翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
を使用した Macie の検出結果の評価 AWS Security Hub
AWS Security Hub は、 AWS 環境全体のセキュリティ体制を包括的に把握し、セキュリティ業界標準とベストプラクティスに照らして環境をチェックするのに役立つサービスです。これは部分的に、 AWS のサービス サポートされている複数の AWS Partner Network セキュリティソリューションからの結果を消費、集約、整理、優先順位付けすることによって行われます。Security Hub は、セキュリティの傾向を分析し、特に優先度の高いセキュリティ問題を特定するのに役立ちます。Security Hub を使用すると、複数の から結果を集約し AWS リージョン、1 つのリージョンから集約されたすべての検出結果データを評価して処理することもできます。Security Hub の詳細については、「AWS Security Hub ユーザーガイド」を参照してください。
Amazon Macie と Security Hub との統合により、Macie から Security Hub に検出結果を自動的に出力できます。Security Hub では、このような検出結果をセキュリティ体制の分析に含めることができます。さらに、Security Hub を使用して、 AWS 環境の検出結果データの大規模な集約セットの一部として、ポリシーと機密データの検出結果を評価および処理できます。つまり、組織のセキュリティ体制の広範な分析を実行しながら、Macie の検出結果を評価し、必要に応じて、その検出結果を修復できます。Security Hub は、複数のプロバイダーからの大量の調査結果に対処することの複雑さを低減します。さらに、これは Macie からの検出結果を含むすべての検出結果に標準形式を使用します。この形式、すなわち AWS Security Finding 形式を使用すると、時間のかかるデータ変換作業を実行する必要性を排除します。
トピック
Macie が検出結果を AWS Security Hubに出力する方法
では AWS Security Hub、セキュリティの問題は検出結果として追跡されます。検出結果の中には AWS のサービス、Amazon Macie など、 またはサポートされている AWS Partner Network セキュリティソリューションによって検出された問題に起因するものもあります。Security Hub には、セキュリティの問題を検出し、検出結果を生成するために使用する一連のルールもあります。
Security Hub には、これらすべてのソースからの調査結果を管理するためのツールが用意されています。検出結果のリストを確認およびフィルタリングして、個々の検出結果の詳細をレビューできます。この方法については、「AWS Security Hub ユーザーガイド」の「Reviewing finding history and finding details」を参照してください。結果の調査状況を追跡することもできます。詳細については、「AWS Security Hub ユーザーガイド」の「結果のワークフローステータスを設定する」を参照してください。
Security Hub のすべての調査結果で、AWS Security Finding 形式 (ASFF) と呼ばれる標準の JSON 形式が使用されます。ASFF には、問題のソース、影響を受けるリソース、および調査結果の現在のステータスに関する詳細が含まれます。詳細については、AWS Security Hub ユーザーガイドの AWS Security Finding 形式 (ASFF)を参照してください。
Macie が Security Hub に発行する検出結果のタイプ
Macie アカウント用に選択した発行設定に応じて、Macie は機密データの調査結果とポリシーの調査結果の両方で作成されるすべての調査結果を Security Hub に発行できます。これらの設定とそれらの変更方法については、調査結果の発行設定を設定するを参照してください。デフォルトでは、Macie は新規および更新されたポリシーの調査結果のみを Security Hub に発行します。Macie は機密データの調査結果を Security Hub に発行しません。
機密データの調査結果
Macie が 機密データの調査結果を Security Hub に発行するように設定した場合、Macie はアカウントに対して作成された各機密データの調査結果を自動的に発行し、調査結果の処理が終了した直後にそれを行います。Macie は、抑制ルールによって自動的にアーカイブされないすべての機密データの調査結果に対してこれを行います。
ユーザーが組織の Macie 管理者である場合、出力は、Macie の所属組織の機密データ検出活動をユーザーが実行および自動化する機密データ検出ジョブからの検出結果に限定されます。ジョブを作成するアカウントのみが、ジョブが生成する機密データの結果を発行できます。Macie 管理者アカウントのみが、機密データ自動検出によって所属組織用に生成された機密データ検出結果を出力できます。
Macie が機密データの調査結果をSecurity Hub に発行するときに、Security Hub のすべての調査結果に対する標準的な形式である AWS
セキュリティ調査結果形式を使用します。ASFF では、Types フィールドは調査結果のタイプを示します。このフィールドでは、Macie での調査結果タイプの分類とは若干異なる分類を使用します。
次のテーブルに、Macie が作成できる機密データの調査結果の各タイプの ASFF 調査結果タイプを示します。
| Macie 調査結果タイプ | ASFF 調査結果タイプ |
|---|---|
SensitiveData:S3Object/Credentials |
Sensitive Data Identifications/Passwords/SensitiveData:S3Object-Credentials |
SensitiveData:S3Object/CustomIdentifier |
Sensitive Data Identifications/PII/SensitiveData:S3Object-CustomIdentifier |
