As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Avaliando as descobertas de Macie com AWS Security Hub
AWS Security Hub é um serviço que fornece uma visão abrangente de sua postura de segurança em todo o AWS ambiente e ajuda você a verificar seu ambiente de acordo com os padrões e as melhores práticas do setor de segurança. Ele faz isso em parte consumindo, agregando, organizando e priorizando as descobertas de várias soluções de segurança Serviços da AWS compatíveis AWS Partner Network . O Security Hub ajuda você a analisar suas tendências de segurança e identificar os problemas de segurança de prioridade mais alta. Com o Security Hub, você também pode agregar descobertas de várias e Regiões da AWS, em seguida, avaliar e processar todos os dados agregados de descobertas de uma única região. Para saber mais sobre o Security Hub, consulte o Guia do usuário da AWS Security Hub.
O Amazon Macie se integra ao Security Hub, o que significa que você pode publicar descobertas do Macie no Security Hub automaticamente. O Security Hub pode então incluir tais descobertas na análise feita sobre a seu procedimento de segurança. Além disso, você pode usar o Security Hub para avaliar e processar descobertas de políticas e dados confidenciais como parte de um conjunto maior e agregado de dados de descobertas para seu AWS ambiente. Em outras palavras, você pode avaliar as descobertas do Macie enquanto realiza análises mais amplas da postura de segurança da sua organização e corrigir as descobertas conforme necessário. O Security Hub elimina a complexidade de abordar grandes volumes de descobertas de vários provedores. Além disso, ele usa um formato padrão para todas as descobertas, incluindo as descobertas de Macie. O uso desse formato, o AWS Security Finding Format (ASFF), elimina a necessidade de realizar esforços demorados de conversão de dados.
Tópicos
Como a Macie publica as descobertas para AWS Security Hub
Em AWS Security Hub, os problemas de segurança são rastreados como descobertas. Algumas descobertas vêm de problemas detectados por Serviços da AWS, como o Amazon Macie, ou por soluções de AWS Partner Network segurança compatíveis. O Security Hub também tem um conjunto de regras que ele usa para detectar problemas de segurança e gerar descobertas.
O Security Hub fornece ferramentas para gerenciar descobertas de todas essas fontes. Você pode revisar e filtrar listas de descobertas e revisar os detalhes de descobertas individuais. Para saber como, consulte Revisando o histórico de descobertas e encontrando detalhes no Guia do AWS Security Hub usuário. Você também pode rastrear o status de uma investigação em uma descoberta. Para saber como, consulte Configuração do status do fluxo de trabalho das descobertas no Guia AWS Security Hub do usuário.
Todas as descobertas no Security Hub usam um JSON formato padrão chamado AWS Security Finding Format (ASFF). ASFFIsso inclui detalhes sobre a origem de um problema, os recursos afetados e o status atual de uma descoberta. Para obter mais informações, consulte Formato AWS de descoberta de segurança (ASFF) no Guia AWS Security Hub do usuário.
Tipos de descobertas que Macie publica no Security Hub
Dependendo das configurações de publicação que você escolher para sua conta do Macie, o Macie pode publicar todas as descobertas criadas no Security Hub, tanto descobertas de dados confidenciais quanto descobertas de políticas. Para obter informações sobre essas configurações e como alterá-las, consulte Como definir as configurações de publicação para as descobertas. Por padrão, o Macie publica somente descobertas de políticas novas e atualizadas para o Security Hub. Macie não o publicará descobertas de dados confidenciais no Security Hub.
Descobertas de dados confidenciais
Se você configurar o Macie para publicar descobertas de dados confidenciais no Security Hub, o Macie publicará automaticamente cada descoberta de dados confidenciais criada para sua conta e o fará imediatamente após concluir o processamento da descoberta. O Macie faz isso para todas as descobertas de dados confidenciais que não são arquivadas automaticamente por uma regra de supressão.
Se você for o administrador do Macie de uma organização, a publicação se limita às descobertas de trabalhos de descoberta de dados confidenciais que você executou e às atividades automatizadas de descoberta de dados confidenciais que o Macie realizou para sua organização. Somente a conta que cria um trabalho pode publicar as descobertas de dados confidenciais que o trabalho produz. Somente a conta de administrador do Macie pode publicar descobertas de dados confidenciais que a descoberta automatizada de dados confidenciais produz para sua organização.
