Évaluer les résultats de Macie avec AWS Security Hub - Amazon Macie

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Évaluer les résultats de Macie avec AWS Security Hub

AWS Security Hub est un service qui vous fournit une vue complète de votre niveau de sécurité sur l'ensemble de votre AWS et vous aide à vérifier votre environnement par rapport aux normes et aux meilleures pratiques du secteur de la sécurité. Pour ce faire, il utilise, agrège, organise et hiérarchise les résultats provenant de multiples Services AWS et pris en charge AWS Partner Network solutions de sécurité. Security Hub vous aide à analyser les tendances en matière de sécurité et à identifier les problèmes de sécurité les plus prioritaires. Avec Security Hub, vous pouvez également agréger les résultats de plusieurs Régions AWS, puis évaluez et traitez toutes les données de résultats agrégées d'une seule région. Pour en savoir plus sur Security Hub, consultez le AWS Security Hub Guide de l'utilisateur

Amazon Macie s'intègre à Security Hub, ce qui signifie que vous pouvez publier automatiquement les résultats de Macie vers Security Hub. Security Hub peut ensuite inclure ces résultats dans son analyse de votre posture de sécurité. En outre, vous pouvez utiliser Security Hub pour évaluer et traiter les conclusions relatives aux politiques et aux données sensibles dans le cadre d'un ensemble plus vaste et agrégé de données de conclusions pour votre AWS environnement. En d'autres termes, vous pouvez évaluer les résultats de Macie tout en effectuant des analyses plus larges de la posture de sécurité de votre entreprise, et corriger les résultats si nécessaire. Security Hub simplifie le traitement de volumes importants de résultats provenant de plusieurs fournisseurs. En outre, il utilise un format standard pour tous les résultats, y compris ceux de Macie. L'utilisation de ce format, le AWS Le format Security Finding (ASFF) vous évite d'avoir à effectuer des efforts de conversion de données fastidieux.

Comment Macie publie ses résultats pour AWS Security Hub

Entrée AWS Security Hub, les problèmes de sécurité sont suivis au fur et à mesure des découvertes. Certains résultats proviennent de problèmes détectés par Services AWS, tel qu'Amazon Macie, ou par support AWS Partner Network solutions de sécurité. Security Hub utilise également un ensemble de règles pour détecter les problèmes de sécurité et générer des résultats.

Security Hub fournit des outils pour gérer les résultats provenant de toutes ces sources. Vous pouvez consulter et filtrer les listes de résultats et examiner les détails des résultats individuels. Pour savoir comment procéder, voir Révision de l'historique des recherches et recherche de détails dans le AWS Security Hub Guide de l'utilisateur Vous pouvez également suivre le statut d'une analyse dans un résultat. Pour savoir comment procéder, voir Configuration de l'état des résultats dans le flux de travail AWS Security Hub Guide de l'utilisateur

Tous les résultats de Security Hub utilisent un JSON format standard appelé AWS Format de recherche de sécurité (ASFF). ASFFCela inclut des détails sur la source d'un problème, les ressources concernées et l'état actuel d'une découverte. Pour plus d’informations, consultez .AWS Format de recherche de sécurité (ASFF) dans le AWS Security Hub Guide de l'utilisateur

Types de résultats publiés par Macie sur Security Hub

Selon les paramètres de publication que vous choisissez pour votre compte Macie, Macie peut publier toutes les conclusions qu'il crée sur Security Hub, qu'il s'agisse de données sensibles ou de conclusions relatives aux politiques. Pour plus d'informations sur ces paramètres et sur la façon de les modifier, consultezConfiguration des paramètres de publication pour les résultats. Par défaut, Macie publie uniquement les nouvelles conclusions et les mises à jour relatives aux politiques sur Security Hub. Macie ne publie pas les résultats de données sensibles sur Security Hub.

