本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
当 Amazon Macie 生成策略或敏感数据调查发现时,它会自动为该调查发现指定严重性。发现的严重性反映了发现的主要特征,这可以帮助您评估发现并确定其优先级。调查发现的严重性并不意味着或以其他方式表明受影响的资源可能对您的组织具有的关键程度或重要性。
对于策略调查发现,严重性取决于 Amazon Simple Storage Service (Amazon S3) 通用存储桶安全或隐私可能存在的问题的性质。对于敏感数据发现,严重性基于 Macie 在 S3 对象中检测到的敏感数据的性质和出现次数。
在 Macie 中,调查发现的严重性有两种表现方式。
- 严重性级别
-
这是严重程度的定性表示。严重级别的范围为 Low,至少严重到 High,对于最严重的来说。
严重级别直接显示在 Amazon Macie 控制台上。它们还以 Macie 控制台上调查发现的 JSON 表示形式、Amazon Macie API 以及与敏感数据调查发现相关联的敏感数据调查发现提供。严重性级别还包含在 Macie 向亚马逊发布的事件 EventBridge 和 Macie 向其发布的调查结果中。 AWS Security Hub
- 严重性分数
-
这是严重程度的数字表示。严重性分数介于 1 到 3 之间,并直接映射到严重性级别:
严重性分数 严重性级别 1 低 2 中 3 高 严重性分数不会直接显示在 Amazon Macie 主机上。但是,它们以 Macie 控制台上调查发现的 JSON 表示形式、Amazon Macie API 以及与敏感数据发现结果相关的敏感数据调查发现提供。在 Macie 发布到 Amazon EventBridge 的事件的查找中,也会包含严重性分数。它们未包含在 Macie 发布的调查结果中。 AWS Security Hub
本节中的主题说明了 Macie 如何确定策略调查发现和敏感数据调查发现的严重性。
策略调查发现的严重性评分
策略调查发现的严重性基于 S3 通用存储桶安全或隐私方面的潜在问题的性质。下表列出了 Amazon Macie 为每种类型的策略调查发现分配的严重性级别。有关每种类型的说明,请参阅 调查发现的类型。
| 调查发现类型 | 严重性级别 |
|---|---|
| Policy:IAMUser/S3BlockPublicAccessDisabled | 高 |
|
Policy:IAMUser/S3BucketEncryptionDisabled |
低 |
| Policy:IAMUser/S3BucketPublic | 高 |
| Policy:IAMUser/S3BucketReplicatedExternally | 高 |
| Policy:IAMUser/S3BucketSharedExternally | 高 |
| Policy:IAMUser/S3BucketSharedWithCloudFront | 中 |
策略调查发现的严重性不会根据调查发现的发生次数而变化。
敏感数据调查发现的严重性分数
敏感数据发现的严重性基于 Amazon Macie 在 S3 对象中检测到的敏感数据的性质和出现次数。以下主题说明了 Macie 如何确定每种敏感数据调查发现的严重性:
有关 Macie 可以在敏感数据发现中检测和报告的敏感数据类型的详细信息,请参阅使用托管数据标识符和构建自定义数据标识符。
SensitiveData:S3Object/Credentials
答:S3Object/Credentials 的SensitiveData发现表明 Macie 在 S3 对象中检测到了敏感的凭据数据。对于此类发现,Macie 会根据 Macie 在对象中检测到的凭据数据的类型和出现次数来确定严重性。
下表显示了 Macie 为报告 S3 对象中出现凭证数据的调查发现分配的严重性级别。
| 敏感数据类型 | 1 次出现 | 2—99 次出现 | 100 或更多次出现 |
|---|---|---|---|
| AWS 秘密访问密钥 | 高 | 高 | 高 |
| Google Cloud API 密钥 | 高 | 高 | 高 |
| HTTP 基本授权标头 | 高 | 高 | 高 |
| JSON Web 令牌 (JWT) | 高 | 高 | 高 |
| OpenSSH 私有密钥 | 高 | 高 | 高 |
| PGP 私有密钥 | 高 | 高 | 高 |
| 公有密钥加密标准 (PKCS, Public-Key Cryptography Standard) 私有密钥 | 高 | 高 | 高 |
| PuTTY 私有密钥 | 高 | 高 | 高 |
| Stripe API 密钥 | 高 | 高 | 高 |
SensitiveData:S3Object/CustomIdentifier
答:S3Object/ SensitiveData查找结果CustomIdentifier表明 S3 对象包含的文本与一个或多个自定义数据标识符的检测标准相匹配。该对象可能包含多种类型的敏感数据。
默认情况下,Macie 为此类发现分配的严重性级别为 “中”。如果受影响的 S3 对象包含至少一次与至少一个自定义数据标识符的检测标准相匹配的文本,则 Macie 会自动为查找结果分配中等严重性级别。调查发现的严重性不会根据符合自定义数据标识符标准的文本出现次数而变化。
但是,如果您为生成调查发现的自定义数据标识符定义了自定义严重性设置,则此类调查发现的严重性可能会有所不同。如果是这样的话,Macie 会按以下方式确定严重性:
-
如果 S3 对象包含的文本仅匹配一个自定义数据标识符的检测标准,则 Macie 会根据该标识符的严重性设置来确定调查发现的严重性。
-
如果 S3 对象包含的文本与多个自定义数据标识符的检测标准相匹配,则 Macie 会通过评测每个自定义数据标识符的严重性设置、确定其中哪些设置产生的严重性最高,然后将该最高严重性分配给调查发现,从而确定调查发现的严重性。
