本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
通过以下方式评估 Macie 的调查结果 AWS Security Hub
AWS Security Hub 是一项服务,可让您全面了解整个 AWS 环境中的安全状况,并帮助您根据安全行业标准和最佳实践检查您的环境。它部分通过使用、汇总、整理来自多个 AWS 服务 且受支持 AWS Partner Network 的安全解决方案的发现结果并对其进行优先级排序来实现。Security Hub 帮助您分析安全趋势并确定最高优先级的安全问题。借助 Security Hub AWS 区域,您还可以汇总来自多个区域的调查结果,然后评估和处理来自单个区域的所有聚合结果数据。要了解有关 Security Hub 的更多信息,请参阅 AWS Security Hub 用户指南。
Amazon Macie 与 Security Hub 集成,这使您能够自动将 Macie 调查发现发布至 Security Hub。随后,Security Hub 可以在对您的安全状况进行分析时使用这些调查发现。此外,您可以使用 Security Hub 来评估和处理策略和敏感数据发现,将其作为 AWS 环境中更大的聚合结果数据集的一部分。换句话说,您可以在对组织的安全状况进行更广泛分析的同时,对 Macie 的调查发现进行评估,并在必要时对调查发现进行补救。Security Hub 减少了处理来自多个提供商的大量调查发现的复杂性。此外,它对所有调查发现(包括 Macie 调查发现)都使用标准格式。使用这种格式,即AWS 安全调查发现格式 (ASFF),您无需执行耗时的数据转换工作。
主题
Macie 如何向 AWS Security Hub发布调查发现
在中 AWS Security Hub,安全问题作为发现结果进行跟踪。有些发现来自由 AWS 服务(例如 Amazon Macie)或支持 AWS Partner Network 的安全解决方案检测到的问题。Security Hub 还有一套用于检测安全问题和生成结果的规则。
Security Hub 提供了管理来自所有这些来源的结果的工具。您可以查看和筛选结果列表,并查看单个调查发现的详细信息。要了解如何操作,请参阅《AWS Security Hub 用户指南》中的查看调查发现历史和调查发现详细信息。您还可以跟踪调查发现的调查状态。要了解如何操作,请参阅《AWS Security Hub 用户指南》中的设置调查发现的工作流程状态。
Security Hub 中的所有调查发现都使用名为 AWS 安全检测结果格式 (ASFF) 的标准 JSON 格式。ASFF 包括有关问题根源、受影响资源以及调查发现当前状态的详细信息。有关更多信息,请参阅 AWS Security Hub 用户指南中的 AWS Security Finding 格式 (ASFF)。
Macie 向 Security Hub 发布的调查发现类型
根据您为 Macie 账户选择的发布设置,Macie 可以将其创建的所有调查发现(包括敏感数据调查发现和策略调查发现)发布至 Security Hub。有关这些设置以及如何更改它们的信息,请参阅 为调查发现配置发布设置。默认情况下,Macie 仅向 Security Hub 发布新的和更新的策略调查发现。Macie 不会向 Security Hub 发布敏感数据调查发现。
敏感数据调查发现
如果您将 Macie 配置为将敏感数据调查发现发布至 Security Hub,则 Macie 会自动发布它为账户创建的每个敏感数据查找调查发现,并在处理完调查发现后立即发布。Macie 会对所有未按抑制规则自动存档的敏感数据调查发现执行此操作。
如果您是组织的 Macie 管理员,则仅可发布您运行的敏感数据发现作业的调查发现,以及 Macie 为组织执行的自动敏感数据发现活动的调查发现。仅作业创建账户才能发布此作业产生的敏感数据调查发现。仅 Macie 管理员账户可为组织发布自动敏感数据发现活动中生成的敏感数据调查发现。
当 Macie 向 Security Hub 发布敏感数据调查发现时,它会使用AWS
安全调查发现格式 (ASFF),这是 Security Hub 中所有调查发现的标准格式。在 ASFF 中,该 Types 字段表示调查发现的类型。此字段使用的分类法与 Macie 中的调查发现类型分类法略有不同。
下表列出了 Macie 可以为每类敏感数据调查发现创建的 ASFF 调查发现类型。
| Macie 调查发现类型 | ASFF 结果类型 |
|---|---|
SensitiveData:S3Object/Credentials |
Sensitive Data Identifications/Passwords/SensitiveData:S3Object-Credentials |
SensitiveData:S3Object/CustomIdentifier |
Sensitive Data Identifications/PII/SensitiveData:S3Object-CustomIdentifier |
|
SensitiveData:S3Object/Financial |
Sensitive Data Identifications/Financial/SensitiveData:S3Object-Financial |
SensitiveData:S3Object/Multiple |
Sensitive Data Identifications/PII/SensitiveData:S3Object-Multiple |
|
SensitiveData:S3Object/Personal |
Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal |
策略调查发现
如果您将 Macie 配置为将策略调查发现发布至 Security Hub,则 Macie 会自动发布它创建的每个新策略调查发现,并在处理完调查发现后立即发布。如果 Macie 检测到后续发生现有策略调查发现,则使用您为账户指定的发布频率,自动在 Security Hub 中发布现有调查发现更新。Macie 对所有未按抑制规则自动存档的策略调查发现执行此任务。
如果您是组织的 Macie 管理员,则发布内容仅限直属于您账户的 S3 存储桶的策略调查发现。对于组织中的成员账户创建或更新的策略调查发现,Macie 不会发布。这有助于确保 Security Hub 中没有重复的调查发现数据。
与敏感数据发现一样,Macie 在向 Sec AWS urity Hub 发布新的和更新的策略发现时使用安全调查结果格式 (ASFF)。在 ASFF 中,该 Types 字段使用的分类法与 Macie 中的调查发现类型分类法略有不同。
下表列出了 Macie 可针对每种策略调查发现创建的 ASFF 调查发现类型。如果 Macie 在 2021 年 1 月 28 日当天或之后在 Security Hub 中创建或更新了策略调查发现,则在 Security Hub 中,该调查发现包含以下 ASFF Types字段值。
| Macie 调查发现类型 | ASFF 结果类型 |
|---|---|
|
Policy:IAMUser/S3BlockPublicAccessDisabled |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled |
Policy:IAMUser/S3BucketEncryptionDisabled |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketEncryptionDisabled |
|
Policy:IAMUser/S3BucketPublic |
Effects/Data Exposure/Policy:IAMUser-S3BucketPublic |
Policy:IAMUser/S3BucketReplicatedExternally |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketReplicatedExternally |
|
Policy:IAMUser/S3BucketSharedExternally |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedExternally |
|
Policy:IAMUser/S3BucketSharedWithCloudFront |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedWithCloudFront |
如果 Macie 在 2021 年 1 月 28 日之前创建或最新更新策略调查发现则在 Security Hub 中,该调查发现包含以下 ASFF Types字段值:
-
Policy:IAMUser/S3BlockPublicAccessDisabled
-
Policy:IAMUser/S3BucketEncryptionDisabled
-
Policy:IAMUser/S3BucketPublic
-
Policy:IAMUser/S3BucketReplicatedExternally
-
Policy:IAMUser/S3BucketSharedExternally
前面列表中的值直接映射至 Macie 中调查发现类型 (type) 字段的值。
备注
在 Security Hub 中查看和处理策略调查发现时,请注意以下例外情况:
-
当然 AWS 区域,早在2021年1月25日,Macie就开始使用ASFF查找类型来获取新的和更新的发现。
-
如果您在 Macie 开始在您的中使用 ASFF 查找类型之前在 Security Hub 中对策略发现进行了操作 AWS 区域,则该查找结果的 ASFF
Types字段的值将是前面列表中的 Macie 查找类型之一。它不会是上表列出的 ASFF 调查发现类型之一。对于您使用 AWS Security Hub 控制台或 AWS Security Hub API BatchUpdateFindings 操作执行的政策调查结果而言,情况确实如此。
延迟向 Security Hub 发布调查发现
当 Amazon Macie 创建新的策略或敏感数据调查发现时,它会在完成处理后立即将调查发现发布至 AWS Security Hub 。
如果 Macie 检测到后续出现现有策略调查发现,它会对现有 Security Hub 调查发现发布更新。更新的时间取决于您为 Macie 账户选择的发布频率。默认情况下,Macie 每 15 分钟发布一次更新。有关更多信息(包括如何更改账户设置),请参阅 为调查发现配置发布设置。
Security Hub 不可用时重新发布
如果 AWS Security Hub 不可用,Amazon Macie 会创建一个 Security Hub 尚未收到的调查结果队列。系统恢复后,Macie 会重试发布,直到 Security Hub 收到调查发现。
更新 Security Hub 中的现有调查发现
在 Amazon Macie 向其发布政策调查结果后 AWS Security Hub,Macie 会更新调查结果以反映该发现或发现活动中出现的任何其他事件。Macie 仅针对策略调查发现执行此操作。与策略调查发现不同,敏感数据调查发现都被视为新调查发现(唯一)。
当 Macie 发布策略调查发现的更新时,Macie 会更新该调查发现的 更新于 (UpdatedAt) 字段值。当 Macie 近期检测到后续调查发现生成过程中会发生潜在策略违规行为或问题时,您可通过此值进行判定。
如果此字段的现有值不是ASFF 调查发现类型,则 Macie 也可以更新类型 (Types) 字段值。这取决于您是否对 Security Hub 中的调查发现执行了操作。如果您尚未对调查发现执行操作,Macie 会将该字段的值更改为相应的 ASFF 调查发现类型。如果您使用 AWS Security Hub 控制台或 AWS Security Hub API 的操作对发现进行了BatchUpdateFindings操作,则 Macie 不会更改该字段的值。
AWS Security Hub中的 Macie 调查发现示例
当 Amazon Macie 向发布调查结果时 AWS Security Hub,它会使用AWS 安全调查结果格式 (AS FF)。这是 Security Hub 中所有调查发现的标准格式。以下示例使用示例数据演示 Macie 以此格式发布至 Security Hub 的调查发现数据的结构和性质:
在 Security Hub 中敏感数据调查发现的示例
以下是 Macie 向 Security Hub 发布的、ASFF 形式的敏感数据调查发现示例。
{
"SchemaVersion": "2018-10-08",
"Id": "5be50fce24526e670df77bc00example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types":[
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
],
"CreatedAt": "2022-05-11T10:23:49.667Z",
"UpdatedAt": "2022-05-11T10:23:49.667Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "The S3 object contains personal information.",
"Description": "The object contains personal information such as first or last names, addresses, or identification numbers.",
"ProductFields": {
"JobArn": "arn:aws:macie2:us-east-1:111122223333:classification-job/698e99c283a255bb2c992feceexample",
"S3Object.Path": "amzn-s3-demo-bucket/2022 Sourcing.tsv",
"S3Object.Extension": "tsv",
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"OriginType": "SENSITIVE_DATA_DISCOVERY_JOB",
"S3Object.PublicAccess": "false",
"S3Object.Size": "14",
"S3Object.StorageClass": "STANDARD",
"S3Bucket.allowsUnencryptedObjectUploads": "TRUE",