Résultats de données sensibles

Si vous configurez Macie pour publier les résultats de données sensibles sur Security Hub, Macie publie automatiquement chaque recherche de données sensibles créée pour votre compte et il le fait immédiatement après avoir terminé de traiter le résultat. Macie le fait pour toutes les découvertes de données sensibles qui ne sont pas archivées automatiquement par une règle de suppression.

Si vous êtes l'administrateur Macie d'une organisation, la publication est limitée aux résultats des tâches de découverte de données sensibles que vous avez exécutées et aux activités automatisées de découverte de données sensibles effectuées par Macie pour votre organisation. Seul le compte qui crée une tâche peut publier les résultats des données sensibles produites par la tâche. Seul le compte administrateur Macie peut publier les résultats relatifs aux données sensibles produits par la découverte automatique de données sensibles pour son organisation.

Lorsque Macie publie des résultats de données sensibles sur Security Hub, il utilise le AWS Security Finding Format (ASFF), qui est le format standard pour tous les résultats dans Security Hub. Dans leASFF, le Types champ indique le type de résultat. Ce champ utilise une taxonomie légèrement différente de la taxonomie des types de recherche dans Macie.

Le tableau suivant répertorie le type de ASFF recherche pour chaque type de recherche de données sensibles que Macie peut créer.

Type de recherche Macie ASFFtype de recherche

SensitiveData:S3Object/Credentials

Sensitive Data Identifications/Passwords/SensitiveData:S3Object-Credentials

SensitiveData:S3Object/CustomIdentifier

Sensitive Data Identifications/PII/SensitiveData:S3Object-CustomIdentifier

SensitiveData:S3Object/Financial

Sensitive Data Identifications/Financial/SensitiveData:S3Object-Financial

SensitiveData:S3Object/Multiple

Sensitive Data Identifications/PII/SensitiveData:S3Object-Multiple

SensitiveData:S3Object/Personal

Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal

Résultats de la stratégie

Si vous configurez Macie pour publier les résultats des politiques sur Security Hub, Macie publie automatiquement chaque nouvelle constatation de stratégie qu'il crée et il le fait immédiatement après avoir fini de traiter les résultats. Si Macie détecte une occurrence ultérieure d'une constatation de politique existante, il publie automatiquement une mise à jour de cette constatation dans Security Hub, en utilisant une fréquence de publication que vous spécifiez pour votre compte. Macie exécute ces tâches pour toutes les conclusions relatives aux politiques qui ne sont pas archivées automatiquement par une règle de suppression.

Si vous êtes l'administrateur Macie d'une organisation, la publication se limite aux conclusions relatives aux politiques relatives aux compartiments S3 appartenant directement à votre compte. Macie ne publie pas les résultats des politiques qu'il crée ou met à jour pour les comptes des membres de votre organisation. Cela permet de s'assurer que vous n'avez pas de données de résultats dupliquées dans Security Hub.

Comme c'est le cas pour les découvertes de données sensibles, Macie utilise AWS Security Finding Format (ASFF) lorsqu'il publie des résultats de politique nouveaux et mis à jour sur Security Hub. Dans leASFF, le Types champ utilise une taxonomie légèrement différente de la taxonomie des types de recherche dans Macie.

Le tableau suivant répertorie le type de ASFF recherche pour chaque type de recherche de politique que Macie peut créer. Si Macie a créé ou mis à jour un résultat de politique dans Security Hub le 28 janvier 2021 ou après cette date, le résultat possède l'une des valeurs suivantes pour le ASFF Types champ dans Security Hub.

