本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
評估與馬西埃發現 AWS Security Hub
AWS Security Hub 是一項服務,可讓您全面檢視整個 AWS 環境的安全性狀態,並協助您根據安全性產業標準和最佳實務來檢查您的環境。它部分是通過消耗,聚合,組織和優先級從多個和支持的 AWS Partner Network 安全解決方案 AWS 服務 的發現。Security Hub 可協助您分析安全性趨勢,並找出最優先順序的安全性問題。使用 Security Hub,您也可以彙總多個發現項目 AWS 區域,然後評估並處理來自單一區域的所有彙總發現項目資料。若要進一步了解資訊 Security Hub,請參閱使AWS Security Hub 用者指南。
Amazon Macie 與 Security Hub 集成,這意味著您可以將發現從 Macie 發布到 Security Hub 自動。Security Hub 接著可將這些問題清單納入其安全狀態的分析中。此外,您可以使用 Security Hub 來評估和處理原則和敏感資料發現項目,作為 AWS 環境中較大、彙總的發現項目資料集的一部分。換句話說,您可以評估 Macie 發現項目,同時對組織的安全性狀態執行更廣泛的分析,並視需要修復發現項目。Security Hub 可降低處理來自多個提供者之大量發現項目的複雜性。此外,它使用標準格式來處理所有發現項目,包括來自 Macie 的發現項目。使用此格式,即「AWS 安全性發現格式」(ASFF),您無需執行耗時的資料轉換工作。
主題
如何馬西發布調查結果 AWS Security Hub
在中 AWS Security Hub,會將安全性問題視為發現項目來追蹤 有些發現來自 Amazon Macie 或受支援的 AWS Partner Network 安全解決方案偵測到的問題。 AWS 服務 Security Hub 也有一組規則,用來偵測安全問題並產生問題清單。
Security Hub 提供工具來管理所有這些來源的發現項目。您可以檢閱和篩選發現項目清單,並檢閱個別發現項目的詳細資訊。若要瞭解操作方式,請參閱AWS Security Hub 使用指南中的檢閱尋找項目記錄和尋找詳細資料 您也可以追蹤問題清單的調查狀態。若要瞭解如何操作,請參閱《AWS Security Hub 使用指南》中的設定發現項目的工作流程狀態
安全中心中的所有發現項目都使用稱為AWS 安全性發現格式 (ASFF) 的標準JSON格式。ASFF包含有關問題來源、受影響的資源以及發現項目目前狀態的詳細資訊。若要取得更多資訊,請參閱《AWS Security Hub 使用指南》中的〈AWS 安全性尋找格式 (ASFF)〉
Macie 發佈到 Security Hub 的發現項目類型
根據您為 Macie 帳戶選擇的發行設定,Macie 可以將它建立的所有發現項目發佈到 Security Hub,包括敏感資料發現項目和原則發現項目。如需有關這些設定及如何變更這些設定的資訊,請參閱設定發現項目的發行設定。根據預設,Macie 只會將新的和更新的原則發現發現發現發現發佈到 Security Hub Macie 不會將敏感資料發現項目發佈到 Security Hub。
敏感資料發現
如果您將 Macie 設定為將敏感資料發現項目發佈至 Security Hub,Macie 會自動發佈為您的帳戶建立的每個敏感資料發現項目,並在處理完尋找項目後立即發佈。Macie 會針對未由抑制規則自動封存的所有敏感資料發現項目執行此動作。
如果您是組織的 Macie 管理員,則發佈僅限於您執行之敏感資料探索工作的發現項目,以及 Macie 為您的組織執行的自動化敏感資料探索活動。只有建立工作的帳戶才能發佈工作產生的機密資料發現項目。只有 Macie 管理員帳戶可以發佈自動化敏感資料探索為其組織產生的敏感資料發現項目。
當 Macie 將敏感資料發現項目發佈到 Security Hub 時,它會使用AWS
安全性尋找格式 (ASFF),這是安全性中心中所有發現項目的標準格式。在中ASFF,Types欄位會指出發現項目的類型。此欄位使用的分類法與 Macie 中尋找類型分類法略有不同。
下表列出 Macie 可建立之ASFF每種類型之機密資料發現項目的尋找項目類型。
| 馬西查找類型 | ASFF尋找類型 |
|---|---|
SensitiveData:S3Object/Credentials |
Sensitive Data Identifications/Passwords/SensitiveData:S3Object-Credentials |
SensitiveData:S3Object/CustomIdentifier |
Sensitive Data Identifications/PII/SensitiveData:S3Object-CustomIdentifier |
|
SensitiveData:S3Object/Financial |
Sensitive Data Identifications/Financial/SensitiveData:S3Object-Financial |
SensitiveData:S3Object/Multiple |
Sensitive Data Identifications/PII/SensitiveData:S3Object-Multiple |
|
SensitiveData:S3Object/Personal |
Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal |
政策結果
如果您將 Macie 設定為將原則發現項目發佈至 Security Hub,Macie 會自動發佈它建立的每個新原則發現項目,並在完成處理發現項目後立即發佈。如果 Macie 偵測到後續發生的現有原則發現項目,它會使用您為帳戶指定的發佈頻率,自動將更新發佈至 Security Hub 中的現有發現項目。Macie 會針對所有未由抑制規則自動封存的原則發現項目執行這些工作。