|
SensitiveData:S3Object/Financial |
Sensitive Data Identifications/Financial/SensitiveData:S3Object-Financial |
SensitiveData:S3Object/Multiple |
Sensitive Data Identifications/PII/SensitiveData:S3Object-Multiple |
|
SensitiveData:S3Object/Personal |
Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal |
ポリシーの調査結果
Macie が ポリシーの調査結果を Security Hub に発行するように設定した場合、Macie は作成した新しい各ポリシーの調査結果を自動的に発行し、調査結果の処理が終了した直後にそれを行います。Macie が既存のポリシーの調査結果のその後の出現を検出した場合、アカウントに指定した発行頻度を使用して、Security Hub の既存の調査結果への更新を自動的に発行します。Macie は、抑制ルールによって自動的にアーカイブされないすべてのポリシーの調査結果に対してこれらのタスクを実行します。
ユーザーが組織の Macie 管理者である場合、出力は、ユーザーのアカウントが直接所有する S3 バケットのポリシー検出結果に制限されます。Macie は、組織内のメンバーアカウントに対して作成または更新したポリシーの調査結果を発行しません。これにより、Security Hub には重複した調査結果データがないことが保証されます。
機密データの検出結果の場合と同様に、Macie は新規および更新されたポリシーの検出結果を AWS Security Hub に発行するときに Security Finding 形式 (ASFF) を使用します。ASFF では、Types フィールドは、Macie での調査結果タイプの分類とは若干異なる分類を使用します。
次のテーブルに、Macie が作成できるポリシーの調査結果の各タイプについて ASFF 調査結果タイプを示します。Macie が 2021 年 1 月 28 日以降に Security Hub でポリシーの調査結果を作成または更新した場合、その調査結果は Security Hub の ASFF Types フィールドに対して次のいずれかの値になります。
| Macie 調査結果タイプ | ASFF 調査結果タイプ |
|---|---|
|
Policy:IAMUser/S3BlockPublicAccessDisabled |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled |
Policy:IAMUser/S3BucketEncryptionDisabled |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketEncryptionDisabled |
|
Policy:IAMUser/S3BucketPublic |
Effects/Data Exposure/Policy:IAMUser-S3BucketPublic |
Policy:IAMUser/S3BucketReplicatedExternally |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketReplicatedExternally |
|
Policy:IAMUser/S3BucketSharedExternally |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedExternally |
|
Policy:IAMUser/S3BucketSharedWithCloudFront |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedWithCloudFront |
Macie が 2021 年 1 月 28 日より前にポリシーの調査結果を作成または更新した場合、その調査結果は Security Hub の ASFF Types フィールド に対して次のいずれかの値になります。
-
Policy:IAMUser/S3BlockPublicAccessDisabled
-
Policy:IAMUser/S3BucketEncryptionDisabled
-
Policy:IAMUser/S3BucketPublic
-
Policy:IAMUser/S3BucketReplicatedExternally
-
Policy:IAMUser/S3BucketSharedExternally
前のリストの値は、Macieの 調査結果タイプ(type) フィールドの値に直接マッピングされます。
メモ
Security Hub でポリシーの調査結果を確認して処理するときは、次の例外に注意してください。
-
特に AWS リージョン、Macie は 2021 年 1 月 25 日に、新規および更新された検出結果に対して ASFF 検出結果タイプの使用を開始しました。
-
Macie が で ASFF 検出結果タイプの使用を開始する前に Security Hub でポリシー検出結果を実行した場合 AWS リージョン、検出結果の ASFF
Typesフィールドの値は、前述のリストの Macie 検出結果タイプのいずれかになります。それは、前のテーブルの ASFF 調査結果タイプのいずれかにはなりません。これは、 AWS Security Hub コンソールまたは AWS Security Hub API の BatchUpdateFindingsオペレーションを使用して実行したポリシーの検出結果に当てはまります。
Security Hub に検出結果を発行する際のレイテンシー
Amazon Macie は、新しいポリシーまたは機密データの検出結果を作成するとき、検出結果の処理が終了した直後に AWS Security Hub にその調査結果を発行します。
Macie は、既存のポリシー結果の後続の出現を検出した場合、既存の Security Hub の検出結果の更新を発行します。更新のタイミングは、Macie アカウントで選択した発行頻度によって異なります。デフォルトでは、Macie は 15 分ごとに更新を発行します。アカウントの設定を変更する方法など、詳細については、調査結果の発行設定を設定するを参照してください。