Type de recherche Macie ASFFtype de recherche

Policy:IAMUser/S3BlockPublicAccessDisabled

Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled

Policy:IAMUser/S3BucketEncryptionDisabled

Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketEncryptionDisabled

Policy:IAMUser/S3BucketPublic

Effects/Data Exposure/Policy:IAMUser-S3BucketPublic

Policy:IAMUser/S3BucketReplicatedExternally

Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketReplicatedExternally

Policy:IAMUser/S3BucketSharedExternally

Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedExternally

Policy:IAMUser/S3BucketSharedWithCloudFront

Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedWithCloudFront

Si Macie a créé ou mis à jour pour la dernière fois une constatation de politique avant le 28 janvier 2021, la recherche possède l'une des valeurs suivantes pour le ASFF Types champ dans Security Hub :

  • Policy:IAMUser/S3BlockPublicAccessDisabled

  • Policy:IAMUser/S3BucketEncryptionDisabled

  • Policy:IAMUser/S3BucketPublic

  • Policy:IAMUser/S3BucketReplicatedExternally

  • Policy:IAMUser/S3BucketSharedExternally

Les valeurs de la liste précédente correspondent directement aux valeurs du champ Type de recherche (type) dans Macie.

Remarques

Lorsque vous examinez et traitez les conclusions relatives aux politiques dans Security Hub, notez les exceptions suivantes :

  • Dans certains Régions AWS, Macie a commencé à utiliser ASFF les types de résultats pour les nouvelles découvertes et les mises à jour dès le 25 janvier 2021.

  • Si vous avez donné suite à une constatation de politique dans Security Hub avant que Macie ne commence à utiliser des types de ASFF recherche dans votre Région AWS, la valeur du ASFF Types champ de la recherche sera l'un des types de recherche Macie de la liste précédente. Il ne s'agira pas de l'un des types de ASFF recherche du tableau précédent. Cela est vrai pour les conclusions des politiques auxquelles vous avez donné suite en utilisant le AWS Security Hub console ou le BatchUpdateFindings fonctionnement du AWS Security Hub API.

Latence lors de la publication des résultats sur Security Hub

Lorsqu'Amazon Macie crée une nouvelle politique ou trouve des données sensibles, il publie le résultat sur AWS Security Hub immédiatement après avoir fini de traiter le résultat.

Si Macie détecte une occurrence ultérieure d'une constatation de politique existante, il publie une mise à jour de la constatation existante du Security Hub. Le moment de la mise à jour dépend de la fréquence de publication que vous choisissez pour votre compte Macie. Par défaut, Macie publie des mises à jour toutes les 15 minutes. Pour plus d'informations, notamment pour savoir comment modifier les paramètres de votre compte, consultezConfiguration des paramètres de publication pour les résultats.

Nouvelle tentative de publication lorsque Security Hub n'est pas disponible

If AWS Security Hub n'est pas disponible, Amazon Macie crée une file d'informations qui n'ont pas été reçues par Security Hub. Lorsque le système est restauré, Macie tente à nouveau de publier jusqu'à ce que les résultats soient reçus par Security Hub.

Mise à jour des résultats existants dans Security Hub

Après la publication par Amazon Macie d'une constatation de politique destinée à AWS Security Hub, Macie met à jour le résultat pour refléter toute occurrence supplémentaire de la découverte ou de l'activité de recherche. Macie le fait uniquement pour les conclusions relatives aux politiques. Contrairement aux conclusions relatives aux politiques, les découvertes relatives aux données sensibles sont toutes traitées comme nouvelles (uniques).

Lorsque Macie publie une mise à jour d'une constatation de politique, Macie met à jour la valeur du champ Updated At (UpdatedAt) de la constatation. Vous pouvez utiliser cette valeur pour déterminer à quel moment Macie a récemment détecté une occurrence ultérieure d'une violation potentielle de la politique ou du problème à l'origine de cette constatation.

Macie peut également mettre à jour la valeur du champ Types (Types) d'une recherche si la valeur existante du champ n'est pas un type de ASFF recherche. Cela dépend si vous avez donné suite à la constatation dans Security Hub. Si vous n'avez pas donné suite au résultat, Macie remplace la valeur du champ par le type de ASFF recherche approprié. Si vous avez donné suite à cette constatation, en utilisant l'une des AWS Security Hub console ou le BatchUpdateFindings fonctionnement du AWS Security Hub API, Macie ne modifie pas la valeur du champ.