如果您是組織的 Macie 系統管理員,則發佈僅限於您帳戶直接擁有之 S3 儲存貯體的政策發現項目。Macie 不會發佈它為組織中的成員帳戶建立或更新的政策發現項目。這有助於確保安全中心中沒有重複的發現項目資料。
與敏感資料發現的情況一樣,Macie 會在將新的和更新的原則發現項目發佈到 AWS Security Hub 時使用安全性尋找格式 (ASFF)。在中ASFF,Types欄位使用與 Macie 中尋找類型分類法略有不同的分類法。
下表列出 Macie 可建立之ASFF每一種原則發現項目類型的發現項目類型。如果 Macie 在 2021 年 1 月 28 日或之後在資訊安全中心中建立或更新原則發現項目,則發現項目具有「安全性中心」中的ASFFTypes欄位的下列其中一個值。
| 馬西查找類型 | ASFF尋找類型 |
|---|---|
|
Policy:IAMUser/S3BlockPublicAccessDisabled |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled |
Policy:IAMUser/S3BucketEncryptionDisabled |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketEncryptionDisabled |
|
Policy:IAMUser/S3BucketPublic |
Effects/Data Exposure/Policy:IAMUser-S3BucketPublic |
Policy:IAMUser/S3BucketReplicatedExternally |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketReplicatedExternally |
|
Policy:IAMUser/S3BucketSharedExternally |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedExternally |
|
Policy:IAMUser/S3BucketSharedWithCloudFront |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedWithCloudFront |
如果 Macie 在 2021 年 1 月 28 日之前建立或上次更新原則發現項目,則發現項目具有「安全中心」中的ASFFTypes欄位的下列其中一個值:
-
Policy:IAMUser/S3BlockPublicAccessDisabled
-
Policy:IAMUser/S3BucketEncryptionDisabled
-
Policy:IAMUser/S3BucketPublic
-
Policy:IAMUser/S3BucketReplicatedExternally
-
Policy:IAMUser/S3BucketSharedExternally
上述清單中的值會直接對應至 Macie 中「尋找項目類型」(type) 欄位的值。
備註
當您在 Security Hub 中檢閱和處理原則發現項目時,請注意下列例外狀況:
-
在某些情況下 AWS 區域,Macie 早在 2021 年 1 月 25 日就開始為新的和更新的發現使用ASFF查找類型。
-
如果您在 Macie 開始使用您的尋找類型之前,在 Security Hub 中執行原則ASFF尋找動作 AWS 區域,則發現項目ASFF
Types欄位的值將會是上述清單中其中一個 Macie 尋找類型。它不會是前面表格中的ASFF尋找項目類型之一。對於您使用 AWS Security Hub 主控台或的BatchUpdateFindings作業採取行動的策略發現項目,這是正確的 AWS Security Hub API。
將發現項目發佈到 Security Hub 的延遲
Amazon Macie 建立新政策或敏感資料尋找時,它會在完成尋找處理後 AWS Security Hub 立即將發現發現發現發現發佈到。
如果 Macie 偵測到後續發生的現有原則發現項目,就會將更新發佈至現有的「Security Hub」發現項目。更新的時間取決於您為 Macie 帳戶選擇的發佈頻率。默認情況下,Macie 每 15 分鐘發布一次更新。如需詳細資訊,包括如何變更帳戶的設定,請參閱設定發現項目的發行設定。
當 Security Hub 無法使用時重試發佈
如果 AWS Security Hub 無法使用,Amazon Macie 會建立 Security Hub 尚未收到的發現項目佇列。當系統恢復時,Macie 重試發行,直到 Security Hub 收到的發現。
更新 Security Hub 中的現有問題清單
Amazon Macie 將 AWS Security Hub政策發現發現發現發現發現項目發現更新以反映任何其他發現項目或發現活動。馬西這樣做只是為了政策調查結果。與原則發現的機密資料不同,都會被視為新的 (唯一)。
當 Macie 發佈更新至原則發現項目時,Macie 會更新發現項目的「更新時間」(UpdatedAt) 欄位的值。您可以使用此值來判斷 Macie 最近何時偵測到後續發生的潛在策略違規或產生發現項目的問題。
如果欄位的現有值不是尋找項目類型,Macie 也可能會更新尋找項目的 Types (Types) 欄位的ASFF值。這取決於您是否已根據安全中心中的發現採取行動。如果您尚未針對發現項目採取行動,Macie 會將欄位的值變更為適當的ASFF尋找項目類型。如果您已經使用 AWS Security Hub 主控台或的BatchUpdateFindings作業來處理發現項目 AWS Security Hub API,Macie 不會變更欄位的值。
馬西發現的例子 AWS Security Hub
