Tipi di risultati politici Tipi di dati sensibili rilevati

Tipi di scoperte di Macie

Amazon Macie genera due categorie di risultati: risultati relativi alle politiche e dati sensibili. Un risultato della policy è un rapporto dettagliato di una potenziale violazione delle policy o di un problema relativo alla sicurezza o alla privacy di un bucket generico di Amazon Simple Storage Service (Amazon S3). Macie genera i risultati delle policy nell'ambito delle sue attività in corso volte a valutare e monitorare i tuoi bucket generici per la sicurezza e il controllo degli accessi. Un rilevamento di dati sensibili è un rapporto dettagliato dei dati sensibili rilevati da Macie in un oggetto S3. Macie genera rilevamenti di dati sensibili come parte delle attività che svolge quando si eseguono lavori di rilevamento di dati sensibili o esegue il rilevamento automatico di dati sensibili.

All'interno di ogni categoria, esistono tipi specifici. Il tipo di risultato fornisce informazioni sulla natura del problema o sui dati sensibili rilevati da Macie. I dettagli di un risultato forniscono un indice di gravità, informazioni sulla risorsa interessata e informazioni aggiuntive, ad esempio quando e come Macie ha rilevato il problema o dati sensibili. La gravità e i dettagli di ciascun risultato variano a seconda del tipo e della natura del risultato.

Suggerimento

Per esplorare e conoscere le diverse categorie e tipi di risultati che Macie può generare, crea dei risultati di esempio. I risultati di esempio utilizzano dati di esempio e valori segnaposto per dimostrare i tipi di informazioni che ogni tipo di risultato potrebbe contenere.

Tipi di risultati politici

Amazon Macie genera una ricerca sulle policy quando le policy o le impostazioni per un bucket S3 generico vengono modificate in modo da ridurre la sicurezza o la privacy del bucket e degli oggetti in esso contenuti. Per informazioni su come Macie rileva queste modifiche, consulta. In che modo Macie monitora la sicurezza dei dati di Amazon S3

Macie genera una policy che rileva solo se la modifica avviene dopo aver abilitato Macie for your. Account AWS Ad esempio, se le impostazioni di blocco dell'accesso pubblico sono disabilitate per un bucket S3 dopo aver abilitato Macie, Macie genera una ricerca Policy: IAMUser /S3 per il bucket. BlockPublicAccessDisabled Se le impostazioni di blocco dell'accesso pubblico sono state disabilitate per un bucket quando hai abilitato Macie e continuano a esserlo, Macie non genera una ricerca Policy: /S3 per il bucket. IAMUser BlockPublicAccessDisabled

Se Macie rileva una ricorrenza successiva di un risultato di policy esistente, Macie aggiorna il risultato esistente aggiungendo dettagli sull'occorrenza successiva e incrementando il numero di ricorrenze. Macie archivia i risultati delle politiche per 90 giorni.

Macie può generare i seguenti tipi di risultati delle policy per un bucket S3 generico.

Policy:IAMUser/S3BlockPublicAccessDisabled

Tutte le impostazioni di accesso pubblico a blocchi a livello di bucket sono state disabilitate per il bucket. L'accesso al bucket è controllato dalle impostazioni di accesso pubblico a blocchi per l'account, dagli elenchi di controllo degli accessi (ACLs) e dalla politica del bucket per il bucket.

Per informazioni sulle impostazioni di blocco dell'accesso pubblico per i bucket S3, consulta Bloccare l'accesso pubblico allo storage Amazon S3 nella Guida per l'utente di Amazon Simple Storage Service.

Policy:IAMUser/S3BucketEncryptionDisabled

Le impostazioni di crittografia predefinite per il bucket sono state ripristinate al comportamento di crittografia predefinito di Amazon S3, che consiste nel crittografare automaticamente i nuovi oggetti con una chiave gestita di Amazon S3.