Exemples de découvertes de Macie dans AWS Security Hub

Quand Amazon Macie publie ses résultats sur AWS Security Hub, il utilise AWS Format de recherche de sécurité (ASFF). Il s'agit du format standard pour tous les résultats de Security Hub. Les exemples suivants utilisent des exemples de données pour illustrer la structure et la nature des données de résultats que Macie publie sur Security Hub dans ce format :

Exemple de découverte de données sensibles dans Security Hub

Voici un exemple de découverte de données sensibles publiée par Macie sur Security Hub à l'aide duASFF.

{ "SchemaVersion": "2018-10-08", "Id": "5be50fce24526e670df77bc00example", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie", "ProductName": "Macie", "CompanyName": "Amazon", "Region": "us-east-1", "GeneratorId": "aws/macie", "AwsAccountId": "111122223333", "Types":[ "Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal" ], "CreatedAt": "2022-05-11T10:23:49.667Z", "UpdatedAt": "2022-05-11T10:23:49.667Z", "Severity": { "Label": "HIGH", "Normalized": 70 }, "Title": "The S3 object contains personal information.", "Description": "The object contains personal information such as first or last names, addresses, or identification numbers.", "ProductFields": { "JobArn": "arn:aws:macie2:us-east-1:111122223333:classification-job/698e99c283a255bb2c992feceexample", "S3Object.Path": "amzn-s3-demo-bucket/2022 Sourcing.tsv", "S3Object.Extension": "tsv", "S3Bucket.effectivePermission": "NOT_PUBLIC", "OriginType": "SENSITIVE_DATA_DISCOVERY_JOB", "S3Object.PublicAccess": "false", "S3Object.Size": "14", "S3Object.StorageClass": "STANDARD", "S3Bucket.allowsUnencryptedObjectUploads": "TRUE", "JobId": "698e99c283a255bb2c992feceexample", "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/5be50fce24526e670df77bc00example", "aws/securityhub/ProductName": "Macie", "aws/securityhub/CompanyName": "Amazon" }, "Resources": [ { "Type": "AwsS3Bucket", "Id": "arn:aws:s3:::amzn-s3-demo-bucket", "Partition": "aws", "Region": "us-east-1", "Details": { "AwsS3Bucket": { "OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example", "OwnerName": "johndoe", "OwnerAccountId": "444455556666", "CreatedAt": "2020-12-30T18:16:25.000Z", "ServerSideEncryptionConfiguration": { "Rules": [ { "ApplyServerSideEncryptionByDefault": { "SSEAlgorithm": "aws:kms", "KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } } ] }, "PublicAccessBlockConfiguration": { "BlockPublicAcls": true, "BlockPublicPolicy": true, "IgnorePublicAcls": true, "RestrictPublicBuckets": true } } } }, { "Type": "AwsS3Object", "Id": "arn:aws:s3:::amzn-s3-demo-bucket/2022 Sourcing.tsv", "Partition": "aws", "Region": "us-east-1", "DataClassification": { "DetailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/111122223333/Macie/us-east-1/ 698e99c283a255bb2c992feceexample/111122223333/32b8485d-4f3a-3aa1-be33-aa3f0example.jsonl.gz", "Result":{ "MimeType": "text/tsv", "SizeClassified": 14, "AdditionalOccurrences": false, "Status": { "Code": "COMPLETE" }, "SensitiveData": [ { "Category": "PERSONAL_INFORMATION", "Detections": [ { "Count": 1, "Type": "USA_SOCIAL_SECURITY_NUMBER", "Occurrences": { "Cells": [ { "Column": 10, "Row": 1, "ColumnName": "Other" } ] } } ], "TotalCount": 1 } ], "CustomDataIdentifiers": { "Detections": [ ], "TotalCount": 0 } } }, "Details": { "AwsS3Object": { "LastModified": "2022-04-22T18:16:46.000Z", "ETag": "ebe1ca03ee8d006d457444445example", "VersionId": "SlBC72z5hArgexOJifxw_IN57example", "ServerSideEncryption": "aws:kms", "SSEKMSKeyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } } } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "HIGH" }, "Types": [ "Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal" ] }, "Sample": false, "ProcessedAt": "2022-05-11T10:23:49.667Z" }

Exemple de découverte d'une politique dans Security Hub

Voici un exemple d'une nouvelle constatation de politique publiée par Macie sur Security Hub dans leASFF.

