기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Macie의 연구 결과를 다음과 같이 평가합니다. AWS Security Hub
AWS Security Hub AWS 환경 전반의 보안 상태를 포괄적으로 파악하고 보안 업계 표준 및 모범 사례에 따라 환경을 점검할 수 있도록 지원하는 서비스입니다. 이는 부분적으로 지원되는 여러 AWS 서비스 보안 솔루션에서 얻은 결과를 사용하고, 집계하고, 구성하고, 우선 순위를 정하는 방식으로 이루어집니다. AWS Partner Network Security Hub는 보안 추세를 분석하고 우선순위가 가장 높은 보안 문제를 분석하는 데 도움이 됩니다. Security Hub를 사용하면 여러 AWS 리전조사 결과를 집계한 다음 단일 지역에서 집계된 모든 조사 결과 데이터를 평가하고 처리할 수도 있습니다. 에 대한 자세한 내용은 AWS Security Hub 사용 설명서를 참조하세요.
Amazon Macie는 Security Hub와 통합되므로 Macie의 조사 결과를 Security Hub에 자동으로 게시할 수 있습니다. 그러면 Security Hub의 보안 태세 분석에 이러한 결과가 포함됩니다. 또한 Security Hub를 사용하여 AWS 환경에 대한 대규모 집계된 조사 결과 데이터 집합의 일부로 정책 및 민감한 데이터 탐지 결과를 평가하고 처리할 수 있습니다. 즉, 조직의 보안 태세를 폭넓게 분석하면서 Macie의 조사 결과를 평가하고 필요에 따라 결과를 수정할 수 있습니다. Security Hub를 사용하면 여러 공급자로부터 많은 양의 조사 결과를 처리해야 하는 복잡성을 줄일 수 있습니다. 또한, Macie의 조사 결과를 포함하여 모든 조사 결과에 대해 표준 형식을 사용합니다. 이 형식인 AWS 보안 탐지 형식 (ASFF) 을 사용하면 시간이 많이 걸리는 데이터 변환 작업을 수행할 필요가 없습니다.
주제
Macie가 결과를 다음 기관에 게시하는 방법 AWS Security Hub
AWS Security Hub에서는 보안 문제가 발견으로 추적됩니다. 일부 결과는 Amazon Macie와 같이 지원되는 AWS Partner Network 보안 솔루션에서 감지된 문제에서 비롯됩니다. AWS 서비스 Security Hub에는 보안 문제를 감지하고 조사 결과를 생성하는 데 사용하는 규칙 집합도 있습니다.
Security Hub는 이러한 모든 출처의 조사 결과를 관리할 도구를 제공합니다. 사용자는 조사 결과 목록을 조회하고 필터링할 수 있으며 주어진 조사 결과의 세부 정보를 조회할 수도 있습니다. 방법을 알아보려면 AWS Security Hub 사용 설명서의 검색 기록 검토 및 세부 정보 찾기를 참조하십시오. 또한 주어진 결과에 대한 조사 상태를 추적할 수도 있습니다. 방법을 알아보려면 AWS Security Hub 사용 설명서에서 검색 결과의 워크플로 상태 설정을 참조하십시오.
Security Hub의 모든 검색 결과는 AWS 보안 검색 결과 JSON 형식 (ASFF) 이라는 표준 형식을 사용합니다. ASFF여기에는 문제의 원인, 영향을 받는 리소스, 검색 결과의 현재 상태에 대한 세부 정보가 포함됩니다. 자세한 내용은 AWS Security Hub 사용 설명서의 AWS 보안 검색 결과 형식 (ASFF) 을 참조하십시오.
