Visualizzazione del pannello di controllo Comprendere i componenti del dashboard Comprensione delle statistiche sulla sicurezza dei dati sulla dashboard

Valutazione del tuo livello di sicurezza in Amazon S3 con Macie

Per valutare lo stato di sicurezza generale dei dati di Amazon Simple Storage Service (Amazon S3) e determinare dove intervenire, puoi utilizzare la dashboard di riepilogo sulla console Amazon Macie.

La dashboard di riepilogo fornisce un'istantanea delle statistiche aggregate per i dati di Amazon S3 nella versione corrente. Regione AWS Le statistiche includono dati relativi a parametri di sicurezza chiave, come il numero di bucket generici accessibili pubblicamente o condivisi con altri. Account AWS La dashboard mostra anche gruppi di dati aggregati relativi ai risultati dell'account, ad esempio i tipi di risultati che hanno avuto il maggior numero di ricorrenze nei sette giorni precedenti. Se sei l'amministratore Macie di un'organizzazione, la dashboard fornisce statistiche e dati aggregati per tutti gli account dell'organizzazione. Puoi facoltativamente filtrare i dati per account.

Per eseguire un'analisi più approfondita, puoi approfondire ed esaminare i dati di supporto per i singoli elementi della dashboard. Puoi anche rivedere e analizzare l'inventario dei bucket S3 utilizzando la console Amazon Macie oppure interrogare e analizzare i dati di inventario in modo programmatico utilizzando il funzionamento DescribeBucketsdi Amazon Macie. API

Argomenti

Visualizzazione del pannello di controllo
Comprendere i componenti del dashboard
Comprensione delle statistiche sulla sicurezza dei dati sulla dashboard

Visualizzazione del pannello di riepilogo

Sulla console Amazon Macie, la dashboard di riepilogo fornisce un'istantanea delle statistiche aggregate e dei dati dei risultati per i dati di Amazon S3 nella versione corrente. Regione AWS Se preferisci interrogare le statistiche a livello di codice, puoi utilizzare il GetBucketStatisticsfunzionamento di Amazon Macie. API

Per visualizzare la dashboard di riepilogo

Apri la console Amazon Macie all'indirizzo. https://console.aws.amazon.com/macie/
Nel riquadro di navigazione, scegli Riepilogo. Macie visualizza la dashboard di riepilogo.
Per determinare quando Macie ha recuperato l'ultima volta i metadati del bucket o dell'oggetto da Amazon S3 per il tuo account, consulta il campo Ultimo aggiornamento nella parte superiore della dashboard. Per ulteriori informazioni, consulta Aggiornamenti dei dati.
Per approfondire ed esaminare i dati di supporto per un elemento sulla dashboard, scegli l'elemento.

Se sei l'amministratore Macie di un'organizzazione, la dashboard mostra statistiche e dati aggregati per il tuo account e gli account dei membri dell'organizzazione. Per filtrare la dashboard e visualizzare i dati solo per un determinato account, inserisci l'ID dell'account nella casella Account sopra la dashboard.

Comprensione dei componenti della dashboard di riepilogo

Nella dashboard di riepilogo, le statistiche e i dati sono organizzati in diverse sezioni. Nella parte superiore della dashboard, troverai statistiche aggregate che indicano la quantità di dati archiviata in Amazon S3 e la quantità di dati che Amazon Macie può analizzare per rilevare dati sensibili. Puoi anche fare riferimento al campo Ultimo aggiornamento per determinare quando Macie ha recuperato l'ultima volta i metadati del bucket o dell'oggetto da Amazon S3 per il tuo account. Le sezioni aggiuntive forniscono statistiche e dati sui risultati recenti che possono aiutarti a valutare la sicurezza, la privacy e la sensibilità dei tuoi dati Amazon S3 nella versione attuale. Regione AWS

Le statistiche e i dati sono organizzati nelle seguenti sezioni:

Mentre esamini ogni sezione, opzionalmente scegli un elemento per approfondire ed esaminare i dati di supporto. Tieni inoltre presente che la dashboard non include i dati per i bucket di directory S3, ma solo i bucket per uso generico. Macie non monitora né analizza i bucket di directory.