{ "SchemaVersion": "2018-10-08", "Id": "36ca8ba0-caf1-4fee-875c-37760example", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie", "ProductName": "Macie", "CompanyName": "Amazon", "Region": "us-east-1", "GeneratorId": "aws/macie", "AwsAccountId": "111122223333", "Types": [ "Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled" ], "CreatedAt": "2022-04-24T09:27:43.313Z", "UpdatedAt": "2022-04-24T09:27:43.313Z", "Severity": { "Label": "HIGH", "Normalized": 70 }, "Title": "Block Public Access settings are disabled for the S3 bucket", "Description": "All Amazon S3 block public access settings are disabled for the Amazon S3 bucket. Access to the bucket is controlled only by access control lists (ACLs) or bucket policies.", "ProductFields": { "S3Bucket.effectivePermission": "NOT_PUBLIC", "S3Bucket.allowsUnencryptedObjectUploads": "FALSE", "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/36ca8ba0-caf1-4fee-875c-37760example", "aws/securityhub/ProductName": "Macie", "aws/securityhub/CompanyName": "Amazon" }, "Resources": [ { "Type": "AwsS3Bucket", "Id": "arn:aws:s3:::amzn-s3-demo-bucket", "Partition": "aws", "Region": "us-east-1", "Tags": { "Team": "Recruiting", "Division": "HR" }, "Details": { "AwsS3Bucket": { "OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example", "OwnerName": "johndoe", "OwnerAccountId": "444455556666", "CreatedAt": "2020-11-25T18:24:38.000Z", "ServerSideEncryptionConfiguration": { "Rules": [ { "ApplyServerSideEncryptionByDefault": { "SSEAlgorithm": "aws:kms", "KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } } ] }, "PublicAccessBlockConfiguration": { "BlockPublicAcls": false, "BlockPublicPolicy": false, "IgnorePublicAcls": false, "RestrictPublicBuckets": false } } } } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "HIGH" }, "Types": [ "Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled" ] }, "Sample": false }

Intégrer Macie à AWS Security Hub

Pour intégrer Amazon Macie à AWS Security Hub, activez Security Hub pour votre Compte AWS. Pour savoir comment procéder, consultez la section Enabling Security Hub dans le AWS Security Hub Guide de l'utilisateur

Lorsque vous activez Macie et Security Hub, l'intégration est automatiquement activée. Par défaut, Macie commence à publier automatiquement les résultats des politiques nouvelles et mises à jour sur Security Hub. Il n'est pas nécessaire de prendre des mesures supplémentaires pour configurer l'intégration. Si vous avez des conclusions relatives aux politiques existantes lorsque l'intégration est activée, Macie ne les publie pas sur Security Hub. Au lieu de cela, Macie publie uniquement les résultats des politiques qu'il crée ou met à jour une fois l'intégration activée.

Vous pouvez éventuellement personnaliser votre configuration en choisissant la fréquence à laquelle Macie publie les mises à jour des résultats des politiques dans Security Hub. Vous pouvez également choisir de publier les résultats relatifs aux données sensibles sur Security Hub. Pour savoir comment procéder, veuillez consulter la section Configuration des paramètres de publication pour les résultats.

Arrêt de la publication des résultats de Macie à AWS Security Hub

Pour arrêter de publier les résultats d'Amazon Macie sur AWS Security Hub, vous pouvez modifier les paramètres de publication de votre compte Macie. Pour savoir comment procéder, veuillez consulter la section Choix des destinations de publication pour les résultats. Vous pouvez également le faire à l'aide de Security Hub. Pour savoir comment procéder, voir Désactiver le flux de résultats issus d'une intégration dans AWS Security Hub Guide de l'utilisateur