A partire dal 5 gennaio 2023, Amazon S3 applica automaticamente la crittografia lato server con le chiavi gestite di Amazon S3 (SSE-S3) come livello base di crittografia per gli oggetti che vengono aggiunti ai bucket. Facoltativamente, puoi configurare le impostazioni di crittografia predefinite di un bucket per utilizzare invece la crittografia lato server con una chiave (-) o la crittografia lato server a doppio livello con una AWS KMS chiave (SSE-KMS). AWS KMS DSSE KMS Per informazioni sulle impostazioni e le opzioni di crittografia predefinite per i bucket S3, consulta Impostazione del comportamento di crittografia lato server predefinito per i bucket S3 nella Guida per l'utente di Amazon Simple Storage Service.

Se Macie ha generato questo tipo di risultato prima del 5 gennaio 2023, il risultato indica che le impostazioni di crittografia predefinite sono state disabilitate per il bucket interessato. Ciò significa che le impostazioni del bucket non specificavano il comportamento di crittografia lato server predefinito per i nuovi oggetti. La possibilità di disabilitare le impostazioni di crittografia predefinite per un bucket non è più supportata da Amazon S3.

Policy:IAMUser/S3BucketPublic

Una policy ACL or bucket per il bucket è stata modificata per consentire l'accesso a utenti anonimi o a tutte le identità AWS Identity and Access Management autenticate (). IAM

Per informazioni sulle ACLs policy relative ai bucket S3, consulta la sezione Gestione degli accessi nella Guida per l'utente di Amazon Simple Storage Service.

Policy:IAMUser/S3BucketReplicatedExternally

La replica è stata abilitata e configurata per replicare oggetti da un bucket a un bucket per un dispositivo esterno all'organizzazione ( Account AWS non facente parte di essa). Un'organizzazione è un insieme di account Macie gestiti centralmente come gruppo di account correlati tramite AWS Organizations o su invito di Macie.

In determinate condizioni, Macie potrebbe generare questo tipo di ricerca per un bucket che non è configurato per replicare oggetti in un bucket esterno. Account AWSCiò può verificarsi se il bucket di destinazione è stato creato in un altro Regione AWS ambiente nelle 24 ore precedenti, dopo che Macie ha recuperato i metadati del bucket e dell'oggetto da Amazon S3 come parte del ciclo di aggiornamento giornaliero. Per esaminare il risultato, inizia aggiornando i dati dell'inventario. Quindi rivedi i dettagli del bucket. I dettagli indicano se il bucket è configurato per replicare oggetti su altri bucket. Se il bucket è configurato per questa operazione, i dettagli includono l'ID account per ogni account che possiede un bucket di destinazione.

Per informazioni sulle impostazioni di replica per i bucket S3, consulta Replicating objects nella Amazon Simple Storage Service User Guide.

Policy:IAMUser/S3BucketSharedExternally

È stata modificata una ACL policy relativa al bucket per consentire la condivisione del bucket con un utente esterno all'organizzazione ( Account AWS che non fa parte dell'azienda). Un'organizzazione è un insieme di account Macie gestiti centralmente come gruppo di account correlati tramite AWS Organizations o su invito di Macie.

In alcuni casi, Macie potrebbe generare questo tipo di ricerca per un bucket che non è condiviso con un account esterno. AWS Ciò può verificarsi se Macie non è in grado di valutare appieno la relazione tra l'Principalelemento della policy del bucket e determinate chiavi di contesto della condizione AWS globale o le chiavi di condizione di Amazon S3 nell'elemento Condition della policy. Le chiavi di condizione applicabili sono: aws:PrincipalAccountaws:PrincipalArn,aws:PrincipalOrgID,aws:PrincipalOrgPaths,aws:PrincipalTag,aws:PrincipalType,aws:SourceAccount,aws:SourceArn,aws:SourceIp, aws:SourceVpc aws:SourceVpceaws:userid, s3:DataAccessPointAccount e. s3:DataAccessPointArn Ti consigliamo di rivedere la politica del bucket per determinare se questo accesso è previsto e sicuro.

Per informazioni sulle ACLs policy relative ai bucket S3, consulta la sezione Gestione degli accessi nella Guida per l'utente di Amazon Simple Storage Service.