Archiviazione e individuazione di dati sensibili

Nella parte superiore della dashboard, le statistiche indicano la quantità di dati archiviata in Amazon S3 e la quantità di dati che Macie può analizzare per rilevare dati sensibili. L'immagine seguente mostra un esempio di queste statistiche per un'organizzazione con sette account.

La sezione Archiviazione e individuazione dei dati sensibili del pannello di controllo. Ogni campo contiene dati di esempio.

Le statistiche individuali in questa sezione sono:

Account totali: questo campo viene visualizzato se sei l'amministratore Macie di un'organizzazione o hai un account Macie autonomo. Indica il numero totale di Account AWS bucket personali presenti nel tuo inventario di bucket. Se sei un amministratore Macie, questo è il numero totale di account Macie che gestisci per la tua organizzazione. Se hai un account Macie indipendente, questo valore è 1.

Bucket S3 totali: questo campo viene visualizzato se disponi di un account membro in un'organizzazione. Indica il numero totale di bucket generici presenti nel tuo inventario, inclusi i bucket che non contengono oggetti.
Archiviazione: queste statistiche forniscono informazioni sulla dimensione di archiviazione degli oggetti nel tuo inventario bucket:
- Classificabile: la dimensione totale di archiviazione di tutti gli oggetti che Macie può analizzare nei bucket.
- Totale: la dimensione totale di archiviazione di tutti gli oggetti nei bucket, inclusi gli oggetti che Macie non può analizzare.
Se uno qualsiasi degli oggetti è un file compresso, questi valori non riflettono la dimensione effettiva di quei file dopo la decompressione. Se il controllo delle versioni è abilitato per uno qualsiasi dei bucket, questi valori si basano sulla dimensione di archiviazione della versione più recente di ogni oggetto in quei bucket.
Oggetti: queste statistiche forniscono informazioni sul numero di oggetti presenti nell'inventario dei bucket:
- Classificabile: il numero totale di oggetti che Macie può analizzare nei bucket.
- Totale: il numero totale di oggetti nei bucket, inclusi gli oggetti che Macie non può analizzare.

Nelle statistiche precedenti, i dati e gli oggetti sono classificabili se utilizzano una classe di storage Amazon S3 supportata e hanno un'estensione del nome di file per un file o un formato di storage supportato. È possibile rilevare dati sensibili negli oggetti utilizzando Macie. Per ulteriori informazioni, consulta Classi e formati di archiviazione supportati.

Tieni presente che le statistiche di Storage and Objects non includono dati sugli oggetti nei bucket a cui Macie non può accedere. Ad esempio, oggetti nei bucket che hanno politiche restrittive sui bucket. Per identificare i bucket in cui ciò si verifica, puoi esaminare il tuo inventario dei bucket utilizzando la tabella dei bucket S3. Se l'icona di avviso ( ) appare accanto al nome di un bucket, a Macie non è consentito accedere al bucket.

Problemi di rilevamento e copertura automatizzati

Se il rilevamento automatico dei dati sensibili è abilitato, queste sezioni vengono visualizzate nella dashboard. Acquisiscono lo stato e i risultati delle attività automatizzate di rilevamento di dati sensibili che Macie ha svolto finora per i tuoi dati Amazon S3. L'immagine seguente mostra un esempio delle statistiche fornite da queste sezioni.

Statistiche automatizzate sulla scoperta dei dati sensibili sulla dashboard. Ogni statistica contiene dati di esempio.

Per informazioni dettagliate su queste statistiche, vedereRevisione delle statistiche sulla sensibilità dei dati nella dashboard di riepilogo.

Sicurezza dei dati

Questa sezione fornisce statistiche che indicano potenziali rischi per la sicurezza e la privacy dei dati di Amazon S3. L'immagine seguente mostra un esempio delle statistiche contenute in questa sezione.

Per informazioni dettagliate su queste statistiche, vedereComprensione delle statistiche sulla sicurezza dei dati nella dashboard di riepilogo.