要查看自定义数据标识符的严重性设置,您可以使用亚马逊 Macie 控制台或亚马逊 Macie API。要查看控制台上的设置,请在导航窗格中选择自定义数据标识符,然后选择自定义数据标识符的名称。严重性部分显示了设置。要以编程方式检索设置,请使用GetCustomDataIdentifier操作,或者,如果您使用的是 AWS Command Line Interface,则运行get-custom-data-identifier命令。要了解有关设置的信息,请参阅自定义数据标识符的配置选项。
SensitiveData:S3Object/Financial
答:S3Object/Financial 的SensitiveData调查结果表明 Macie 在 S3 对象中检测到了敏感的财务信息。对于此类发现,Macie 根据 Macie 在对象中检测到的财务信息的类型和出现次数来确定严重性。
下表显示了 Macie 为报告 S3 对象中出现财务信息的调查发现分配的严重性级别。
| 敏感数据类型 | 1 次出现 | 2—99 次出现 | 100 或更多次出现 |
|---|---|---|---|
|
银行账户 1 |
高 | 高 | 高 |
|
信用卡到期日期 |
低 | 中 | 高 |
|
信用卡磁条数据 |
高 | 高 | 高 |
|
信用卡号 2 |
高 | 高 | 高 |
|
信用卡验证码 |
中 | 高 | 高 |
-
任何类型的银行账户(基本银行账户 (BBAN)、国际银行账户 (IBAN) 或加拿大或美国银行账户)的严重程度都相同。
-
对于靠近或不靠近关键字的信用卡号,严重级别相同。
如果某项发现报告了 S3 对象中的多种财务信息,则 Macie 会通过计算 Macie 检测到的每类财务信息的严重性、确定哪种类型的严重性最高,并将该最高严重性分配给调查结果来确定该发现的严重性。例如,如果 Macie 在对象中检测到 10 个信用卡到期日期(中等严重性级别)和 10 个信用卡号(高严重性级别),则 Macie 会为发现结果分配高严重性级别。
SensitiveData:S3Object/Personal
答:S3Object/Personal 的SensitiveData发现表明 Macie 在 S3 对象中检测到了敏感的个人信息。这些信息可以是个人健康信息 (PHI)、个人身份信息 (PII) 或两者的组合。对于此类发现,Macie 根据 Macie 在对象中检测到的个人信息的类型和出现次数来确定严重性。
下表显示了 Macie 为报告 S3 对象中出现的 PHI 的敏感数据调查发现分配的严重性级别。
| 敏感数据类型 | 1 次出现 | 2—99 次出现 | 100 或更多次出现 |
|---|---|---|---|
|
毒品管理局 (DEA) 注册号 |
高 | 高 | 高 |
| 健康保险索赔编号 (HICN) | 高 | 高 | 高 |
| 健康保险或医疗识别号 | 高 | 高 | 高 |
| 医疗保健通用程序编码系统 (HCPCS) 代码 | 高 | 高 | 高 |
| 国家药品编码 (NDC) | 高 | 高 | 高 |
| 国家提供商识别码 (NPI) | 高 | 高 | 高 |
| 设备唯一标识符 (UDI) | 低 | 中 | 高 |
下表显示了 Macie 为报告 S3 对象中出现的 PII 的敏感数据调查发现分配的严重性级别。
| 敏感数据类型 | 1 次出现 | 2—99 次出现 | 100 或更多次出现 |
|---|---|---|---|
|
出生日期 |
低 | 中 | 高 |
| 驾驶执照识别号 | 低 | 中 | 高 |
| 选民名册编号 | 高 | 高 | 高 |
| 全名 | 低 | 中 | 高 |
| 全球定位系统 (GPS) 坐标 | 低 | 中 | 中 |
| HTTP cookie | 低 | 中 | 高 |
| 邮寄地址 | 低 | 中 | 高 |
| 身份证号码 | 高 | 高 | 高 |
| 国民保险号码 (NINO) | 高 | 高 | 高 |
| 护照编号 | 中 | 高 | 高 |
| 永久居留号码 | 高 | 高 | 高 |
| 电话号码 | 低 | 中 | 高 |
| 社会保险号码 (SIN) | 高 | 高 | 高 |
| 社会保障号码(SSN) | 高 | 高 | 高 |
|
纳税人识别号或参考号 |
高 | 高 | 高 |
|
车辆识别号码 (VIN) |
低 | 低 | 中 |
如果某项发现结果报告对象中存在多种类型的 PHI、PII,或者同时报告了 PHI 和 PII,则 Macie 会通过计算每种类型的严重性、确定哪种类型产生的严重性最高,并将该最高严重性分配给调查发现来确定该发现结果的严重性。
例如,如果 Macie 在对象中检测到 10 个全名(中等严重性级别)和 5 个护照号码(高严重性级别),则 Macie 会为发现结果分配高严重性级别。同样,如果 Macie 在对象中检测到 10 个全名(中等严重级别)和 10 个健康保险标识号(高严重级别),则 Macie 会为该发现分配高严重性级别。
SensitiveData:S3Object/Multiple
答:S3Object/Multi SensitiveDataple 发现表明 Macie 在 S3 对象中检测到多个类别的敏感数据。敏感数据可以是符合一个或多个自定义数据标识符检测标准的凭证数据、财务信息、个人信息或文本的任意组合。
对于此类发现,Macie 通过计算 Macie 检测到的每类敏感数据的严重性(如前面的主题所示)、确定哪种类型的严重性最高,然后为发现指定最高严重性来确定严重性。
例如,如果 Macie 在对象中检测到 10 个全名(中等严重性级别)和 10 个 AWS 私有访问密钥(高严重性级别),则 Macie 会为发现结果分配高严重性级别。
