Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengevaluasi temuan Macie dengan AWS Security Hub
AWS Security Hub adalah layanan yang memberi Anda pandangan komprehensif tentang postur keamanan Anda di seluruh AWS lingkungan dan membantu Anda memeriksa lingkungan Anda terhadap standar industri keamanan dan praktik terbaik. Hal ini dilakukan sebagian dengan mengkonsumsi, menggabungkan, mengatur, dan memprioritaskan temuan dari berbagai Layanan AWS dan didukung AWS Partner Network solusi keamanan. Security Hub membantu Anda menganalisis tren keamanan dan mengidentifikasi masalah keamanan dengan prioritas tertinggi. Dengan Security Hub, Anda juga dapat mengumpulkan temuan dari beberapa Wilayah AWS, dan kemudian mengevaluasi dan memproses semua data temuan agregat dari satu Wilayah. Untuk mempelajari selengkapnya tentang Security Hub, lihat AWS Security Hub Panduan Pengguna.
Amazon Macie terintegrasi dengan Security Hub, yang berarti Anda dapat mempublikasikan temuan dari Macie ke Security Hub secara otomatis. Security Hub kemudian dapat menyertakan temuan tersebut dalam analisis postur keamanan Anda. Selain itu, Anda dapat menggunakan Security Hub untuk mengevaluasi dan memproses kebijakan dan temuan data sensitif sebagai bagian dari kumpulan data temuan yang lebih besar dan teragregat untuk Anda AWS lingkungan. Dengan kata lain, Anda dapat mengevaluasi temuan Macie sambil melakukan analisis yang lebih luas tentang postur keamanan organisasi Anda, dan memulihkan temuan seperlunya. Security Hub mengurangi kompleksitas penanganan temuan volume besar dari beberapa penyedia. Selain itu, ia menggunakan format standar untuk semua temuan, termasuk temuan dari Macie. Menggunakan format ini, AWS Security Finding Format (ASFF), menghilangkan kebutuhan bagi Anda untuk melakukan upaya konversi data yang memakan waktu.
Topik
Bagaimana Macie menerbitkan temuan untuk AWS Security Hub
Masuk AWS Security Hub, masalah keamanan dilacak sebagai temuan. Beberapa temuan berasal dari masalah yang terdeteksi oleh Layanan AWS, seperti Amazon Macie, atau dengan didukung AWS Partner Network solusi keamanan. Security Hub juga memiliki seperangkat aturan yang digunakan untuk mendeteksi masalah keamanan dan membuat temuan.
Security Hub menyediakan peralatan untuk mengelola temuan dari semua sumber tersebut. Anda dapat meninjau dan memfilter daftar temuan dan meninjau detail temuan individu. Untuk mempelajari caranya, lihat Meninjau riwayat penemuan dan menemukan detail di AWS Security Hub Panduan Pengguna. Anda juga dapat melacak status penyelidikan ke temuan. Untuk mempelajari caranya, lihat Menyetel status alur kerja temuan di AWS Security Hub Panduan Pengguna.
Semua temuan di Security Hub menggunakan JSON format standar yang disebut AWS Format Pencarian Keamanan (ASFF). ASFFTermasuk rincian tentang sumber masalah, sumber daya yang terpengaruh, dan status temuan saat ini. Untuk informasi selengkapnya, silakan lihat AWS Format Pencarian Keamanan (ASFF) di AWS Security Hub Panduan Pengguna.
Jenis temuan yang dipublikasikan Macie ke Security Hub
Tergantung pada pengaturan publikasi yang Anda pilih untuk akun Macie Anda, Macie dapat memublikasikan semua temuan yang dibuatnya ke Security Hub, baik temuan data sensitif maupun temuan kebijakan. Untuk informasi tentang pengaturan ini dan cara mengubahnya, lihat Mengonfigurasi pengaturan publikasi untuk temuan. Secara default, Macie hanya memublikasikan temuan kebijakan yang baru dan terbaru ke Security Hub. Macie tidak memublikasikan temuan data sensitif ke Security Hub.
Temuan data sensitif
Jika Anda mengonfigurasi Macie untuk memublikasikan Temuan data sensitif ke Security Hub, Macie secara otomatis menerbitkan setiap temuan data sensitif yang dibuatnya untuk akun Anda dan melakukannya segera setelah selesai memproses temuan. Macie melakukan ini untuk semua temuan data sensitif yang tidak diarsipkan secara otomatis oleh Aturan penekan.
