适用于 Macie 的 Security Hub 控件 - AWS Security Hub

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

适用于 Macie 的 Security Hub 控件

这些 AWS Security Hub 控制评估亚马逊 Macie 服务。

这些控件可能并非全部可用 AWS 区域。 有关更多信息,请参阅按地区划分的控件可用性

[Macie.1] 应该启用亚马逊 Macie

相关要求: NIST.800-53.r5 CA-7、 NIST.800-53.r5 CA-9 (1)、、 NIST.800-53.r5 SA-8 (19) NIST.800-53.r5 RA-5、NIST .800-53.r5 SI-4

类别:检测 > 检测服务

严重性:

资源类型:AWS::::Account

AWS Config 规则:macie-status-check

计划类型:定期

该控件检查是否为账户启用了 Amazon Macie。如果没有为该账户启用 Macie,则控制失败。

Amazon Macie 使用机器学习和模式匹配来发现敏感数据,提供对数据安全风险的可见性,并实现针对这些风险的自动防护。Macie 会自动持续评估您的 Amazon Simple Storage Service(Amazon S3)存储桶的安全性和访问控制,并生成调查发现以通知您有关 Amazon S3 数据的安全性或隐私的潜在问题。Macie 还可以自动发现和报告敏感数据,例如个人身份信息 (PII),以便您更好地了解存储在 Amazon S3 中的数据。要了解更多信息,请参阅《Amazon Macie 用户指南》

修复

要启用 Macie,请参阅《Amazon Macie 》中的启用 Macie

[Macie.2] 应启用 Macie 自动发现敏感数据

相关要求: NIST.800-53.r5 CA-7、 NIST.800-53.r5 CA-9 (1)、、 NIST.800-53.r5 SA-8 (19) NIST.800-53.r5 RA-5、NIST .800-53.r5 SI-4

类别:检测 > 检测服务

严重性:

资源类型:AWS::::Account

AWS Config 规则:macie-auto-sensitive-data-discovery-check

计划类型:定期

此控件检查是否为 Amazon Macie 管理员账户启用了自动发现敏感数据。如果未为 Macie 管理员帐户启用自动发现敏感数据,则控制失败。此控件仅适用于管理员帐户。

Macie 可以自动发现和报告亚马逊简单存储服务 (Amazon S3PII) 存储桶中的敏感数据,例如个人身份信息 ()。通过自动发现敏感数据,Macie 可以持续评估您的存储桶清单,并使用采样技术从您的存储桶中识别和选择具有代表性的 S3 对象。然后,Macie 会分析所选对象,检查它们是否有敏感数据。随着分析的进行,Macie 会更新统计数据、清单数据以及它提供的有关您的 S3 数据的其他信息。Macie 还会生成调查结果以报告其发现的敏感数据。

修复

要创建和配置自动敏感数据发现任务以分析 S3 存储桶中的对象,请参阅 A mazon Macie 用户指南中的为您的账户配置自动敏感数据发现