Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Valutazione dei risultati di Macie con AWS Security Hub
AWS Security Hub è un servizio che offre una visione completa del livello di sicurezza in tutto AWS l'ambiente e consente di verificare la conformità dell'ambiente rispetto agli standard e alle best practice del settore della sicurezza. Lo fa in parte consumando, aggregando, organizzando e dando priorità ai risultati provenienti da più soluzioni di sicurezza Servizi AWS supportate. AWS Partner Network Security Hub ti aiuta ad analizzare le tendenze della sicurezza e a identificare i problemi di sicurezza con la massima priorità. Con Security Hub, puoi anche aggregare i risultati di più Regioni AWS risultati e quindi valutare ed elaborare tutti i dati aggregati dei risultati provenienti da una singola regione. Per ulteriori informazioni su Security Hub, consulta la Guida AWS Security Hub per l'utente.
Amazon Macie si integra con Security Hub, il che significa che puoi pubblicare automaticamente i risultati di Macie su Security Hub. Security Hub può quindi includere tali risultati nella sua analisi della posizione di sicurezza. Inoltre, puoi utilizzare Security Hub per valutare ed elaborare i risultati delle policy e dei dati sensibili come parte di un set più ampio e aggregato di dati sui risultati per il tuo AWS ambiente. In altre parole, puoi valutare i risultati di Macie eseguendo analisi più ampie del livello di sicurezza della tua organizzazione e, se necessario, correggere i risultati. Security Hub riduce la complessità legata all'elaborazione di grandi volumi di risultati provenienti da più provider. Inoltre, utilizza un formato standard per tutti i risultati, compresi i risultati di Macie. L'uso di questo formato, il AWS Security Finding Format (ASFF), elimina la necessità di eseguire operazioni di conversione dei dati che richiedono molto tempo.
Argomenti
In che modo Macie pubblica i risultati su AWS Security Hub
Nel AWS Security Hub, i problemi di sicurezza vengono registrati come risultati. Alcuni risultati derivano da problemi rilevati da Servizi AWS, come Amazon Macie, o da soluzioni di AWS Partner Network sicurezza supportate. La Centrale di sicurezza dispone inoltre di una serie di regole che utilizza per rilevare problemi di sicurezza e generare esiti.
Security Hub fornisce strumenti per gestire i risultati provenienti da tutte queste fonti. È possibile esaminare e filtrare gli elenchi dei risultati e rivedere i dettagli dei singoli risultati. Per scoprire come, consulta la cronologia dei risultati e la ricerca dei dettagli nella Guida AWS Security Hub per l'utente. È inoltre possibile monitorare lo stato di un'indagine in un esito. Per sapere come, consulta Impostazione dello stato dei risultati del flusso di lavoro nella Guida AWS Security Hub per l'utente.
Tutti i risultati in Security Hub utilizzano un formato JSON standard denominato AWS Security Finding Format (ASFF). L'ASFF include dettagli sull'origine di un problema, sulle risorse interessate e sullo stato attuale di un risultato. Per ulteriori informazioni, consulta AWS Security Finding Format (ASFF) nella Guida per l'utente di AWS Security Hub .
Tipi di risultati che Macie pubblica su Security Hub
A seconda delle impostazioni di pubblicazione scelte per il tuo account Macie, Macie può pubblicare tutti i risultati che crea su Security Hub, sia i risultati relativi ai dati sensibili che i risultati delle politiche. Per informazioni su queste impostazioni e su come modificarle, consulta. Configurazione delle impostazioni di pubblicazione per i risultati Per impostazione predefinita, Macie pubblica solo i risultati delle policy nuovi e aggiornati su Security Hub. Macie non pubblica dati sensibili su Security Hub.
Rilevamenti relativi a dati sensibili
Se configuri Macie per pubblicare i risultati relativi ai dati sensibili su Security Hub, Macie pubblica automaticamente ogni dato sensibile che crea per il tuo account e lo fa immediatamente dopo aver terminato l'elaborazione del risultato. Macie esegue questa operazione per tutti i dati sensibili rilevati che non vengono archiviati automaticamente in base a una regola di soppressione.
Se sei l'amministratore Macie di un'organizzazione, la pubblicazione è limitata ai risultati dei lavori di rilevamento di dati sensibili che hai eseguito e alle attività automatizzate di rilevamento di dati sensibili eseguite da Macie per la tua organizzazione. Solo l'account che crea un lavoro può pubblicare i risultati relativi ai dati sensibili prodotti dal lavoro. Solo l'account amministratore di Macie può pubblicare i risultati relativi ai dati sensibili che il rilevamento automatico di dati sensibili produce per la propria organizzazione.
