciales en Security Hub
Este es un ejemplo de un hallazgo de datos confidenciales que Macie publicó en Security Hub utilizando elASFF.
{
"SchemaVersion": "2018-10-08",
"Id": "5be50fce24526e670df77bc00example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types":[
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
],
"CreatedAt": "2022-05-11T10:23:49.667Z",
"UpdatedAt": "2022-05-11T10:23:49.667Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "The S3 object contains personal information.",
"Description": "The object contains personal information such as first or last names, addresses, or identification numbers.",
"ProductFields": {
"JobArn": "arn:aws:macie2:us-east-1:111122223333:classification-job/698e99c283a255bb2c992feceexample",
"S3Object.Path": "amzn-s3-demo-bucket/2022 Sourcing.tsv",
"S3Object.Extension": "tsv",
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"OriginType": "SENSITIVE_DATA_DISCOVERY_JOB",
"S3Object.PublicAccess": "false",
"S3Object.Size": "14",
"S3Object.StorageClass": "STANDARD",
"S3Bucket.allowsUnencryptedObjectUploads": "TRUE",
"JobId": "698e99c283a255bb2c992feceexample",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/5be50fce24526e670df77bc00example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-12-30T18:16:25.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"BlockPublicPolicy": true,
"IgnorePublicAcls": true,
"RestrictPublicBuckets": true
}
}
}
},
{
"Type": "AwsS3Object",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket/2022 Sourcing.tsv",
"Partition": "aws",
"Region": "us-east-1",
"DataClassification": {
"DetailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/111122223333/Macie/us-east-1/
698e99c283a255bb2c992feceexample/111122223333/32b8485d-4f3a-3aa1-be33-aa3f0example.jsonl.gz",
"Result":{
"MimeType": "text/tsv",
"SizeClassified": 14,
"AdditionalOccurrences": false,
"Status": {
"Code": "COMPLETE"
},
"SensitiveData": [
{
"Category": "PERSONAL_INFORMATION",
"Detections": [
{
"Count": 1,
"Type": "USA_SOCIAL_SECURITY_NUMBER",
"Occurrences": {
"Cells": [
{
"Column": 10,
"Row": 1,
"ColumnName": "Other"
}
]
}
}
],
"TotalCount": 1
}
],
"CustomDataIdentifiers": {
"Detections": [
],
"TotalCount": 0
}
}
},
"Details": {
"AwsS3Object": {
"LastModified": "2022-04-22T18:16:46.000Z",
"ETag": "ebe1ca03ee8d006d457444445example",
"VersionId": "SlBC72z5hArgexOJifxw_IN57example",
"ServerSideEncryption": "aws:kms",
"SSEKMSKeyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
]
},
"Sample": false,
"ProcessedAt": "2022-05-11T10:23:49.667Z"
}Ejemplo de un resultado de política en Security Hub
Este es un ejemplo de un nuevo hallazgo de política que Macie publicó en Security Hub en elASFF.
{
"SchemaVersion": "2018-10-08",
"Id": "36ca8ba0-caf1-4fee-875c-37760example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
],
"CreatedAt": "2022-04-24T09:27:43.313Z",
"UpdatedAt": "2022-04-24T09:27:43.313Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "Block Public Access settings are disabled for the S3 bucket",
"Description": "All Amazon S3 block public access settings are disabled for the Amazon S3 bucket. Access to the bucket is
controlled only by access control lists (ACLs) or bucket policies.",
"ProductFields": {
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"S3Bucket.allowsUnencryptedObjectUploads": "FALSE",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/36ca8ba0-caf1-4fee-875c-37760example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Tags": {
"Team": "Recruiting",
"Division": "HR"
},
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-11-25T18:24:38.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": false,
"BlockPublicPolicy": false,
"IgnorePublicAcls": false,
"RestrictPublicBuckets": false
}
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
]
},
"Sample": false
}Integrar a Macie con AWS Security Hub
Para integrar Amazon Macie con AWS Security Hub, habilite Security Hub para su. Cuenta de AWS Para obtener información sobre cómo hacerlo, consulte Habilitar Security Hub en la Guía del AWS Security Hub usuario.
Cuando habilita Macie y Security Hub, la integración se activa automáticamente. De forma predeterminada, Macie comienza a publicar automáticamente las conclusiones de las políticas nuevas y actualizadas en Security Hub. No necesita tomar medidas adicionales para configurar la integración. Si tiene conclusiones de políticas existentes cuando la integración está habilitada, Macie no las publica en Security Hub. En su lugar, Macie publica solo los resultados de las políticas que crea o actualiza una vez habilitada la integración.
Si lo desea, puede personalizar su configuración eligiendo la frecuencia con la que Macie publica las actualizaciones de los resultados de políticas en Security Hub. También puede optar por publicar los hallazgos de datos confidenciales en Security Hub. Para saber cómo hacerlo, consulte Configuración de los ajustes de publicación de los resultados .
Detener la publicación de los hallazgos de Macie a AWS Security Hub
Para dejar de publicar los hallazgos de Amazon Macie AWS Security Hub, puedes cambiar la configuración de publicación de tu cuenta de Macie. Para saber cómo hacerlo, consulte Elección de los destinos de publicación de los resultados . También puede hacerlo mediante la consola de Security Hub o el Security HubAPI. Para obtener información sobre cómo hacerlo, consulte Deshabilitar y habilitar el flujo de hallazgos desde una integración (consola) o Deshabilitar el flujo de hallazgos desde una integración (Security Hub API AWS CLI) en la Guía del AWS Security Hub usuario.
