評估與馬西埃發現 AWS Security Hub - Amazon Macie

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

評估與馬西埃發現 AWS Security Hub

AWS Security Hub 是一項服務,可讓您全面了解您的安全狀態 AWS 環境並協助您根據安全性產業標準和最佳實務來檢查您的環境。它部分是通過消費,聚合,組織和優先級來自多個發現的結果來實現 AWS 服務 和支持 AWS Partner Network 安全解決方案。Security Hub 可協助您分析安全性趨勢,並找出最優先順序的安全性問題。使用 Security Hub,您也可以彙總來自多個發現項目 AWS 區域,然後評估並處理來自單一「區域」的所有彙總發現項目資料。若要深入了解資訊 Security Hub,請參閱 AWS Security Hub 使用者指南

Amazon Macie 與 Security Hub 集成,這意味著您可以將發現從 Macie 發布到 Security Hub 自動。Security Hub 接著可將這些問題清單納入其安全狀態的分析中。此外,您可以使用 Security Hub 來評估和處理原則和敏感資料發現項目,作為一組較大、彙總的發現項目資料的一部分 AWS 環境。換句話說,您可以評估 Macie 發現項目,同時對組織的安全性狀態執行更廣泛的分析,並視需要修復發現項目。Security Hub 可降低處理來自多個提供者之大量發現項目的複雜性。此外,它使用標準格式來處理所有發現項目,包括來自 Macie 的發現項目。使用此格式,AWS 安全性查找格式(ASFF),無需您執行耗時的數據轉換工作。

如何馬西發布調查結果 AWS Security Hub

In (入) AWS Security Hub,安全性問題會追蹤為發現項目。一些發現來自由檢測到的問題 AWS 服務,如 Amazon Macie,或通過支持 AWS Partner Network 安全解決方案。Security Hub 也有一組規則,用來偵測安全問題並產生問題清單。

Security Hub 提供工具來管理所有這些來源的發現項目。您可以檢閱和篩選發現項目清單,並檢閱個別發現項目的詳細資訊。若要瞭解如何進行,請參閱檢閱尋找結果記錄和尋找詳細資料 AWS Security Hub 使用者指南。您也可以追蹤問題清單的調查狀態。若要瞭解如何進行,請參閱設定發現項目的工作流程狀態 AWS Security Hub 使用者指南

安全中心中的所有發現項目都使用稱為 JSON AWS 安全性搜尋結果格式 (ASFF) 。ASFF包含有關問題來源、受影響資源以及發現項目目前狀態的詳細資訊。如需詳細資訊,請參閱 AWS 安全性發現格式 (ASFF) AWS Security Hub 使用者指南

Macie 發佈到 Security Hub 的發現項目類型

根據您為 Macie 帳戶選擇的發行設定,Macie 可以將它建立的所有發現項目發佈到 Security Hub,包括敏感資料發現項目和原則發現項目。如需有關這些設定及如何變更這些設定的資訊,請參閱設定調查結果的發佈設定。根據預設,Macie 只會將新的和更新的原則發現發現發現發現發佈到 Security Hub Macie 不會將敏感資料發現項目發佈到 Security Hub。

敏感資料發現

如果您將 Macie 設定為將敏感資料發現項目發佈至 Security Hub,Macie 會自動發佈為您的帳戶建立的每個敏感資料發現項目,並在處理完尋找項目後立即發佈。Macie 會針對未由抑制規則自動封存的所有敏感資料發現項目執行此動作。

如果您是組織的 Macie 管理員,則發佈僅限於您執行之敏感資料探索工作的發現項目,以及 Macie 為您的組織執行的自動化敏感資料探索活動。只有建立工作的帳戶才能發佈工作產生的機密資料發現項目。只有 Macie 管理員帳戶可以發佈自動化敏感資料探索為其組織產生的敏感資料發現項目。

當 Macie 發布敏感數據發現到 Security Hub,它使用 AWS 安全性發現格式 (ASFF),這是安全性中心中所有發現項目的標準格式。在中ASFF,Types欄位會指出發現項目的類型。此欄位使用的分類法與 Macie 中尋找類型分類法略有不同。