메이시가 Security Hub에 게시한 조사 결과 유형
Macie 계정에 대해 사용자가 선택한 게시 설정에 따라 Macie는 Security Hub에 생성하는 모든 조사 결과(민감한 데이터 조사 결과 및 정책 조사 결과 모두)를 게시할 수 있습니다. 이 설정과 설정을 변경하는 자세한 내용은 조사 결과에 대한 게시 설정 구성을(를) 참조하세요. 기본적으로 Macie는 신규 및 업데이트된 정책 조사 결과만 Security Hub에 게시합니다. Macie는 Security Hub에 중요한 데이터 조사 결과를 게시하지 않습니다.
민감한 데이터 조사 결과
민감한 데이터 조사 결과를 Security Hub에 게시하도록 Macie를 구성한 경우, Macie는 사용자 계정에 대해 생성한 각 민감한 데이터 조사 결과를 자동으로 게시하고 조사 결과 처리가 완료된 후 즉시 게시합니다. Macie는 억제 규칙에 의해 자동으로 보관되지 않는 모든 민감한 데이터 검색 결과에 대해 이 작업을 수행합니다.
사용자가 조직의 Macie 관리자인 경우, 사용자가 실행한 민감한 데이터 검색 작업에서 얻은 결과와 Macie가 조직을 위해 수행한 민감한 데이터 자동 검색 작업으로 게시가 제한됩니다. 작업을 생성한 계정만 해당 작업이 생성한 민감한 데이터 결과를 게시할 수 있습니다. Macie 관리자 계정만 민감한 데이터 자동 검색을 통해 조직에 제공하는 민감한 데이터 결과를 게시할 수 있습니다.
Macie는 민감한 데이터 검색 결과를 Security Hub에 게시할 때 AWS
Security Hub의 모든 검색 결과에 대한 표준 형식인 보안 검색 결과 형식 (ASFF) 을 사용합니다. Types필드의 필드는 검색 결과 유형을 나타냅니다. ASFF 이 필드는 Macie의 검색 유형 분류법과 약간 다른 분류법을 사용합니다.
다음 표에는 Macie가 ASFF 생성할 수 있는 각 유형의 민감한 데이터 검색 결과에 대한 검색 유형이 나열되어 있습니다.
| Macie 조사 결과 유형 | ASFF검색 유형 |
|---|---|
SensitiveData:S3Object/Credentials |
Sensitive Data Identifications/Passwords/SensitiveData:S3Object-Credentials |
SensitiveData:S3Object/CustomIdentifier |
Sensitive Data Identifications/PII/SensitiveData:S3Object-CustomIdentifier |
|
SensitiveData:S3Object/Financial |
Sensitive Data Identifications/Financial/SensitiveData:S3Object-Financial |
SensitiveData:S3Object/Multiple |
Sensitive Data Identifications/PII/SensitiveData:S3Object-Multiple |
|
SensitiveData:S3Object/Personal |
Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal |
정책 조사 결과
정책 조사 결과를 Security Hub에 게시하도록 Macie를 구성한 경우 Macie는 새로 생성한 각 정책 조사 결과를 자동으로 게시하고 조사 결과 처리를 완료한 직후에 게시합니다. Macie는 기존 결과의 후속 발생을 감지하는 경우, Security Hub에서 기존 결과의 후속 발생을 감지하는 경우, 사용자가 계정에 대해 지정한 게시 빈도를 사용하여 Security Hub에 기존 결과의 업데이트를 자동으로 게시합니다. Macie는 억제 규칙에 의해 자동으로 보관되지 않는 모든 정책 결과에 대해 이러한 작업을 수행합니다.
조직의 Macie 관리자인 경우 사용자 계정이 직접 소유한 S3 버킷에 대한 정책 조사 결과만 게시할 수 있습니다. Macie는 조직의 구성원 계정을 위해 생성하거나 업데이트한 정책 결과를 게시하지 않습니다. 이렇게 하면 Security Hub에 조사 결과 데이터가 중복되지 않도록 할 수 있습니다.
민감한 데이터 발견의 경우와 마찬가지로 Macie는 AWS Security Hub에 신규 및 업데이트된 정책 결과를 게시할 때 보안 검색 결과 형식 (ASFF) 을 사용합니다. 이 ASFF Types 필드에서는 Macie의 검색 결과 유형 분류법과 약간 다른 분류법을 사용합니다.