Jika Anda administrator Macie untuk suatu organisasi, publikasi terbatas pada temuan dari pekerjaan penemuan data sensitif yang Anda jalankan dan aktivitas penemuan data sensitif otomatis yang dilakukan Macie untuk organisasi Anda. Hanya akun yang membuat tugas dapat memublikasikan temuan data sensitif yang dihasilkan oleh tugas. Hanya akun administrator Macie yang dapat mempublikasikan temuan data sensitif yang dihasilkan oleh penemuan data sensitif otomatis untuk organisasi mereka.
Saat Macie menerbitkan temuan data sensitif ke Security Hub, ia menggunakan AWS
Security Finding Format (ASFF), yang merupakan format standar untuk semua temuan di Security Hub. DiASFF, Types bidang menunjukkan jenis temuan. Bidang ini menggunakan taksonomi yang sedikit berbeda dari tipe temuan taksonomi di Macie.
Tabel berikut mencantumkan jenis ASFF temuan untuk setiap jenis temuan data sensitif yang dapat dibuat Macie.
| Tipe temuan Macie | ASFFmenemukan jenis |
|---|---|
SensitiveData:S3Object/Credentials |
Sensitive Data Identifications/Passwords/SensitiveData:S3Object-Credentials |
SensitiveData:S3Object/CustomIdentifier |
Sensitive Data Identifications/PII/SensitiveData:S3Object-CustomIdentifier |
|
SensitiveData:S3Object/Financial |
Sensitive Data Identifications/Financial/SensitiveData:S3Object-Financial |
SensitiveData:S3Object/Multiple |
Sensitive Data Identifications/PII/SensitiveData:S3Object-Multiple |
|
SensitiveData:S3Object/Personal |
Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal |
Temuan kebijakan
Jika Anda mengonfigurasi Macie untuk memublikasikan temuan kebijakan ke Security Hub, Macie secara otomatis menerbitkan setiap temuan kebijakan baru yang dibuat dan melakukannya segera setelah Macie selesai memproses temuan. Jika Macie mendeteksi kejadian berikutnya dari temuan kebijakan yang ada, Macie secara otomatis menerbitkan pembaruan untuk temuan yang ada di Security Hub, menggunakan frekuensi publikasi yang Anda tentukan untuk akun Anda. Macie melakukan tugas ini untuk semua temuan kebijakan yang tidak diarsipkan secara otomatis oleh Aturan penekan.
Jika Anda administrator Macie untuk suatu organisasi, publikasi terbatas pada temuan kebijakan untuk bucket S3 yang dimiliki langsung oleh akun Anda. Macie tidak memublikasikan temuan kebijakan yang dibuat atau diperbarui untuk akun anggota di organisasi Anda. Hal ini membantu untuk memastikan bahwa Anda tidak memiliki data temuan duplikat di Security Hub.
Seperti halnya temuan data sensitif, Macie menggunakan AWS Security Finding Format (ASFF) saat menerbitkan temuan kebijakan baru dan yang diperbarui ke Security Hub. Di bidang tersebutASFF, Types bidang tersebut menggunakan taksonomi yang sedikit berbeda dari taksonomi tipe temuan di Macie.
Tabel berikut mencantumkan jenis ASFF temuan untuk setiap jenis temuan kebijakan yang dapat dibuat Macie. Jika Macie membuat atau memperbarui temuan kebijakan di Security Hub pada atau setelah 28 Januari 2021, temuan tersebut memiliki salah satu nilai berikut untuk ASFF Types bidang di Security Hub.
| Tipe temuan Macie | ASFFmenemukan jenis |
|---|---|
|
Policy:IAMUser/S3BlockPublicAccessDisabled |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled |
Policy:IAMUser/S3BucketEncryptionDisabled |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketEncryptionDisabled |
|
Policy:IAMUser/S3BucketPublic |
Effects/Data Exposure/Policy:IAMUser-S3BucketPublic |
Policy:IAMUser/S3BucketReplicatedExternally |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketReplicatedExternally |
|
Policy:IAMUser/S3BucketSharedExternally |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedExternally |
|
Policy:IAMUser/S3BucketSharedWithCloudFront |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedWithCloudFront |
Jika Macie membuat atau terakhir memperbarui temuan kebijakan sebelum 28 Januari 2021, temuan tersebut memiliki salah satu nilai berikut untuk ASFF Types bidang di Security Hub:
-
Policy:IAMUser/S3BlockPublicAccessDisabled
-
Policy:IAMUser/S3BucketEncryptionDisabled
-
Policy:IAMUser/S3BucketPublic
-
Policy:IAMUser/S3BucketReplicatedExternally
-
Policy:IAMUser/S3BucketSharedExternally
Nilai-nilai dalam daftar peta langsung sebelumnya ke nilai-nilai untuk bidang Tipe temuan (type) di Macie.