下表列出 Macie 可建立之ASFF每種類型之機密資料發現項目的尋找項目類型。

馬西查找類型 ASFF尋找類型

SensitiveData:S3Object/Credentials

Sensitive Data Identifications/Passwords/SensitiveData:S3Object-Credentials

SensitiveData:S3Object/CustomIdentifier

Sensitive Data Identifications/PII/SensitiveData:S3Object-CustomIdentifier

SensitiveData:S3Object/Financial

Sensitive Data Identifications/Financial/SensitiveData:S3Object-Financial

SensitiveData:S3Object/Multiple

Sensitive Data Identifications/PII/SensitiveData:S3Object-Multiple

SensitiveData:S3Object/Personal

Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal

政策結果

如果您將 Macie 設定為將原則發現項目發佈至 Security Hub,Macie 會自動發佈它建立的每個新原則發現項目,並在完成處理發現項目後立即發佈。如果 Macie 偵測到後續發生的現有原則發現項目,它會使用您為帳戶指定的發佈頻率,自動將更新發佈至 Security Hub 中的現有發現項目。Macie 會針對所有未由抑制規則自動封存的原則發現項目執行這些工作。

如果您是組織的 Macie 系統管理員,則發佈僅限於您帳戶直接擁有之 S3 儲存貯體的政策發現項目。Macie 不會發佈它為組織中的成員帳戶建立或更新的政策發現項目。這有助於確保安全中心中沒有重複的發現項目資料。

與敏感數據發現的情況一樣,Macie 使用 AWS 安全性尋找格式 (ASFF),當它將新的和更新的原則發現項目發佈到 Security Hub。在中ASFF,Types欄位使用與 Macie 中尋找類型分類法略有不同的分類法。

下表列出 Macie 可建立之ASFF每一種原則發現項目類型的發現項目類型。如果 Macie 在 2021 年 1 月 28 日或之後在資訊安全中心中建立或更新原則發現項目,則發現項目具有「安全性中心」中的ASFFTypes欄位的下列其中一個值。

馬西查找類型 ASFF尋找類型

Policy:IAMUser/S3BlockPublicAccessDisabled

Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled

Policy:IAMUser/S3BucketEncryptionDisabled

Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketEncryptionDisabled

Policy:IAMUser/S3BucketPublic

Effects/Data Exposure/Policy:IAMUser-S3BucketPublic

Policy:IAMUser/S3BucketReplicatedExternally

Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketReplicatedExternally

Policy:IAMUser/S3BucketSharedExternally

Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedExternally

Policy:IAMUser/S3BucketSharedWithCloudFront

Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedWithCloudFront

如果 Macie 在 2021 年 1 月 28 日之前建立或上次更新原則發現項目,則發現項目具有「安全中心」中的ASFFTypes欄位的下列其中一個值:

  • Policy:IAMUser/S3BlockPublicAccessDisabled

  • Policy:IAMUser/S3BucketEncryptionDisabled

  • Policy:IAMUser/S3BucketPublic

  • Policy:IAMUser/S3BucketReplicatedExternally

  • Policy:IAMUser/S3BucketSharedExternally

上述清單中的值會直接對應至 Macie 中「尋找項目類型」(type) 欄位的值。

備註

當您在 Security Hub 中檢閱和處理原則發現項目時,請注意下列例外狀況:

  • 在某些 AWS 區域,Macie 早在 2021 年 1 月 25 日就開始使用ASFF尋找新的和更新的發現類型。

  • 如果您在 Macie 開始使用查找類型之前,在 Security Hub 中執行了策略ASFF發現 AWS 區域,發現項目ASFFTypes欄位的值將是上述清單中其中一個 Macie 尋找項目類型。它不會是前面表格中的ASFF尋找項目類型之一。對於您採取行動的政策發現而言,這是真實的 AWS Security Hub 控制台或BatchUpdateFindings操作 AWS Security Hub API.

將發現項目發佈到 Security Hub 的延遲

當 Amazon Macie 建立新政策或敏感資料尋找時,會將發現項目發佈到 AWS Security Hub 在完成處理發現之後立即。

如果 Macie 偵測到後續發生的現有原則發現項目,就會將更新發佈至現有的「Security Hub」發現項目。更新的時間取決於您為 Macie 帳戶選擇的發佈頻率。默認情況下,Macie 每 15 分鐘發布一次更新。如需詳細資訊,包括如何變更帳戶的設定,請參閱設定調查結果的發佈設定

當 Security Hub 無法使用時重試發佈

If AWS Security Hub 不可用,Amazon Macie 會建立 Security Hub 尚未收到的發現項目佇列。當系統恢復時,Macie 重試發行,直到 Security Hub 收到的發現。