Quando Macie pubblica i risultati dei dati sensibili su Security Hub, utilizza il AWS
Security Finding Format (ASFF), che è il formato standard per tutti i risultati in Security Hub. Nell'ASFF, il Types campo indica il tipo di risultato. Questo campo utilizza una tassonomia leggermente diversa dalla tassonomia dei tipi di risultati di Macie.
La tabella seguente elenca il tipo di ricerca ASFF per ogni tipo di ricerca di dati sensibili che Macie può creare.
| Tipo di ricerca Macie | Tipo di risultati ASFF |
|---|---|
SensitiveData:S3Object/Credentials |
Sensitive Data Identifications/Passwords/SensitiveData:S3Object-Credentials |
SensitiveData:S3Object/CustomIdentifier |
Sensitive Data Identifications/PII/SensitiveData:S3Object-CustomIdentifier |
|
SensitiveData:S3Object/Financial |
Sensitive Data Identifications/Financial/SensitiveData:S3Object-Financial |
SensitiveData:S3Object/Multiple |
Sensitive Data Identifications/PII/SensitiveData:S3Object-Multiple |
|
SensitiveData:S3Object/Personal |
Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal |
Risultati politici
Se configuri Macie per pubblicare i risultati delle politiche su Security Hub, Macie pubblica automaticamente ogni nuova ricerca di policy che crea e lo fa immediatamente dopo aver terminato l'elaborazione del risultato. Se Macie rileva una successiva occorrenza di un risultato di policy esistente, pubblica automaticamente un aggiornamento del risultato esistente in Security Hub, utilizzando una frequenza di pubblicazione specificata per il tuo account. Macie esegue queste attività per tutti i risultati delle policy che non vengono archiviati automaticamente da una regola di soppressione.
Se sei l'amministratore Macie di un'organizzazione, la pubblicazione è limitata ai risultati delle policy per i bucket S3 di proprietà diretta del tuo account. Macie non pubblica i risultati delle politiche che crea o aggiorna per gli account dei membri della tua organizzazione. Questo aiuta a garantire che non ci siano dati duplicati sui risultati in Security Hub.
Come nel caso delle rilevazioni di dati sensibili, Macie utilizza il AWS Security Finding Format (ASFF) quando pubblica i risultati delle politiche nuovi e aggiornati su Security Hub. Nell'ASFF, il Types campo utilizza una tassonomia leggermente diversa dalla tassonomia dei tipi di risultati di Macie.
La tabella seguente elenca il tipo di ricerca ASFF per ogni tipo di ricerca politica che Macie può creare. Se Macie ha creato o aggiornato un risultato di policy in Security Hub a partire dal 28 gennaio 2021, il risultato ha uno dei seguenti valori per il Types campo ASFF in Security Hub.
| Tipo di ricerca di Macie | Tipo di risultati ASFF |
|---|---|
|
Policy:IAMUser/S3BlockPublicAccessDisabled |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled |
Policy:IAMUser/S3BucketEncryptionDisabled |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketEncryptionDisabled |
|
Policy:IAMUser/S3BucketPublic |
Effects/Data Exposure/Policy:IAMUser-S3BucketPublic |
Policy:IAMUser/S3BucketReplicatedExternally |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketReplicatedExternally |
|
Policy:IAMUser/S3BucketSharedExternally |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedExternally |
|
Policy:IAMUser/S3BucketSharedWithCloudFront |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedWithCloudFront |
Se Macie ha creato o aggiornato l'ultima volta un risultato di policy prima del 28 gennaio 2021, il risultato ha uno dei seguenti valori per il Types campo ASFF in Security Hub:
-
Policy:IAMUser/S3BlockPublicAccessDisabled
-
Policy:IAMUser/S3BucketEncryptionDisabled
-
Policy:IAMUser/S3BucketPublic
-
Policy:IAMUser/S3BucketReplicatedExternally
-
Policy:IAMUser/S3BucketSharedExternally
I valori dell'elenco precedente vengono mappati direttamente ai valori del campo Finding type (type) in Macie.
Note
Mentre esamini ed elabori i risultati delle policy in Security Hub, tieni presente le seguenti eccezioni:
-
In alcuni casi Regioni AWS, Macie ha iniziato a utilizzare i tipi di ricerca ASFF per risultati nuovi e aggiornati già il 25 gennaio 2021.