I migliori bucket S3

Questa sezione elenca i bucket S3 che hanno generato il maggior numero di risultati di qualsiasi tipo nei sette giorni precedenti, per un massimo di cinque bucket. Indica anche il numero di risultati che Macie ha creato per ogni bucket. L'immagine seguente mostra un esempio dei dati forniti da questa sezione.

La sezione Top S3 buckets del pannello di controllo. Contiene dati di esempio per cinque bucket S3.

Per visualizzare e, facoltativamente, approfondire tutti i risultati di un bucket per i sette giorni precedenti, scegli il valore nel campo Risultati totali. Per visualizzare tutti i risultati correnti per tutti i tuoi bucket, raggruppati per bucket, scegli Visualizza tutti i risultati per bucket.

Questa sezione è vuota se Macie non ha creato alcun risultato nei sette giorni precedenti. Oppure tutti i risultati creati nei sette giorni precedenti sono stati soppressi da una regola di soppressione.

Principali tipi di ricerca

Questa sezione elenca i tipi di risultati che hanno avuto il maggior numero di ricorrenze nei sette giorni precedenti, per un massimo di cinque tipi di risultati. Indica anche il numero di risultati creati da Macie per ogni tipo. L'immagine seguente mostra un esempio dei dati forniti da questa sezione.

Per visualizzare e, facoltativamente, approfondire tutti i risultati di un particolare tipo relativi ai sette giorni precedenti, scegli il valore nel campo Risultati totali. Per visualizzare tutti i risultati correnti, raggruppati per tipo di risultato, scegli Visualizza tutti i risultati per tipo.

Risultati delle politiche

Questa sezione elenca i risultati politici che Macie ha creato o aggiornato più di recente, per un massimo di dieci risultati. L'immagine seguente mostra un esempio dei dati forniti da questa sezione.

Per visualizzare i dettagli di una particolare scoperta, scegliete la scoperta.

Questa sezione è vuota se Macie non ha creato o aggiornato alcun risultato relativo alle politiche nei sette giorni precedenti. Oppure tutti i risultati delle policy creati o aggiornati nei sette giorni precedenti sono stati eliminati da una regola di soppressione.

Comprensione delle statistiche sulla sicurezza dei dati nella dashboard di riepilogo

La sezione Sicurezza dei dati della dashboard di riepilogo fornisce statistiche che possono aiutarti a identificare e analizzare i potenziali rischi per la sicurezza e la privacy per i tuoi dati Amazon S3 nel momento corrente. Regione AWS Ad esempio, puoi utilizzare questi dati per identificare bucket generici accessibili pubblicamente o condivisi con altri. Account AWS

Se l'individuazione automatica dei dati sensibili è disattivata, le statistiche relative allo storage e all'individuazione di dati sensibili nella parte superiore di questa sezione indicano la quantità di dati archiviata in Amazon S3 e la quantità di dati che Amazon Macie può analizzare per rilevare dati sensibili. Le statistiche aggiuntive sono organizzate in tre aree, come mostrato nell'immagine seguente.

La sezione sulla sicurezza dei dati del pannello di controllo. Ogni area contiene dati di esempio.

Quando esaminate ogni area, opzionalmente scegliete un elemento per approfondire e rivedere i dati di supporto. Tieni inoltre presente che le statistiche non includono i dati per i bucket di directory S3, ma solo i bucket per uso generico. Macie non monitora né analizza i bucket di directory.

Le statistiche individuali in ogni area sono le seguenti.

Accesso pubblico

Queste statistiche indicano quanti bucket S3 sono o non sono accessibili al pubblico:

Accessibile pubblicamente: il numero e la percentuale di bucket che consentono al pubblico in generale di avere accesso in lettura o scrittura al bucket.
Pubblicamente scrivibile in tutto il mondo: il numero e la percentuale di bucket che consentono al pubblico di avere accesso in scrittura al bucket.
Leggibile pubblicamente in tutto il mondo: il numero e la percentuale di bucket che consentono al pubblico di avere accesso in lettura al bucket.
Non accessibile pubblicamente: il numero e la percentuale di bucket che non consentono al pubblico di accedere in lettura o scrittura al bucket.