다음 표에는 Macie가 생성할 수 있는 각 정책 ASFF 검색 결과 유형에 대한 검색 유형이 나열되어 있습니다. Macie가 2021년 1월 28일 또는 그 이후에 Security Hub에서 정책 검색 결과를 생성하거나 업데이트한 경우 검색 결과에는 Security Hub의 ASFF Types 필드에 대한 다음 값 중 하나가 포함됩니다.
| Macie 조사 결과 유형 | ASFF검색 유형 |
|---|---|
|
Policy:IAMUser/S3BlockPublicAccessDisabled |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled |
Policy:IAMUser/S3BucketEncryptionDisabled |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketEncryptionDisabled |
|
Policy:IAMUser/S3BucketPublic |
Effects/Data Exposure/Policy:IAMUser-S3BucketPublic |
Policy:IAMUser/S3BucketReplicatedExternally |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketReplicatedExternally |
|
Policy:IAMUser/S3BucketSharedExternally |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedExternally |
|
Policy:IAMUser/S3BucketSharedWithCloudFront |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedWithCloudFront |
Macie가 2021년 1월 28일 이전에 정책 결과를 생성했거나 마지막으로 업데이트한 경우 Security Hub의 해당 ASFF Types 필드에 대한 다음 값 중 하나가 검색 결과에 포함됩니다.
-
Policy:IAMUser/S3BlockPublicAccessDisabled
-
Policy:IAMUser/S3BucketEncryptionDisabled
-
Policy:IAMUser/S3BucketPublic
-
Policy:IAMUser/S3BucketReplicatedExternally
-
Policy:IAMUser/S3BucketSharedExternally
위 목록의 값은 Macie의 검색 유형(type) 필드 값에 직접 매핑됩니다.
참고
Security Hub에서 정책 조사 결과를 검토하고 처리할 때는 다음 예외 사항에 유의하세요.
-
특히 AWS 리전 Macie는 2021년 1월 25일부터 신규 및 업데이트된 결과에 ASFF 검색 유형을 사용하기 시작했습니다.
-
Macie가 사용자 AWS 리전검색 유형을 사용하기 시작하기 전에 Security Hub에서 정책 ASFF 검색 결과를 적용한 경우 검색 결과 ASFF
Types필드 값은 이전 목록에 있는 Macie 검색 유형 중 하나가 됩니다. 이는 위 표의 ASFF 검색 유형 중 하나가 아닙니다. 이는 AWS Security Hub 콘솔 또는 의 BatchUpdateFindings 조작을 사용하여 조치를 취한 정책 결과에 해당됩니다 AWS Security Hub API.
Security Hub에 결과를 게시하는 데 걸리는 지연 시간
Amazon Macie는 새 정책 또는 민감한 데이터 검색 결과를 생성하면 검색 결과 처리가 끝난 AWS Security Hub 직후에 결과를 게시합니다.
Macie는 기존 정책 검색 결과가 이후에 발생하는 것을 감지하면 기존 Security Hub 검색 결과에 업데이트를 게시합니다. 업데이트 시기는 Macie 계정에 대해 선택한 게시 빈도에 따라 달라집니다. 기본적으로 Macie는 15분마다 업데이트를 게시합니다. 계정 설정을 변경하는 방법 등 자세한 내용은 조사 결과에 대한 게시 설정 구성을(를) 참조하세요.
Security Hub를 사용할 수 없을 때 게시 재시도
사용할 수 AWS Security Hub 없는 경우 Amazon Macie는 Security Hub에서 수신하지 않은 검색 결과 대기열을 생성합니다. 시스템이 복원되면 Macie는 Security Hub에서 조사 결과를 받을 때까지 게시를 다시 시도합니다.