Catatan
Ketika Anda meninjau dan memproses temuan kebijakan di Security Hub, perhatikan pengecualian berikut ini:
-
Dalam hal tertentu Wilayah AWS, Macie mulai menggunakan tipe ASFF temuan untuk temuan baru dan yang diperbarui pada awal 25 Januari 2021.
-
Jika Anda menindaklanjuti temuan kebijakan di Security Hub sebelum Macie mulai menggunakan tipe ASFF pencarian di Wilayah AWS, nilai untuk ASFF
Typesbidang temuan akan menjadi salah satu jenis temuan Macie di daftar sebelumnya. Ini tidak akan menjadi salah satu jenis ASFF temuan di tabel sebelumnya. Hal ini berlaku untuk temuan kebijakan yang Anda lakukan saat menggunakan AWS Security Hub konsol atau BatchUpdateFindings pengoperasian AWS Security Hub API.
Latensi untuk mempublikasikan temuan ke Security Hub
Saat Amazon Macie membuat kebijakan baru atau penemuan data sensitif, Amazon Macie menerbitkan temuan tersebut ke AWS Security Hub segera setelah selesai memproses temuan.
Jika Macie mendeteksi kejadian berikutnya dari temuan kebijakan yang ada, Macie akan menerbitkan pembaruan ke temuan Security Hub yang ada. Waktu pembaruan tergantung pada frekuensi publikasi yang Anda pilih untuk akun Macie Anda. Secara default, Macie memublikasikan pembaruan setiap 15 menit. Untuk informasi selengkapnya, termasuk bagaimana mengubah pengaturan akun, lihat Mengonfigurasi pengaturan publikasi untuk temuan.
Mencoba lagi publikasi saat Security Hub tidak tersedia
Jika AWS Security Hub tidak tersedia, Amazon Macie membuat antrian temuan yang belum diterima oleh Security Hub. Ketika sistem dipulihkan, Macie mencoba lagi publikasi hingga temuan diterima oleh Security Hub.
Memperbarui temuan yang ada di Security Hub
Setelah Amazon Macie menerbitkan temuan kebijakan AWS Security Hub, Macie memperbarui temuan untuk mencerminkan kejadian tambahan dari aktivitas temuan atau penemuan. Macie melakukan ini hanya demi temuan kebijakan. Temuan data sensitif, tidak seperti temuan kebijakan, semuanya diperlakukan sebagai baru (unik).
Ketika Macie mempublikasikan pembaruan untuk temuan kebijakan, Macie memperbarui nilai untuk bidang temuan Diperbarui Pada (UpdatedAt). Anda dapat menggunakan nilai ini untuk menentukan kapan Macie baru-baru ini mendeteksi terjadinya potensi pelanggaran kebijakan atau masalah berikutnya yang menghasilkan temuan tersebut.
Macie mungkin juga memperbarui nilai untuk bidang Types (Types) dari temuan jika nilai yang ada untuk bidang tersebut bukan tipe ASFF temuan. Hal ini tergantung pada apakah Anda telah bertindak berdasarkan temuan di Security Hub. Jika Anda belum menindaklanjuti temuan tersebut, Macie mengubah nilai bidang menjadi jenis ASFF temuan yang sesuai. Jika Anda telah menindaklanjuti temuan tersebut, gunakan salah satu AWS Security Hub konsol atau BatchUpdateFindings pengoperasian AWS Security Hub API, Macie tidak mengubah nilai bidang.
Contoh temuan Macie di AWS Security Hub
Saat Amazon Macie menerbitkan temuan ke AWS Security Hub, ia menggunakan AWS Format Pencarian Keamanan (ASFF). Ini merupakan format standar untuk semua temuan di Security Hub. Contoh berikut menggunakan data sampel untuk mendemonstrasikan struktur dan sifat data temuan yang diterbitkan Macie ke Security Hub dalam format ini:
Contoh temuan data sensitif di Security Hub
Berikut adalah contoh temuan data sensitif yang dipublikasikan Macie ke Security Hub menggunakan file. ASFF
{
"SchemaVersion": "2018-10-08",
"Id": "5be50fce24526e670df77bc00example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types":[
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
],
"CreatedAt": "2022-05-11T10:23:49.667Z",
"UpdatedAt": "2022-05-11T10:23:49.667Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "The S3 object contains personal information.",
"Description": "The object contains personal information such as first or last names, addresses, or identification numbers.",
"ProductFields": {
"JobArn": "arn:aws:macie2:us-east-1:111122223333:classification-job/698e99c283a255bb2c992feceexample",
"S3Object.Path": "amzn-s3-demo-bucket/2022 Sourcing.tsv",
"S3Object.Extension": "tsv",
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"OriginType": "SENSITIVE_DATA_DISCOVERY_JOB",
"S3Object.PublicAccess": "false",
"S3Object.Size": "14",
"S3Object.StorageClass": "STANDARD",