Quando o Macie publica descobertas de dados confidenciais no Security Hub, ele usa o AWS
Security Finding Format (ASFF), que é o formato padrão para todas as descobertas no Security Hub. NoASFF, o Types campo indica o tipo de descoberta. Esse campo usa uma taxonomia ligeiramente diferente da taxonomia do tipo de descoberta em Macie.
A tabela a seguir lista o tipo de ASFF descoberta para cada tipo de descoberta de dados confidenciais que o Macie pode criar.
| Tipo de descoberta | ASFFtipo de descoberta |
|---|---|
SensitiveData:S3Object/Credentials |
Sensitive Data Identifications/Passwords/SensitiveData:S3Object-Credentials |
SensitiveData:S3Object/CustomIdentifier |
Sensitive Data Identifications/PII/SensitiveData:S3Object-CustomIdentifier |
|
SensitiveData:S3Object/Financial |
Sensitive Data Identifications/Financial/SensitiveData:S3Object-Financial |
SensitiveData:S3Object/Multiple |
Sensitive Data Identifications/PII/SensitiveData:S3Object-Multiple |
|
SensitiveData:S3Object/Personal |
Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal |
Descobertas de política
Se você configurar o Macie para publicar descobertas de política no Security Hub, o Macie publicará automaticamente cada nova descoberta de política criada e fará isso imediatamente após concluir o processamento da descoberta. Se o Macie detectar uma ocorrência subsequente de uma descoberta de política existente, o publicará automaticamente uma atualização da descoberta existente no Security Hub, usando uma frequência de publicação especificada para sua conta. O Macie executa essas tarefas para todas as descobertas de políticas que não são arquivadas automaticamente por uma regra de supressão.
Se você for o administrador do Macie de uma organização, a publicação se limita às descobertas de políticas para buckets do S3 que pertencem diretamente à sua conta. O Macie não publica descobertas de políticas que ele cria ou atualiza para contas de membros em sua organização. Isso ajuda a garantir que você não tenha dados de descobertas duplicados no Security Hub.
Como é o caso das descobertas de dados confidenciais, o Macie usa o AWS Security Finding Format (ASFF) ao publicar descobertas de políticas novas e atualizadas no Security Hub. NoASFF, o Types campo usa uma taxonomia ligeiramente diferente da taxonomia do tipo de descoberta em Macie.
A tabela a seguir lista o tipo de ASFF descoberta para cada tipo de descoberta de política que o Macie pode criar. Se Macie criou ou atualizou uma descoberta de política no Security Hub em ou após 28 de janeiro de 2021, a descoberta tem um dos seguintes valores para o ASFF Types campo no Security Hub.
| Tipo de descoberta | ASFFtipo de descoberta |
|---|---|
|
Policy:IAMUser/S3BlockPublicAccessDisabled |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled |
Policy:IAMUser/S3BucketEncryptionDisabled |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketEncryptionDisabled |
|
Policy:IAMUser/S3BucketPublic |
Effects/Data Exposure/Policy:IAMUser-S3BucketPublic |
Policy:IAMUser/S3BucketReplicatedExternally |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketReplicatedExternally |
|
Policy:IAMUser/S3BucketSharedExternally |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedExternally |
|
Policy:IAMUser/S3BucketSharedWithCloudFront |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedWithCloudFront |
Se o Macie criou ou atualizou pela última vez uma descoberta de política antes de 28 de janeiro de 2021, a descoberta tem um dos seguintes valores para o ASFF Types campo no Security Hub:
-
Policy:IAMUser/S3BlockPublicAccessDisabled
-
Policy:IAMUser/S3BucketEncryptionDisabled
-
Policy:IAMUser/S3BucketPublic
-
Policy:IAMUser/S3BucketReplicatedExternally
-
Policy:IAMUser/S3BucketSharedExternally
Os valores na lista anterior são mapeados diretamente para valores do campo Tipo de descoberta (type) no Macie.
Observações
Ao analisar e processar as descobertas de políticas no Security Hub, observe as seguintes exceções:
-
Com certeza Regiões da AWS, Macie começou a usar tipos de ASFF descoberta para descobertas novas e atualizadas já em 25 de janeiro de 2021.