Security Hub에서 기존 조사 결과 업데이트
Amazon Macie가 정책 결과를 게시한 후 Macie는 검색 결과 또는 검색 결과가 추가로 발생하는 경우 이를 반영하여 결과를 업데이트합니다. AWS Security Hub Macie는 정책 조사 결과에 대해서만 이 작업을 수행합니다. 민감한 데이터 조사 결과는 정책 조사 결과와는 달리 모두 새로운(고유한) 것으로 취급됩니다.
Macie가 정책 조사 결과에 대한 업데이트를 게시하면 Macie는 조사 결과의 업데이트 날짜(UpdatedAt) 필드 값을 업데이트합니다. 이 값을 사용하여 Macie가 결과를 초래한 잠재적 정책 위반 또는 문제의 후속 발생을 가장 최근에 발견한 시기를 확인할 수 있습니다.
Macie는 필드의 기존 값이 찾기 유형이 아닌 경우 검색 결과의 Types (Types) 필드 값을 업데이트할 수도 있습니다. ASFF 이는 Security Hub에서 그 결과를 바탕으로 조치를 취했는지 여부에 따라 달라집니다. 검색 결과를 토대로 조치를 취하지 않은 경우 Macie는 필드 값을 적절한 ASFF 검색 유형으로 변경합니다. AWS Security Hub 콘솔이나 의 BatchUpdateFindings 조작을 사용하여 검색 결과에 따라 조치를 취한 경우 Macie는 필드 값을 변경하지 않습니다. AWS Security Hub API
Macie가 발견한 사항의 예 AWS Security Hub
Amazon Macie는 조사 결과를 에 게시할 AWS Security Hub때 AWS 보안 검색 결과 형식 () 을 사용합니다. ASFF Security Hub의 모든 결과의 표준 형식입니다. 다음 예제는 샘플 데이터를 사용하여 Macie가 Security Hub에 다음과 같은 형식으로 게시하는 결과 데이터의 구조와 특성을 보여줍니다.
Security Hub의 민감한 데이터 조사 결과의 예
다음은 Macie가 를 사용하여 Security Hub에 게시한 민감한 데이터 조사 결과의 ASFF 예입니다.
{
"SchemaVersion": "2018-10-08",
"Id": "5be50fce24526e670df77bc00example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types":[
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
],
"CreatedAt": "2022-05-11T10:23:49.667Z",
"UpdatedAt": "2022-05-11T10:23:49.667Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "The S3 object contains personal information.",
"Description": "The object contains personal information such as first or last names, addresses, or identification numbers.",
"ProductFields": {
"JobArn": "arn:aws:macie2:us-east-1:111122223333:classification-job/698e99c283a255bb2c992feceexample",
"S3Object.Path": "amzn-s3-demo-bucket/2022 Sourcing.tsv",
"S3Object.Extension": "tsv",
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"OriginType": "SENSITIVE_DATA_DISCOVERY_JOB",
"S3Object.PublicAccess": "false",
"S3Object.Size": "14",
"S3Object.StorageClass": "STANDARD",
"S3Bucket.allowsUnencryptedObjectUploads": "TRUE",
"JobId": "698e99c283a255bb2c992feceexample",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/5be50fce24526e670df77bc00example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-12-30T18:16:25.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"BlockPublicPolicy": true,
"IgnorePublicAcls": true,
"RestrictPublicBuckets": true
}
}
}
},
{
"Type": "AwsS3Object",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket/2022 Sourcing.tsv",
"Partition": "aws",
"Region": "us-east-1",
"DataClassification": {
"DetailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/111122223333/Macie/us-east-1/
698e99c283a255bb2c992feceexample/111122223333/32b8485d-4f3a-3aa1-be33-aa3f0example.jsonl.gz",
"Result":{
"MimeType": "text/tsv",
"SizeClassified": 14,
"AdditionalOccurrences": false,
"Status": {
"Code": "COMPLETE"
},
"SensitiveData": [
{
"Category": "PERSONAL_INFORMATION",
"Detections": [
{
"Count": 1,
"Type": "USA_SOCIAL_SECURITY_NUMBER",
"Occurrences": {
"Cells": [
{
"Column": 10,
"Row": 1,
"ColumnName": "Other"
}
]
}
}
],
"TotalCount": 1
}
],
"CustomDataIdentifiers": {
"Detections": [
],
"TotalCount": 0
}
}
},
"Details": {
"AwsS3Object": {
"LastModified": "2022-04-22T18:16:46.000Z",
"ETag": "ebe1ca03ee8d006d457444445example",
"VersionId": "SlBC72z5hArgexOJifxw_IN57example",
"ServerSideEncryption": "aws:kms",
"SSEKMSKeyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
]
},
"Sample": false,
"ProcessedAt": "2022-05-11T10:23:49.667Z"
}Security Hub에서의 정책 조사 결과 예시
다음은 Macie가 Security Hub에 게시한 새로운 정책 결과의 ASFF 예입니다.