Policy:IAMUser/S3BucketSharedWithCloudFront

La policy del bucket è stata modificata per consentire la condivisione del bucket con un'identità di accesso di CloudFront origine Amazon (OAI), un controllo di accesso all' CloudFront origine (OAC) o entrambi. CloudFront OAI CloudFront OAC A CloudFront OAI o OAC consente agli utenti di accedere agli oggetti di un bucket tramite una o più distribuzioni specificate. CloudFront

Per ulteriori informazioni CloudFront OAIsOACs, consulta la sezione Restrizione dell'accesso a un'origine Amazon S3 nella CloudFrontAmazon Developer Guide.

Nota

In alcuni casi, Macie genera una ricerca Policy: IAMUser /S3 anziché una BucketSharedExternally ricerca Policy: IAMUser BucketSharedWithCloudFront /S3 per un bucket. Questi casi sono:

Il bucket è condiviso con un Account AWS utente esterno all'organizzazione, oltre a un CloudFront OAI orOAC.
La policy del bucket specifica un ID utente canonico, anziché Amazon Resource Name (ARN), di un. CloudFront OAI

In questo modo si ottiene una maggiore severità della policy per il bucket.

Tipi di dati sensibili rilevati

Amazon Macie genera una rilevazione di dati sensibili quando rileva dati sensibili in un oggetto S3 che analizza per rilevare dati sensibili. Ciò include l'analisi che Macie esegue quando esegui un processo di rilevamento di dati sensibili o esegue il rilevamento automatico di dati sensibili.

Ad esempio, se crei ed esegui un processo di rilevamento di dati sensibili e Macie rileva i numeri di conto bancario in un oggetto S3, Macie genera un risultato SensitiveData un:S3Object/Financial per l'oggetto. Allo stesso modo, se Macie rileva i numeri di conto corrente bancario in un oggetto S3 che analizza durante un ciclo automatico di scoperta di dati sensibili, Macie genera un risultato un:S3Object/Financial per l'oggetto. SensitiveData

Se Macie rileva dati sensibili nello stesso oggetto S3 durante un'esecuzione di lavoro successiva o un ciclo di rilevamento automatico dei dati sensibili, Macie genera una nuova ricerca di dati sensibili per l'oggetto. A differenza dei risultati delle policy, tutti i risultati relativi ai dati sensibili vengono trattati come nuovi (unici). Macie archivia i dati sensibili rilevati per 90 giorni.

Macie può generare i seguenti tipi di rilevazioni di dati sensibili per un oggetto S3.

SensitiveData:S3Object/Credentials: L'oggetto contiene dati sensibili relativi alle credenziali, come chiavi di accesso AWS segrete o chiavi private.
SensitiveData:S3Object/CustomIdentifier: L'oggetto contiene testo che corrisponde ai criteri di rilevamento di uno o più identificatori di dati personalizzati. L'oggetto potrebbe contenere più di un tipo di dati sensibili.
SensitiveData:S3Object/Financial: L'oggetto contiene informazioni finanziarie riservate, come numeri di conti bancari o numeri di carte di credito.
SensitiveData:S3Object/Multiple: L'oggetto contiene più di una categoria di dati sensibili, ovvero qualsiasi combinazione di dati relativi a credenziali, informazioni finanziarie, informazioni personali o testo che corrisponda ai criteri di rilevamento di uno o più identificatori di dati personalizzati.
SensitiveData:S3Object/Personal: L'oggetto contiene informazioni personali sensibili, informazioni di identificazione personale (PII) come numeri di passaporto o numeri di identificazione della patente di guida, informazioni sanitarie personali (PHI) come numeri di assicurazione sanitaria o numeri di identificazione medica o una combinazione di e. PII PHI

Per informazioni sui tipi di dati sensibili che Macie è in grado di rilevare utilizzando criteri e tecniche integrati, consulta. Utilizzo di identificatori di dati gestiti Per informazioni sui tipi di oggetti S3 che Macie può analizzare, vedi. Classi e formati di archiviazione supportati

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Revisione e analisi dei risultati

Punteggio di gravità dei risultati