-
Se você agiu de acordo com uma descoberta de política no Security Hub antes de o Macie começar a usar ASFF os tipos de busca no seu Região da AWS, o valor do ASFF
Typescampo da descoberta será um dos tipos de descoberta do Macie na lista anterior. Não será um dos tipos de ASFF descoberta na tabela anterior. Isso vale para as constatações de políticas nas quais você agiu usando o AWS Security Hub console ou a BatchUpdateFindings operação do AWS Security Hub API.
Latência para publicação de descobertas no Security Hub
Quando o Amazon Macie cria uma nova política ou uma descoberta de dados confidenciais, ele publica a descoberta AWS Security Hub imediatamente após concluir o processamento da descoberta.
Se o Macie detectar uma ocorrência subsequente de uma descoberta de política existente, ele publicará uma atualização para a descoberta existente do Security Hub. O momento da atualização depende da frequência de publicação que você escolher para sua conta Macie. Por padrão, o Macie publica atualizações a cada 15 minutos. Para obter mais informações, inclusive como alterar a configuração da sua conta, consulte Como definir as configurações de publicação para as descobertas.
Tentando publicar novamente quando o Security Hub não está disponível
Se AWS Security Hub não estiver disponível, o Amazon Macie cria uma fila de descobertas que não foram recebidas pelo Security Hub. Quando o sistema é restaurado, Macie tenta publicar novamente até que as descobertas sejam recebidas pelo Security Hub.
Atualizar as descobertas do existentes no Security Hub
Depois que o Amazon Macie publica uma constatação de política em AWS Security Hub, Macie atualiza a descoberta para refletir quaisquer ocorrências adicionais da descoberta ou atividade de descoberta. O Macie faz isso apenas para descobertas de políticas. Diferentemente das descobertas de políticas, todas as descobertas de dados confidenciais são tratadas como novas (únicas).
Quando o Macie publica uma atualização em uma descoberta de política, o Macie atualiza o valor do campo Atualizado em (UpdatedAt) da descoberta. Você pode usar esse valor para determinar quando o Macie detectou mais recentemente uma ocorrência subsequente da possível violação de política ou problema que produziu a descoberta.
O Macie também pode atualizar o valor do campo Types (Types) de uma descoberta se o valor existente do campo não for um tipo de ASFF descoberta. Isso depende se você agiu de acordo com a descoberta no Security Hub. Se você não agiu de acordo com a descoberta, Macie altera o valor do campo para o tipo de ASFF descoberta apropriado. Se você agiu de acordo com a descoberta, usando o AWS Security Hub console ou a BatchUpdateFindings operação do AWS Security Hub API, Macie não altera o valor do campo.
Exemplos de descobertas de Macie em AWS Security Hub
Quando o Amazon Macie publica descobertas no AWS Security Hub, ele usa o AWS Security Finding Format (). ASFF Esse é o formato padrão para todas as descobertas no Security Hub. Os exemplos a seguir usam exemplos de dados para demonstrar a estrutura e a natureza dos dados de descobertas que o Macie publica no Security Hub nesse formato:
Exemplo de uma descoberta de dados confidenciais no Security Hub
Aqui está um exemplo de uma descoberta de dados confidenciais que Macie publicou no Security Hub usando o. ASFF
{
"SchemaVersion": "2018-10-08",
"Id": "5be50fce24526e670df77bc00example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types":[
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
],
"CreatedAt": "2022-05-11T10:23:49.667Z",
"UpdatedAt": "2022-05-11T10:23:49.667Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "The S3 object contains personal information.",
"Description": "The object contains personal information such as first or last names, addresses, or identification numbers.",
"ProductFields": {
"JobArn": "arn:aws:macie2:us-east-1:111122223333:classification-job/698e99c283a255bb2c992feceexample",
"S3Object.Path": "amzn-s3-demo-bucket/2022 Sourcing.tsv",
"S3Object.Extension": "tsv",
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"OriginType": "SENSITIVE_DATA_DISCOVERY_JOB",
"S3Object.PublicAccess": "false",
"S3Object.Size": "14",
"S3Object.StorageClass": "STANDARD",
"S3Bucket.allowsUnencryptedObjectUploads": "TRUE",