Security Hub が使用できないときに発行を再試行する
AWS Security Hub が利用できない場合、Amazon Macie は Security Hub によって受信されていない検出結果のキューを作成します。システムが復元されると、Macie は結果が Security Hub によって受信されるまで、発行を再試行します。
Security Hub の既存の調査結果を更新する
Amazon Macie がポリシー検出結果を に発行すると AWS Security Hub、Macie は検出結果を更新して、検出結果または検出結果アクティビティの追加の発生を反映します。Macie は、ポリシーの調査結果についてのみこれを行います。機密データの検出結果は、ポリシーの検出結果とは異なり、すべて新規 (一意) として処理されます。
Macie がポリシー結果への更新を発行するときに、Macie は、調査結果の 更新時刻UpdatedAtのフィールド値を更新します。この値を使用して、検出結果を生成した潜在的なポリシー違反または問題のその後の出現を Macie が最後に検出したタイミングを判断できます。
Macie は、フィールドの既存の値が ASFF 調査結果タイプではない場合、調査結果の タイプTypesフィールドの値も更新する場合があります。これは、Security Hub での調査結果に基づいて処理したかどうかによって異なります。調査結果を処理していない場合、Macie はフィールドの値を適切な ASFF 調査結果タイプに変更します。 AWS Security Hub コンソールまたは AWS Security Hub API の BatchUpdateFindingsオペレーションを使用して検出結果に基づいて行動した場合、Macie はフィールドの値を変更しません。
AWS Security Hubでの Macie の検出結果の例
Amazon Macie が検出結果を に発行すると AWS Security Hub、AWS Security Finding 形式 (ASFF) が使用されます。これは、Security Hub のすべての調査結果に対する標準形式です。次の例では、サンプルデータを使用して、Macie がこの形式で Security Hub に発行する調査結果データの構造と性質を示します。
Security Hub での機密データの調査の例
以下に、Macie が ASFF を使用してSecurity Hub に発行した機密データの調査結果の例を示します。
{
"SchemaVersion": "2018-10-08",
"Id": "5be50fce24526e670df77bc00example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types":[
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
],
"CreatedAt": "2022-05-11T10:23:49.667Z",
"UpdatedAt": "2022-05-11T10:23:49.667Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "The S3 object contains personal information.",
"Description": "The object contains personal information such as first or last names, addresses, or identification numbers.",
"ProductFields": {
"JobArn": "arn:aws:macie2:us-east-1:111122223333:classification-job/698e99c283a255bb2c992feceexample",
"S3Object.Path": "amzn-s3-demo-bucket/2022 Sourcing.tsv",
"S3Object.Extension": "tsv",
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"OriginType": "SENSITIVE_DATA_DISCOVERY_JOB",
"S3Object.PublicAccess": "false",
"S3Object.Size": "14",
"S3Object.StorageClass": "STANDARD",
"S3Bucket.allowsUnencryptedObjectUploads": "TRUE",
"JobId": "698e99c283a255bb2c992feceexample",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/5be50fce24526e670df77bc00example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-12-30T18:16:25.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"BlockPublicPolicy": true,
"IgnorePublicAcls": true,
"RestrictPublicBuckets": true
}
}
}
},
{
"Type": "AwsS3Object",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket/2022 Sourcing.tsv",
"Partition": "aws",
"Region": "us-east-1",
"DataClassification": {
"DetailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/111122223333/Macie/us-east-1/
698e99c283a255bb2c992feceexample/111122223333/32b8485d-4f3a-3aa1-be33-aa3f0example.jsonl.gz",