"S3Bucket.allowsUnencryptedObjectUploads": "TRUE",
"JobId": "698e99c283a255bb2c992feceexample",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/5be50fce24526e670df77bc00example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-12-30T18:16:25.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"BlockPublicPolicy": true,
"IgnorePublicAcls": true,
"RestrictPublicBuckets": true
}
}
}
},
{
"Type": "AwsS3Object",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket/2022 Sourcing.tsv",
"Partition": "aws",
"Region": "us-east-1",
"DataClassification": {
"DetailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/111122223333/Macie/us-east-1/
698e99c283a255bb2c992feceexample/111122223333/32b8485d-4f3a-3aa1-be33-aa3f0example.jsonl.gz",
"Result":{
"MimeType": "text/tsv",
"SizeClassified": 14,
"AdditionalOccurrences": false,
"Status": {
"Code": "COMPLETE"
},
"SensitiveData": [
{
"Category": "PERSONAL_INFORMATION",
"Detections": [
{
"Count": 1,
"Type": "USA_SOCIAL_SECURITY_NUMBER",
"Occurrences": {
"Cells": [
{
"Column": 10,
"Row": 1,
"ColumnName": "Other"
}
]
}
}
],
"TotalCount": 1
}
],
"CustomDataIdentifiers": {
"Detections": [
],
"TotalCount": 0
}
}
},
"Details": {
"AwsS3Object": {
"LastModified": "2022-04-22T18:16:46.000Z",
"ETag": "ebe1ca03ee8d006d457444445example",
"VersionId": "SlBC72z5hArgexOJifxw_IN57example",
"ServerSideEncryption": "aws:kms",
"SSEKMSKeyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
]
},
"Sample": false,
"ProcessedAt": "2022-05-11T10:23:49.667Z"
}Contoh temuan kebijakan di Security Hub
Berikut adalah contoh temuan kebijakan baru yang diterbitkan Macie ke Security Hub di. ASFF
{
"SchemaVersion": "2018-10-08",
"Id": "36ca8ba0-caf1-4fee-875c-37760example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
],
"CreatedAt": "2022-04-24T09:27:43.313Z",
"UpdatedAt": "2022-04-24T09:27:43.313Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "Block Public Access settings are disabled for the S3 bucket",
"Description": "All Amazon S3 block public access settings are disabled for the Amazon S3 bucket. Access to the bucket is
controlled only by access control lists (ACLs) or bucket policies.",
"ProductFields": {
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"S3Bucket.allowsUnencryptedObjectUploads": "FALSE",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/36ca8ba0-caf1-4fee-875c-37760example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Tags": {
"Team": "Recruiting",
"Division": "HR"
},
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-11-25T18:24:38.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": false,
"BlockPublicPolicy": false,
"IgnorePublicAcls": false,
"RestrictPublicBuckets": false
}
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
]
},
"Sample": false
}Mengintegrasikan Macie dengan AWS Security Hub
Untuk mengintegrasikan Amazon Macie dengan AWS Security Hub, aktifkan Security Hub untuk Akun AWS. Untuk mempelajari caranya, lihat Mengaktifkan Security Hub di AWS Security Hub Panduan Pengguna.
Integrasi akan diaktifkan secara otomatis, ketika Anda mengaktifkan Macie dan Security Hub, . Secara default, Macie mulai mempublikasikan temuan kebijakan baru dan diperbarui ke Security Hub secara otomatis. Anda tidak perlu mengambil langkah tambahan untuk mengonfigurasi integrasi. Jika Anda memiliki temuan kebijakan saat integrasi diaktifkan, Macie tidak mempublikasikannya ke Security Hub. Sebagai gantinya, Macie hanya menerbitkan temuan kebijakan yang dibuat atau diperbarui setelah integrasi diaktifkan.
Secara opsional Anda dapat menyesuaikan konfigurasi Anda dengan memilih frekuensi ketika Macie menerbitkan pembaruan untuk temuan kebijakan di Security Hub. Anda juga dapat memilih untuk mempublikasikan temuan data sensitif ke Security Hub. Untuk mempelajari caranya, lihat Mengonfigurasi pengaturan publikasi untuk temuan.
Menghentikan publikasi temuan Macie ke AWS Security Hub
Untuk berhenti mempublikasikan temuan Amazon Macie ke AWS Security Hub, Anda dapat mengubah pengaturan publikasi untuk akun Macie Anda. Untuk mempelajari caranya, lihat Memilih tujuan publikasi untuk temuan. Anda juga dapat melakukannya dengan menggunakan Security Hub. Untuk mempelajari caranya, lihat Menonaktifkan aliran temuan dari integrasi di AWS Security Hub Panduan Pengguna.