更新 Security Hub 中的現有問題清單

在 Amazon Macie 發布政策發現後 AWS Security Hub,Macie 會更新發現項目,以反映任何其他發現項目或尋找項目活動。馬西這樣做只是為了政策調查結果。與原則發現的機密資料不同,都會被視為新的 (唯一)。

當 Macie 發佈更新至原則發現項目時,Macie 會更新發現項目的「更新時間」(UpdatedAt) 欄位的值。您可以使用此值來判斷 Macie 最近何時偵測到後續發生的潛在策略違規或產生發現項目的問題。

如果欄位的現有值不是尋找項目類型,Macie 也可能會更新尋找項目的 Types (Types) 欄位的ASFF值。這取決於您是否已根據安全中心中的發現採取行動。如果您尚未針對發現項目採取行動,Macie 會將欄位的值變更為適當的ASFF尋找項目類型。如果您已經對發現採取了行動,請使用 AWS Security Hub 控制台或BatchUpdateFindings操作 AWS Security Hub API,Macie 不會變更欄位的值。

馬西發現的例子 AWS Security Hub

當 Amazon Macie 發布調查結果 AWS Security Hub,它使用 AWS 安全性搜尋結果格式 (ASFF) 。這是安全中心中所有發現項目的標準格式。下列範例會使用範例資料來示範 Macie 以此格式發佈至 Security Hub 之發現項目資料的結構和性質:

在 Security Hub 中尋找敏感資料的範例

下面是一個敏感數據發現 Macie 發佈到 Security Hub 使用ASFF.

{ "SchemaVersion": "2018-10-08", "Id": "5be50fce24526e670df77bc00example", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie", "ProductName": "Macie", "CompanyName": "Amazon", "Region": "us-east-1", "GeneratorId": "aws/macie", "AwsAccountId": "111122223333", "Types":[ "Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal" ], "CreatedAt": "2022-05-11T10:23:49.667Z", "UpdatedAt": "2022-05-11T10:23:49.667Z", "Severity": { "Label": "HIGH", "Normalized": 70 }, "Title": "The S3 object contains personal information.", "Description": "The object contains personal information such as first or last names, addresses, or identification numbers.", "ProductFields": { "JobArn": "arn:aws:macie2:us-east-1:111122223333:classification-job/698e99c283a255bb2c992feceexample", "S3Object.Path": "amzn-s3-demo-bucket/2022 Sourcing.tsv", "S3Object.Extension": "tsv", "S3Bucket.effectivePermission": "NOT_PUBLIC", "OriginType": "SENSITIVE_DATA_DISCOVERY_JOB", "S3Object.PublicAccess": "false", "S3Object.Size": "14", "S3Object.StorageClass": "STANDARD", "S3Bucket.allowsUnencryptedObjectUploads": "TRUE", "JobId": "698e99c283a255bb2c992feceexample", "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/5be50fce24526e670df77bc00example", "aws/securityhub/ProductName": "Macie", "aws/securityhub/CompanyName": "Amazon" }, "Resources": [ { "Type": "AwsS3Bucket", "Id": "arn:aws:s3:::amzn-s3-demo-bucket", "Partition": "aws", "Region": "us-east-1", "Details": { "AwsS3Bucket": { "OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example", "OwnerName": "johndoe", "OwnerAccountId": "444455556666", "CreatedAt": "2020-12-30T18:16:25.000Z", "ServerSideEncryptionConfiguration": { "Rules": [ { "ApplyServerSideEncryptionByDefault": { "SSEAlgorithm": "aws:kms", "KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } } ] }, "PublicAccessBlockConfiguration": { "BlockPublicAcls": true, "BlockPublicPolicy": true, "IgnorePublicAcls": true, "RestrictPublicBuckets": true } } } }, { "Type": "AwsS3Object", "Id": "arn:aws:s3:::amzn-s3-demo-bucket/2022 Sourcing.tsv", "Partition": "aws", "Region": "us-east-1", "DataClassification": { "DetailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/111122223333/Macie/us-east-1/ 698e99c283a255bb2c992feceexample/111122223333/32b8485d-4f3a-3aa1-be33-aa3f0example.jsonl.gz", "Result":{ "MimeType": "text/tsv", "SizeClassified": 14, "AdditionalOccurrences": false, "Status": { "Code": "COMPLETE" }, "SensitiveData": [ { "Category": "PERSONAL_INFORMATION", "Detections": [ { "Count": 1, "Type": "USA_SOCIAL_SECURITY_NUMBER", "Occurrences": { "Cells": [ { "Column": 10, "Row": 1, "ColumnName": "Other" } ] } } ], "TotalCount": 1 } ], "CustomDataIdentifiers": { "Detections": [ ], "TotalCount": 0 } } }, "Details": { "AwsS3Object": { "LastModified": "2022-04-22T18:16:46.000Z", "ETag": "ebe1ca03ee8d006d457444445example", "VersionId": "SlBC72z5hArgexOJifxw_IN57example", "ServerSideEncryption": "aws:kms", "SSEKMSKeyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } } } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "HIGH" }, "Types": [ "Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal" ] }, "Sample": false, "ProcessedAt": "2022-05-11T10:23:49.667Z" }