-
Se hai agito in base a una policy trovata in Security Hub prima che Macie iniziasse a utilizzare i tipi di ricerca ASFF nel tuo Regione AWS, il valore per il
Typescampo ASFF del risultato sarà uno dei tipi di ricerca Macie nell'elenco precedente. Non sarà uno dei tipi di risultati ASFF nella tabella precedente. Questo vale per i risultati delle politiche in base ai quali hai agito utilizzando la AWS Security Hub console o il BatchUpdateFindings funzionamento dell' AWS Security Hub API.
Latenza per la pubblicazione dei risultati su Security Hub
Quando Amazon Macie crea una nuova policy o una ricerca di dati sensibili, pubblica il risultato AWS Security Hub immediatamente dopo aver terminato l'elaborazione del risultato.
Se Macie rileva una successiva occorrenza di un risultato di policy esistente, pubblica un aggiornamento al risultato esistente del Security Hub. La tempistica dell'aggiornamento dipende dalla frequenza di pubblicazione scelta per il tuo account Macie. Per impostazione predefinita, Macie pubblica gli aggiornamenti ogni 15 minuti. Per ulteriori informazioni, incluso come modificare le impostazioni dell'account, consulta. Configurazione delle impostazioni di pubblicazione per i risultati
Riprovare a pubblicare quando Security Hub non è disponibile
Se non AWS Security Hub è disponibile, Amazon Macie crea una coda di risultati che non sono stati ricevuti da Security Hub. Quando il sistema viene ripristinato, Macie riprova a pubblicare finché i risultati non vengono ricevuti da Security Hub.
Aggiornamento degli esiti esistenti nella Centrale di sicurezza
Dopo che Amazon Macie ha pubblicato una decisione politica su AWS Security Hub, Macie aggiorna la scoperta per riflettere eventuali altre ricorrenze dell'attività di ricerca o di ricerca. Macie lo fa solo per risultati politici. Le scoperte relative ai dati sensibili, a differenza delle risultanze relative alle politiche, vengono tutte trattate come nuove (uniche).
Quando Macie pubblica un aggiornamento di un risultato relativo a una policy, Macie aggiorna il valore del campo Updated At (UpdatedAt) del risultato. È possibile utilizzare questo valore per determinare quando Macie ha rilevato più di recente un successivo verificarsi della potenziale violazione delle politiche o del problema che ha prodotto la scoperta.
Macie potrebbe anche aggiornare il valore del campo Types (Types) di un risultato se il valore esistente per il campo non è un tipo di risultato ASFF. Dipende dal fatto che tu abbia agito in base alla scoperta in Security Hub. Se non hai agito in base alla scoperta, Macie modifica il valore del campo impostando il tipo di risultato ASFF appropriato. Se hai agito in base alla scoperta, utilizzando la AWS Security Hub console o il BatchUpdateFindings funzionamento dell' AWS Security Hub API, Macie non modifica il valore del campo.
Esempi di scoperte di Macie in AWS Security Hub
Quando Amazon Macie pubblica i risultati su AWS Security Hub, utilizza il AWS Security Finding Format (ASFF). Questo è il formato standard per tutti i risultati in Security Hub. Gli esempi seguenti utilizzano dati di esempio per dimostrare la struttura e la natura dei dati dei risultati che Macie pubblica su Security Hub in questo formato:
Esempio di rilevamento di dati sensibili in Security Hub
Ecco un esempio di una scoperta di dati sensibili che Macie ha pubblicato su Security Hub utilizzando l'ASFF.