"JobId": "698e99c283a255bb2c992feceexample",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/5be50fce24526e670df77bc00example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-12-30T18:16:25.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"BlockPublicPolicy": true,
"IgnorePublicAcls": true,
"RestrictPublicBuckets": true
}
}
}
},
{
"Type": "AwsS3Object",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket/2022 Sourcing.tsv",
"Partition": "aws",
"Region": "us-east-1",
"DataClassification": {
"DetailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/111122223333/Macie/us-east-1/
698e99c283a255bb2c992feceexample/111122223333/32b8485d-4f3a-3aa1-be33-aa3f0example.jsonl.gz",
"Result":{
"MimeType": "text/tsv",
"SizeClassified": 14,
"AdditionalOccurrences": false,
"Status": {
"Code": "COMPLETE"
},
"SensitiveData": [
{
"Category": "PERSONAL_INFORMATION",
"Detections": [
{
"Count": 1,
"Type": "USA_SOCIAL_SECURITY_NUMBER",
"Occurrences": {
"Cells": [
{
"Column": 10,
"Row": 1,
"ColumnName": "Other"
}
]
}
}
],
"TotalCount": 1
}
],
"CustomDataIdentifiers": {
"Detections": [
],
"TotalCount": 0
}
}
},
"Details": {
"AwsS3Object": {
"LastModified": "2022-04-22T18:16:46.000Z",
"ETag": "ebe1ca03ee8d006d457444445example",
"VersionId": "SlBC72z5hArgexOJifxw_IN57example",
"ServerSideEncryption": "aws:kms",
"SSEKMSKeyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
]
},
"Sample": false,
"ProcessedAt": "2022-05-11T10:23:49.667Z"
}Security Hub 中的策略调查发现示例
以下是 Macie 向 Security Hub 发布的、ASFF 形式的新策略调查发现示例。
{
"SchemaVersion": "2018-10-08",
"Id": "36ca8ba0-caf1-4fee-875c-37760example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
],
"CreatedAt": "2022-04-24T09:27:43.313Z",
"UpdatedAt": "2022-04-24T09:27:43.313Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "Block Public Access settings are disabled for the S3 bucket",
"Description": "All Amazon S3 block public access settings are disabled for the Amazon S3 bucket. Access to the bucket is
controlled only by access control lists (ACLs) or bucket policies.",
"ProductFields": {
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"S3Bucket.allowsUnencryptedObjectUploads": "FALSE",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/36ca8ba0-caf1-4fee-875c-37760example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Tags": {
"Team": "Recruiting",
"Division": "HR"
},
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-11-25T18:24:38.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": false,
"BlockPublicPolicy": false,
"IgnorePublicAcls": false,
"RestrictPublicBuckets": false
}
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
]
},
"Sample": false
}将 Macie 与 AWS Security Hub
要将 Amazon Macie 与集成 AWS Security Hub,请为你启用 Security Hub。 AWS 账户要了解如何操作,请参阅《AWS Security Hub 用户指南》中的启用 Security Hub。
当您同时启用 Macie 和 Security Hub 时,集成将自动启用。默认情况下,Macie 会开始自动向 Security Hub 发布新的和更新的策略调查发现。您无需执行任何其他步骤,即可配置集成。如果您在启用集成时已有策略调查发现,Macie 不会将其发布至 Security Hub。相反,Macie 只发布它在启用集成后创建或更新的策略调查发现。
您可以选择通过选择 Macie 在 Security Hub 中发布策略调查发现更新的频率,以自定义您的配置。您还可以选择将敏感数据调查发现发布至 Security Hub。要了解如何操作,请参阅为调查发现配置发布设置。
停止向 AWS Security Hub发布 Macie 调查发现
要停止向其发布亚马逊 Macie 调查结果 AWS Security Hub,您可以更改 Macie 账户的发布设置。要了解如何操作,请参阅为调查发现选择发布目标。您也可以使用 Security Hub 执行此操作。要了解如何操作,请参阅《AWS Security Hub 用户指南》中的禁用集成调查发现流。