Per calcolare ogni percentuale, Macie divide il numero di bucket applicabili per il numero totale di bucket presenti nell'inventario dei bucket.

Per determinare i valori in quest'area, Macie analizza una combinazione di impostazioni a livello di account e bucket per ogni bucket: le impostazioni di blocco dell'accesso pubblico per l'account, le impostazioni di blocco dell'accesso pubblico per il bucket, la policy del bucket per il bucket e l'access control list (ACL) per il bucket. Per informazioni su queste impostazioni, consulta Controllo degli accessi e Blocco dell'accesso pubblico allo storage Amazon S3 nella Guida per l'utente di Amazon Simple Storage Service.

In alcuni casi, l'area di accesso pubblico mostra anche i valori per Unknown. Se compaiono questi valori, Macie non è stata in grado di valutare le impostazioni di accesso pubblico per il numero e la percentuale di bucket specificati. Ad esempio, un problema temporaneo o le impostazioni delle autorizzazioni dei bucket hanno impedito a Macie di recuperare i dati richiesti. Oppure Macie non è stato in grado di determinare con precisione se una o più dichiarazioni politiche consentano a un'entità esterna di accedere ai bucket. Questo può valere anche per i bucket che superano la quota per il monitoraggio del controllo preventivo. Macie valuta e monitora la sicurezza e la privacy di non più di 10.000 bucket per account, i 10.000 bucket che sono stati creati o modificati più di recente.

Encryption (Crittografia)

Queste statistiche indicano quanti bucket S3 sono configurati per applicare determinati tipi di crittografia lato server agli oggetti che vengono aggiunti ai bucket:

Crittografa per impostazione predefinita — SSE -S3: il numero e la percentuale di bucket le cui impostazioni di crittografia predefinite sono configurate per crittografare nuovi oggetti con una chiave gestita di Amazon S3. Per questi bucket, i nuovi oggetti vengono crittografati automaticamente utilizzando la crittografia -S3. SSE
Crittografa per impostazione predefinita — DSSE -KMS/SSE- KMS — Il numero e la percentuale di bucket le cui impostazioni di crittografia predefinite sono configurate per crittografare nuovi oggetti con una chiave o una AWS KMS key Chiave gestita da AWS chiave gestita dal cliente. Per questi bucket, i nuovi oggetti vengono crittografati automaticamente utilizzando DSSE - o - KMS la crittografia. SSE KMS

Per calcolare ogni percentuale, Macie divide il numero di bucket applicabili per il numero totale di bucket presenti nell'inventario dei bucket.

Per determinare i valori in quest'area, Macie analizza le impostazioni di crittografia predefinite per ogni bucket. A partire dal 5 gennaio 2023, Amazon S3 applica automaticamente la crittografia lato server con le chiavi gestite di Amazon S3 (SSE-S3) come livello base di crittografia per gli oggetti che vengono aggiunti ai bucket. Facoltativamente, puoi configurare le impostazioni di crittografia predefinite di un bucket per utilizzare invece la crittografia lato server con una chiave (-) o la crittografia lato server a doppio livello con una AWS KMS chiave (SSE-KMS). AWS KMS DSSE KMS Per informazioni sulle impostazioni e le opzioni di crittografia predefinite, consulta Impostazione del comportamento di crittografia lato server predefinito per i bucket S3 nella Amazon Simple Storage Service User Guide.

In alcuni casi, l'area Crittografia mostra anche i valori per Unknown. Se compaiono questi valori, Macie non è stata in grado di valutare le impostazioni di crittografia predefinite per il numero e la percentuale di bucket specificati. Ad esempio, un problema temporaneo o le impostazioni delle autorizzazioni dei bucket hanno impedito a Macie di recuperare i dati richiesti. Oppure i bucket superano la quota per il monitoraggio del controllo preventivo. Macie valuta e monitora la sicurezza e la privacy di non più di 10.000 bucket per account, i 10.000 bucket che sono stati creati o modificati più di recente.