資訊安全中心中的原則尋找範例

下面ASFF是一個新的策略發現,Macie 發佈到安全中心的示例。

{ "SchemaVersion": "2018-10-08", "Id": "36ca8ba0-caf1-4fee-875c-37760example", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie", "ProductName": "Macie", "CompanyName": "Amazon", "Region": "us-east-1", "GeneratorId": "aws/macie", "AwsAccountId": "111122223333", "Types": [ "Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled" ], "CreatedAt": "2022-04-24T09:27:43.313Z", "UpdatedAt": "2022-04-24T09:27:43.313Z", "Severity": { "Label": "HIGH", "Normalized": 70 }, "Title": "Block Public Access settings are disabled for the S3 bucket", "Description": "All Amazon S3 block public access settings are disabled for the Amazon S3 bucket. Access to the bucket is controlled only by access control lists (ACLs) or bucket policies.", "ProductFields": { "S3Bucket.effectivePermission": "NOT_PUBLIC", "S3Bucket.allowsUnencryptedObjectUploads": "FALSE", "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/36ca8ba0-caf1-4fee-875c-37760example", "aws/securityhub/ProductName": "Macie", "aws/securityhub/CompanyName": "Amazon" }, "Resources": [ { "Type": "AwsS3Bucket", "Id": "arn:aws:s3:::amzn-s3-demo-bucket", "Partition": "aws", "Region": "us-east-1", "Tags": { "Team": "Recruiting", "Division": "HR" }, "Details": { "AwsS3Bucket": { "OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example", "OwnerName": "johndoe", "OwnerAccountId": "444455556666", "CreatedAt": "2020-11-25T18:24:38.000Z", "ServerSideEncryptionConfiguration": { "Rules": [ { "ApplyServerSideEncryptionByDefault": { "SSEAlgorithm": "aws:kms", "KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } } ] }, "PublicAccessBlockConfiguration": { "BlockPublicAcls": false, "BlockPublicPolicy": false, "IgnorePublicAcls": false, "RestrictPublicBuckets": false } } } } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "HIGH" }, "Types": [ "Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled" ] }, "Sample": false }

整合麥西與 AWS Security Hub

要整合 Amazon Macie 與 AWS Security Hub,為您的啟用 Security Hub AWS 帳戶。 若要了解如何進行,請參閱啟用安全中心 AWS Security Hub 使用者指南

當您同時啟用 Macie 和 Security Hub 時,整合會自動啟用。根據預設,Macie 會開始自動將新的和更新的原則發現項目發佈到 Security Hub。您不需要採取其他步驟即可設定整合。如果您在啟用整合時有現有的原則發現項目,Macie 不會將它們發佈到 Security Hub。而是,Macie 只會在啟用整合後發佈它所建立或更新的原則發現項目。

您可以選擇性地自訂組態,方法是選擇在 Security Hub 中將更新發佈至原則發現項目的更新頻率。您也可以選擇將敏感資料發現項目發佈到 Security Hub。如要瞭解如何作業,請參閱設定調查結果的發佈設定

停止發布馬西研究結果 AWS Security Hub

停止將 Amazon Macie 發現發布到 AWS Security Hub,您可以變更 Macie 帳戶的發佈設定。如要瞭解如何作業,請參閱選擇調查結果的發佈目的地。您也可以使用 Security Hub 來執行此操作。若要瞭解如何進行,請參閱停用中的整合中的發現項目流程 AWS Security Hub 使用者指南