"Result":{
"MimeType": "text/tsv",
"SizeClassified": 14,
"AdditionalOccurrences": false,
"Status": {
"Code": "COMPLETE"
},
"SensitiveData": [
{
"Category": "PERSONAL_INFORMATION",
"Detections": [
{
"Count": 1,
"Type": "USA_SOCIAL_SECURITY_NUMBER",
"Occurrences": {
"Cells": [
{
"Column": 10,
"Row": 1,
"ColumnName": "Other"
}
]
}
}
],
"TotalCount": 1
}
],
"CustomDataIdentifiers": {
"Detections": [
],
"TotalCount": 0
}
}
},
"Details": {
"AwsS3Object": {
"LastModified": "2022-04-22T18:16:46.000Z",
"ETag": "ebe1ca03ee8d006d457444445example",
"VersionId": "SlBC72z5hArgexOJifxw_IN57example",
"ServerSideEncryption": "aws:kms",
"SSEKMSKeyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
]
},
"Sample": false,
"ProcessedAt": "2022-05-11T10:23:49.667Z"
}Security Hub でのポリシーの調査結果の例
以下に、Macie が ASFF で Security Hub に発行した新しいポリシーの調査結果の例を示します。
{
"SchemaVersion": "2018-10-08",
"Id": "36ca8ba0-caf1-4fee-875c-37760example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
],
"CreatedAt": "2022-04-24T09:27:43.313Z",
"UpdatedAt": "2022-04-24T09:27:43.313Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "Block Public Access settings are disabled for the S3 bucket",
"Description": "All Amazon S3 block public access settings are disabled for the Amazon S3 bucket. Access to the bucket is
controlled only by access control lists (ACLs) or bucket policies.",
"ProductFields": {
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"S3Bucket.allowsUnencryptedObjectUploads": "FALSE",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/36ca8ba0-caf1-4fee-875c-37760example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Tags": {
"Team": "Recruiting",
"Division": "HR"
},
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-11-25T18:24:38.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": false,
"BlockPublicPolicy": false,
"IgnorePublicAcls": false,
"RestrictPublicBuckets": false
}
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
]
},
"Sample": false
}Macie と の統合 AWS Security Hub
Amazon Macie を と統合するには AWS Security Hub、 の Security Hub を有効にします AWS アカウント。詳細については、「AWS Security Hub ユーザーガイド」の「Security Hub を有効にする」を参照してください。
Macie と Security Hub の両方を有効化すると、統合は自動的に有効化されます。デフォルトでは、Macie は自動的に、新規および更新されたポリシーの検出結果を Security Hub に発行します。統合を設定するために、追加のステップを実行する必要はありません。統合が有効なときに既存のポリシー検出結果がある場合、Macie はその検出結果を Security Hub に発行しません。代わりに、Macie は統合が有効になった後に作成または更新されたポリシー検出結果のみを発行します。
必要に応じて、Macie が Security Hub でポリシーの調査結果に対する更新を発行する頻度を選択して、設定をカスタマイズできます。また、機密データの検出結果を Security Hub に発行することも選択できます。この方法の詳細は、「調査結果の発行設定を設定する」を参照してください。
Macie の検出結果の AWS Security Hubへの発行停止
Amazon Macie の検出結果の発行を停止するには AWS Security Hub、Macie アカウントの発行設定を変更します。この方法の詳細は、「調査結果の発行先を選択する」を参照してください。これは、Security Hub から行うこともできます。方法については、「AWS Security Hub ユーザーガイド」の「統合先からの結果のフローの無効化」を参照してください。