{
"SchemaVersion": "2018-10-08",
"Id": "5be50fce24526e670df77bc00example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types":[
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
],
"CreatedAt": "2022-05-11T10:23:49.667Z",
"UpdatedAt": "2022-05-11T10:23:49.667Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "The S3 object contains personal information.",
"Description": "The object contains personal information such as first or last names, addresses, or identification numbers.",
"ProductFields": {
"JobArn": "arn:aws:macie2:us-east-1:111122223333:classification-job/698e99c283a255bb2c992feceexample",
"S3Object.Path": "amzn-s3-demo-bucket/2022 Sourcing.tsv",
"S3Object.Extension": "tsv",
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"OriginType": "SENSITIVE_DATA_DISCOVERY_JOB",
"S3Object.PublicAccess": "false",
"S3Object.Size": "14",
"S3Object.StorageClass": "STANDARD",
"S3Bucket.allowsUnencryptedObjectUploads": "TRUE",
"JobId": "698e99c283a255bb2c992feceexample",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/5be50fce24526e670df77bc00example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-12-30T18:16:25.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"BlockPublicPolicy": true,
"IgnorePublicAcls": true,
"RestrictPublicBuckets": true
}
}
}
},
{
"Type": "AwsS3Object",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket/2022 Sourcing.tsv",
"Partition": "aws",
"Region": "us-east-1",
"DataClassification": {
"DetailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/111122223333/Macie/us-east-1/
698e99c283a255bb2c992feceexample/111122223333/32b8485d-4f3a-3aa1-be33-aa3f0example.jsonl.gz",
"Result":{
"MimeType": "text/tsv",
"SizeClassified": 14,
"AdditionalOccurrences": false,
"Status": {
"Code": "COMPLETE"
},
"SensitiveData": [
{
"Category": "PERSONAL_INFORMATION",
"Detections": [
{
"Count": 1,
"Type": "USA_SOCIAL_SECURITY_NUMBER",
"Occurrences": {
"Cells": [
{
"Column": 10,
"Row": 1,
"ColumnName": "Other"
}
]
}
}
],
"TotalCount": 1
}
],
"CustomDataIdentifiers": {
"Detections": [
],
"TotalCount": 0
}
}
},
"Details": {
"AwsS3Object": {
"LastModified": "2022-04-22T18:16:46.000Z",
"ETag": "ebe1ca03ee8d006d457444445example",
"VersionId": "SlBC72z5hArgexOJifxw_IN57example",
"ServerSideEncryption": "aws:kms",
"SSEKMSKeyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
]
},
"Sample": false,
"ProcessedAt": "2022-05-11T10:23:49.667Z"
}Esempio di una policy trovata in Security Hub
Ecco un esempio di una nuova scoperta politica che Macie ha pubblicato su Security Hub nell'ASFF.
{
"SchemaVersion": "2018-10-08",
"Id": "36ca8ba0-caf1-4fee-875c-37760example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
],
"CreatedAt": "2022-04-24T09:27:43.313Z",
"UpdatedAt": "2022-04-24T09:27:43.313Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "Block Public Access settings are disabled for the S3 bucket",
"Description": "All Amazon S3 block public access settings are disabled for the Amazon S3 bucket. Access to the bucket is
controlled only by access control lists (ACLs) or bucket policies.",
"ProductFields": {
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"S3Bucket.allowsUnencryptedObjectUploads": "FALSE",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/36ca8ba0-caf1-4fee-875c-37760example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Tags": {
"Team": "Recruiting",
"Division": "HR"
},
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-11-25T18:24:38.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": false,
"BlockPublicPolicy": false,
"IgnorePublicAcls": false,
"RestrictPublicBuckets": false
}
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
]
},
"Sample": false
}Integrazione di Macie con AWS Security Hub
Per integrare Amazon Macie con AWS Security Hub, abilita Security Hub for your. Account AWS Per sapere come, consulta Enabling Security Hub nella Guida AWS Security Hub per l'utente.
Quando abiliti sia Macie che Security Hub, l'integrazione viene abilitata automaticamente. Per impostazione predefinita, Macie inizia a pubblicare automaticamente i risultati delle policy nuovi e aggiornati su Security Hub. Non è necessario eseguire ulteriori passaggi per configurare l'integrazione. Se disponi di risultati delle politiche esistenti quando l'integrazione è abilitata, Macie non li pubblica su Security Hub. Macie pubblica invece solo i risultati delle policy che crea o aggiorna dopo l'attivazione dell'integrazione.
Facoltativamente, puoi personalizzare la tua configurazione scegliendo la frequenza con cui Macie pubblica gli aggiornamenti ai risultati delle politiche in Security Hub. Puoi anche scegliere di pubblicare i risultati relativi ai dati sensibili su Security Hub. Per scoprire come, consulta Configurazione delle impostazioni di pubblicazione per i risultati.
Interruzione della pubblicazione dei risultati di Macie su AWS Security Hub
Per interrompere la pubblicazione dei risultati di Amazon Macie su AWS Security Hub, puoi modificare le impostazioni di pubblicazione per il tuo account Macie. Per scoprire come, consulta Scelta delle destinazioni di pubblicazione dei risultati. Puoi farlo anche usando Security Hub. Per sapere come, consulta Disabilitazione del flusso di risultati da un'integrazione nella Guida per l'AWS Security Hub utente.