Condivisione

Queste statistiche indicano quanti bucket S3 sono o non sono condivisi con altre identità di accesso di CloudFront origine di Account AWS Amazon (OAIs) o controlli di accesso di CloudFront origine (): OACs

Condivisi all'esterno: il numero e la percentuale di bucket condivisi con uno o più dei seguenti elementi o una combinazione dei seguenti elementi: a CloudFront OAI, a o un CloudFront OAC account che non fa parte della stessa organizzazione.
Condiviso all'interno: il numero e la percentuale di bucket condivisi con uno o più account della stessa organizzazione. Questi bucket non sono condivisi con CloudFront OAIs o. OACs
Non condivisi: il numero e la percentuale di bucket che non sono condivisi con altri account CloudFront OAIs, o. CloudFront OACs

Per calcolare ogni percentuale, Macie divide il numero di bucket applicabili per il numero totale di bucket presenti nell'inventario dei bucket.

Per determinare se i bucket sono condivisi con altri Account AWS, Macie analizza la policy relativa ai bucket e per ogni bucket. ACL Inoltre, un'organizzazione è definita come un insieme di account Macie gestiti centralmente come gruppo di account correlati tramite o su invito di Macie. AWS Organizations Per informazioni sulle opzioni di Amazon S3 per la condivisione dei bucket, consulta il controllo degli accessi nella Guida per l'utente di Amazon Simple Storage Service.

Nota

In alcuni casi, Macie potrebbe segnalare erroneamente che un bucket è condiviso con un utente Account AWS che non fa parte della stessa organizzazione. Ciò può verificarsi se Macie non è in grado di valutare appieno la relazione tra l'Principalelemento della policy di un bucket e determinate chiavi di contesto della condizione AWS globale o le chiavi di condizione di Amazon S3 nell'elemento Condition della policy. Le chiavi di condizione applicabili sono: aws:PrincipalAccountaws:PrincipalArn,aws:PrincipalOrgID,aws:PrincipalOrgPaths,aws:PrincipalTag,aws:PrincipalType,aws:SourceAccount,aws:SourceArn,aws:SourceIp,aws:SourceOrgID,aws:SourceOrgPaths, aws:SourceVpc aws:SourceVpceaws:userid, s3:DataAccessPointAccount e. s3:DataAccessPointArn

Per determinare se questo è il caso dei singoli bucket, scegli la statistica esterna condivisa nella dashboard. Nella tabella che appare, annota il nome di ogni bucket. Quindi usa Amazon S3 per rivedere la politica di ogni bucket e determinare se le impostazioni di accesso condiviso sono intenzionali e sicure.

Per determinare se i bucket sono condivisi con CloudFront OAIs oOACs, Macie analizza la policy relativa ai bucket per ogni bucket. A CloudFront OAI or OAC consente agli utenti di accedere agli oggetti di un bucket tramite una o più distribuzioni specificate. CloudFront Per informazioni su CloudFront OAIs eOACs, consulta la sezione Restrizione dell'accesso a un'origine Amazon S3 nella CloudFront Amazon Developer Guide.

In alcuni casi, l'area Condivisione mostra anche i valori per Unknown. Se compaiono questi valori, Macie non è stata in grado di determinare se il numero e la percentuale di bucket specificati sono condivisi con altri account CloudFront OAIs, oppure. CloudFront OACs Ad esempio, un problema temporaneo o le impostazioni delle autorizzazioni dei bucket hanno impedito a Macie di recuperare i dati richiesti. Oppure Macie non è stato in grado di valutare appieno le politiche dei bucket o. ACLs Questo può valere anche per i bucket che superano la quota per il monitoraggio del controllo preventivo. Macie valuta e monitora la sicurezza e la privacy di non più di 10.000 bucket per account, i 10.000 bucket che sono stati creati o modificati più di recente.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

In che modo Macie monitora la sicurezza dei dati di Amazon S3

Analisi del livello di sicurezza di Amazon S3