{
"SchemaVersion": "2018-10-08",
"Id": "36ca8ba0-caf1-4fee-875c-37760example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
],
"CreatedAt": "2022-04-24T09:27:43.313Z",
"UpdatedAt": "2022-04-24T09:27:43.313Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "Block Public Access settings are disabled for the S3 bucket",
"Description": "All Amazon S3 block public access settings are disabled for the Amazon S3 bucket. Access to the bucket is
controlled only by access control lists (ACLs) or bucket policies.",
"ProductFields": {
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"S3Bucket.allowsUnencryptedObjectUploads": "FALSE",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/36ca8ba0-caf1-4fee-875c-37760example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Tags": {
"Team": "Recruiting",
"Division": "HR"
},
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-11-25T18:24:38.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": false,
"BlockPublicPolicy": false,
"IgnorePublicAcls": false,
"RestrictPublicBuckets": false
}
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
]
},
"Sample": false
}Macie를 다음과 통합하기 AWS Security Hub
Amazon Macie와 AWS Security Hub통합하려면 사용자 전용 Security Hub를 활성화하십시오. AWS 계정방법을 알아보려면 사용 AWS Security Hub 설명서의 Security Hub 활성화를 참조하십시오.
Macie와 Security Hub를 둘 다 활성화하면, 통합이 자동으로 활성화됩니다. 기본적으로 Macie는 신규 및 업데이트된 정책 결과를 Security Hub에 자동으로 게시하기 시작합니다. 통합을 구성하기 위해 추가 단계를 수행할 필요는 없습니다. 통합이 활성화되었을 때 기존 정책 결과가 있는 경우 Macie는 이를 Security Hub에 게시하지 않습니다. 대신 Macie는 통합이 활성화된 후 생성하거나 업데이트한 정책 결과만 게시합니다.
Macie가 Security Hub에서 정책 조사 결과에 대한 업데이트를 게시하는 빈도를 선택하여 구성을 사용자 정의할 수도 있습니다. 민감한 데이터 결과를 Security Hub에 게시하도록 선택할 수도 있습니다. 자세한 방법은 조사 결과에 대한 게시 설정 구성(을)를 참조하세요.
Macie 조사 결과를 에 게시하는 것을 중단합니다. AWS Security Hub
Amazon Macie 조사 결과를 게시하는 것을 중지하려면 AWS Security Hub Macie 계정의 게시 설정을 변경할 수 있습니다. 자세한 방법은 조사 결과에 대한 게시 대상 선택(을)를 참조하세요. Security Hub 콘솔 또는 Security Hub를 사용하여 이 작업을 수행할 수도 API 있습니다. 방법을 알아보려면 사용 AWS Security Hub 설명서의 통합 결과 흐름 비활성화 및 활성화 (콘솔) 또는 통합 결과 흐름 비활성화 (Security HubAPI, AWS CLI) 를 참조하십시오.
