本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Macie 调查结果的严重性评分
当 Amazon Macie 生成策略或敏感数据调查发现时,它会自动为该调查发现指定严重性。调查发现的严重性反映了调查发现的主要特征,可以帮助您评测调查发现并确定其优先级。调查发现的严重性并不意味着或以其他方式表明受影响的资源可能对您的组织具有的关键性或重要性。
对于政策调查结果,严重程度取决于亚马逊简单存储服务 (Amazon S3) 通用存储桶的安全或隐私潜在问题的性质。对于敏感数据调查发现,严重性基于 Macie 在 S3 对象中发现的敏感数据的性质和出现次数。
在 Macie 中,调查发现的严重性有两种表现方式。
- 严重性级别
-
这是严重程度的定性表示。严重级别的范围为 Low,至少严重到 High,对于最严重的来说。
严重级别直接显示在 Amazon Macie 控制台上。它们还以 Macie 控制台、Ama API zon Macie 的发现JSON表示形式以及与敏感数据发现相关的敏感数据发现结果中提供。严重性级别还包含在 Macie 向亚马逊发布的事件 EventBridge 和 Macie 向其发布的调查结果中 AWS Security Hub.
- 严重性分数
-
这是严重程度的数字表示。严重性分数介于 1 到 3 之间,并直接映射到严重性级别:
严重性分数 严重性级别 1 低 2 中 3 高 严重性分数不会直接显示在 Amazon Macie 主机上。但是,它们可以在 Macie 控制台上、Amazon Maci API e 的发现JSON表示形式以及与敏感数据发现相关的敏感数据发现结果中找到。在 Macie 发布到 Amazon EventBridge 的事件的查找中,也会包含严重性分数。它们未包含在 Macie 发布给的调查结果中 AWS Security Hub.
本节中的主题说明了 Macie 如何确定策略调查发现和敏感数据调查发现的严重性。
策略调查发现的严重性评分
策略调查结果的严重性基于 S3 通用存储桶的安全性或隐私性潜在问题的性质。下表列出了 Amazon Macie 为每种类型的政策调查结果分配的严重性级别。有关每种类型的说明,请参阅 调查发现的类型。
| 调查发现类型 | 严重性级别 |
|---|---|
| Policy:IAMUser/S3BlockPublicAccessDisabled | 高 |
|
Policy:IAMUser/S3BucketEncryptionDisabled |
低 |
| Policy:IAMUser/S3BucketPublic | 高 |
| Policy:IAMUser/S3BucketReplicatedExternally | 高 |
| Policy:IAMUser/S3BucketSharedExternally | 高 |
| Policy:IAMUser/S3BucketSharedWithCloudFront | 中 |
策略调查发现的严重性不会根据调查发现的发生次数而变化。
敏感数据调查发现的严重性分数
敏感数据发现的严重性基于 Amazon Macie 在 S3 对象中发现的敏感数据的性质和出现次数。以下主题说明了 Macie 如何确定每种敏感数据调查发现的严重性:
有关 Macie 可以在敏感数据调查发现中检测和报告的敏感数据类型的详细信息,请参阅使用托管数据标识符和构建自定义数据标识符。
SensitiveData:S3Object/Credentials
答:S3Object/Credentials 的SensitiveData发现表明 S3 对象包含敏感的凭证数据。对于此类调查发现,Macie 会根据 Macie 在对象中找到的凭证数据的类型和出现次数来确定严重性。
下表显示了 Macie 为报告 S3 对象中出现凭证数据的调查发现分配的严重性级别。
| 敏感数据类型 | 1 次出现 | 2—99 次出现 | 100 或更多次出现 |
|---|---|---|---|
| AWS 私有访问密钥 | 高 | 高 | 高 |
| 谷歌云API密钥 | 高 | 高 | 高 |
| HTTP基本授权标头 | 高 | 高 | 高 |
| JSON网络代币 (JWT) | 高 | 高 | 高 |
| 打开SSH私钥 | 高 | 高 | 高 |
| PGP私钥 | 高 | 高 | 高 |
| 公钥加密标准 (PKCS) 私钥 | 高 | 高 | 高 |
| Pu TTY 私钥 | 高 | 高 | 高 |
| 条纹API钥匙 | 高 | 高 | 高 |
SensitiveData:S3Object/CustomIdentifier
答:S3Object/ SensitiveData查找结果CustomIdentifier表明 S3 对象包含的文本与一个或多个自定义数据标识符的检测标准相匹配。该对象可能包含多种类型的敏感数据。
默认情况下,Macie 会为此类调查发现分配中等严重性级别,如果 S3 对象包含至少一次符合至少一个自定义数据标识符的检测标准的文本,则 Macie 会自动为该调查发现分配中等严重性级别。调查发现的严重性不会根据符合自定义数据标识符标准的文本出现次数而变化。
但是,如果您为生成调查发现的自定义数据标识符定义了自定义严重性设置,则此类调查发现的严重性可能会有所不同。如果是这样的话,Macie 会按以下方式确定严重性:
-
如果 S3 对象包含的文本仅匹配一个自定义数据标识符的检测标准,则 Macie 会根据该标识符的严重性设置来确定调查发现的严重性。
-