"JobId": "698e99c283a255bb2c992feceexample",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/5be50fce24526e670df77bc00example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-12-30T18:16:25.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"BlockPublicPolicy": true,
"IgnorePublicAcls": true,
"RestrictPublicBuckets": true
}
}
}
},
{
"Type": "AwsS3Object",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket/2022 Sourcing.tsv",
"Partition": "aws",
"Region": "us-east-1",
"DataClassification": {
"DetailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/111122223333/Macie/us-east-1/
698e99c283a255bb2c992feceexample/111122223333/32b8485d-4f3a-3aa1-be33-aa3f0example.jsonl.gz",
"Result":{
"MimeType": "text/tsv",
"SizeClassified": 14,
"AdditionalOccurrences": false,
"Status": {
"Code": "COMPLETE"
},
"SensitiveData": [
{
"Category": "PERSONAL_INFORMATION",
"Detections": [
{
"Count": 1,
"Type": "USA_SOCIAL_SECURITY_NUMBER",
"Occurrences": {
"Cells": [
{
"Column": 10,
"Row": 1,
"ColumnName": "Other"
}
]
}
}
],
"TotalCount": 1
}
],
"CustomDataIdentifiers": {
"Detections": [
],
"TotalCount": 0
}
}
},
"Details": {
"AwsS3Object": {
"LastModified": "2022-04-22T18:16:46.000Z",
"ETag": "ebe1ca03ee8d006d457444445example",
"VersionId": "SlBC72z5hArgexOJifxw_IN57example",
"ServerSideEncryption": "aws:kms",
"SSEKMSKeyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
]
},
"Sample": false,
"ProcessedAt": "2022-05-11T10:23:49.667Z"
}Exemplo de uma descoberta de política no Security Hub
Aqui está um exemplo de uma nova descoberta de política que Macie publicou no Security Hub noASFF.
{
"SchemaVersion": "2018-10-08",
"Id": "36ca8ba0-caf1-4fee-875c-37760example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
],
"CreatedAt": "2022-04-24T09:27:43.313Z",
"UpdatedAt": "2022-04-24T09:27:43.313Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "Block Public Access settings are disabled for the S3 bucket",
"Description": "All Amazon S3 block public access settings are disabled for the Amazon S3 bucket. Access to the bucket is
controlled only by access control lists (ACLs) or bucket policies.",
"ProductFields": {
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"S3Bucket.allowsUnencryptedObjectUploads": "FALSE",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/36ca8ba0-caf1-4fee-875c-37760example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Tags": {
"Team": "Recruiting",
"Division": "HR"
},
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-11-25T18:24:38.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": false,
"BlockPublicPolicy": false,
"IgnorePublicAcls": false,
"RestrictPublicBuckets": false
}
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
]
},
"Sample": false
}Integrando o Macie com AWS Security Hub
Para integrar o Amazon Macie com AWS Security Hub, habilite o Security Hub para seu. Conta da AWS Para saber como, consulte Habilitando o Security Hub no Guia AWS Security Hub do Usuário.
Ao habilitar tanto o Macie quanto o Security Hub, a integração é habilitada automaticamente. Por padrão, o Macie começa a publicar automaticamente descobertas de políticas novas e atualizadas no Security Hub. Você não precisa realizar etapas adicionais para configurar a integração. Se você tiver descobertas de políticas existentes quando a integração estiver habilitada, o Macie não as publicará no Security Hub. Em vez disso, o Macie publica somente as descobertas de políticas que ele cria ou atualiza após a ativação da integração.
Opcionalmente, você pode personalizar sua configuração escolhendo a frequência com que o Macie publica atualizações das descobertas de políticas no Security Hub. Você também pode optar por publicar descobertas de dados confidenciais no Security Hub. Para saber como, consulte Como definir as configurações de publicação para as descobertas.
Interrompendo a publicação das descobertas de Macie para AWS Security Hub
Para parar de publicar as descobertas do Amazon Macie AWS Security Hub, você pode alterar as configurações de publicação da sua conta do Macie. Para saber como, consulte Como escolher destinos de publicação para descobertas. Você também pode fazer isso usando o console do Security Hub ou o Security HubAPI. Para saber como, consulte Desabilitar e habilitar o fluxo de descobertas de uma integração (console) ou Desabilitar o fluxo de descobertas de uma integração (Security Hub API AWS CLI) no Guia do AWS Security Hub Usuário.