如果 S3 对象包含的文本与多个自定义数据标识符的检测标准相匹配,则 Macie 会通过评测每个自定义数据标识符的严重性设置、确定其中哪些设置产生的严重性最高,然后将该最高严重性分配给调查发现,从而确定调查发现的严重性。
要查看自定义数据标识符的严重性设置,请在 Amazon Macie 控制台的导航窗格中选择自定义数据标识符。然后选择自定义数据标识符的名称。严重性部分显示了设置。要了解有关设置的更多信息,请参阅自定义数据标识符的配置选项。
SensitiveData:S3Object/Financial
答:S3Object/Financial 的SensitiveData调查结果表明 S3 对象包含敏感的财务信息。对于此类调查发现,Macie 根据 Macie 在对象中发现的财务信息的类型和出现次数来确定严重性。
下表显示了 Macie 为报告 S3 对象中出现财务信息的调查发现分配的严重性级别。
| 敏感数据类型 | 1 次出现 | 2—99 次出现 | 100 或更多次出现 |
|---|---|---|---|
|
银行账户 1 |
高 | 高 | 高 |
|
信用卡到期日期 |
低 | 中 | 高 |
|
信用卡磁条数据 |
高 | 高 | 高 |
|
信用卡号 2 |
高 | 高 | 高 |
|
信用卡验证码 |
中 | 高 | 高 |
-
任何类型的银行账号(基本银行账号 (BBAN)、国际银行账号 () 或加拿大或美国银行账号IBAN)的严重程度都相同。
-
对于靠近或不靠近关键字的信用卡号,严重级别相同。
如果某项调查发现报告对象中存在多种类型的财务信息,则 Macie 会通过计算 Macie 发现的每类财务信息的严重性、确定哪种类型的严重性最高,并将该最高严重性分配给调查发现来确定该调查发现的严重性。例如,如果 Macie 在对象中检测到 10 个信用卡到期日期(中等严重性级别)和 10 个信用卡号(高严重性级别),则 Macie 会为调查发现分配高严重性级别。
SensitiveData:S3Object/Personal
答:S3Object/Personal 的SensitiveData发现表明 S3 对象包含敏感的个人信息——个人健康信息 () PHI、个人身份信息 () PII 或两者的组合。对于此类调查发现,Macie 根据 Macie 在对象中发现的个人信息的类型和出现次数来确定严重性。
下表显示了 Macie 为报告 S3 对象PHI中出现的敏感数据发现分配的严重性级别。
| 敏感数据类型 | 1 次出现 | 2—99 次出现 | 100 或更多次出现 |
|---|---|---|---|
|
缉毒机构 (DEA) 注册号 |
高 | 高 | 高 |
| Health Insurance 索赔编号 (HICN) | 高 | 高 | 高 |
| 健康保险或医疗识别号 | 高 | 高 | 高 |
| 医疗保健通用程序编码系统 (HCPCS) 代码 | 高 | 高 | 高 |
| 《国家药品法》(NDC) | 高 | 高 | 高 |
| 国家提供商标识符 (NPI) | 高 | 高 | 高 |
| 设备唯一标识符 (UDI) | 低 | 中 | 高 |
下表显示了 Macie 为报告 S3 对象PII中出现的敏感数据发现分配的严重性级别。
| 敏感数据类型 | 1 次出现 | 2—99 次出现 | 100 或更多次出现 |
|---|---|---|---|
|
出生日期 |
低 | 中 | 高 |
| 驾驶执照识别号 | 低 | 中 | 高 |
| 选民名册编号 | 高 | 高 | 高 |
| 全名 | 低 | 中 | 高 |
| 全球定位系统 (GPS) 坐标 | 低 | 中 | 中 |
| HTTP饼干 | 低 | 中 | 高 |
| 邮寄地址 | 低 | 中 | 高 |
| 身份证号码 | 高 | 高 | 高 |
| 国民保险号码 (NINO) | 高 | 高 | 高 |
| 护照编号 | 中 | 高 | 高 |
| 永久居留号码 | 高 | 高 | 高 |
| 电话号码 | 低 | 中 | 高 |
| 社会保险号码 (SIN) | 高 | 高 | 高 |
| 社会安全号码 (SSN) | 高 | 高 | 高 |
|
纳税人识别号或参考号 |
高 | 高 | 高 |
|
车辆识别码 (VIN) |
低 | 低 | 中 |
如果发现报告对象PII中有多种类型PHIPII、或两者PHI兼而有之,则 Macie 会通过计算每种类型的严重性、确定哪种类型产生的严重性最高,并将该最高严重性分配给查找结果来确定该发现的严重性。
例如,如果 Macie 在对象中检测到 10 个全名(中等严重性级别)和 5 个护照号码(高严重性级别),则 Macie 会为调查发现分配高严重性级别。同样,如果 Macie 在对象中检测到 10 个全名(中等严重级别)和 10 个健康保险标识号(高严重性级别),则 Macie 会为调查发现分配高严重性级别。
SensitiveData:S3Object/Multiple
答:S3Object/Multiple SensitiveData查找结果表明 S3 对象包含跨越多个敏感数据类别的数据,即符合一个或多个自定义数据标识符检测标准的凭证数据、财务信息、个人信息或文本的任意组合。
对于此类调查发现,Macie 通过计算 Macie 发现的每类敏感数据的严重性(如前面的主题所示)、确定哪种类型的严重性最高,然后为调查发现指定最高严重性来确定严重性。
例如,如果 Macie 检测到 10 个全名(中等严重性级别)和 10 个 AWS 在对象中使用私有访问密钥(高严重性级别),Macie 会为发现结果分配高严重性级别。