Amazon Macie 將發現項目發佈到時 AWS Security Hub,它會使用AWS 安全性尋找格式 (ASFF)。這是安全中心中所有發現項目的標準格式。下列範例會使用範例資料來示範 Macie 以此格式發佈至 Security Hub 之發現項目資料的結構和性質:
在 Security Hub 中尋找敏感資料的範例
下面是一個敏感數據發現 Macie 發佈到 Security Hub 使用ASFF.
{
"SchemaVersion": "2018-10-08",
"Id": "5be50fce24526e670df77bc00example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types":[
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
],
"CreatedAt": "2022-05-11T10:23:49.667Z",
"UpdatedAt": "2022-05-11T10:23:49.667Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "The S3 object contains personal information.",
"Description": "The object contains personal information such as first or last names, addresses, or identification numbers.",
"ProductFields": {
"JobArn": "arn:aws:macie2:us-east-1:111122223333:classification-job/698e99c283a255bb2c992feceexample",
"S3Object.Path": "amzn-s3-demo-bucket/2022 Sourcing.tsv",
"S3Object.Extension": "tsv",
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"OriginType": "SENSITIVE_DATA_DISCOVERY_JOB",
"S3Object.PublicAccess": "false",
"S3Object.Size": "14",
"S3Object.StorageClass": "STANDARD",
"S3Bucket.allowsUnencryptedObjectUploads": "TRUE",
"JobId": "698e99c283a255bb2c992feceexample",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/5be50fce24526e670df77bc00example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-12-30T18:16:25.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"BlockPublicPolicy": true,
"IgnorePublicAcls": true,
"RestrictPublicBuckets": true
}
}
}
},
{
"Type": "AwsS3Object",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket/2022 Sourcing.tsv",
"Partition": "aws",
"Region": "us-east-1",
"DataClassification": {
"DetailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/111122223333/Macie/us-east-1/
698e99c283a255bb2c992feceexample/111122223333/32b8485d-4f3a-3aa1-be33-aa3f0example.jsonl.gz",
"Result":{
"MimeType": "text/tsv",
"SizeClassified": 14,
"AdditionalOccurrences": false,
"Status": {
"Code": "COMPLETE"
},
"SensitiveData": [
{
"Category": "PERSONAL_INFORMATION",
"Detections": [
{
"Count": 1,
"Type": "USA_SOCIAL_SECURITY_NUMBER",
"Occurrences": {
"Cells": [
{
"Column": 10,
"Row": 1,
"ColumnName": "Other"
}
]
}
}
],
"TotalCount": 1
}
],
"CustomDataIdentifiers": {
"Detections": [
],
"TotalCount": 0
}
}
},
"Details": {
"AwsS3Object": {
"LastModified": "2022-04-22T18:16:46.000Z",
"ETag": "ebe1ca03ee8d006d457444445example",
"VersionId": "SlBC72z5hArgexOJifxw_IN57example",
"ServerSideEncryption": "aws:kms",
"SSEKMSKeyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
]
},
"Sample": false,
"ProcessedAt": "2022-05-11T10:23:49.667Z"
}資訊安全中心中的原則尋找範例
下面ASFF是一個新的策略發現,Macie 發佈到安全中心的示例。
{
"SchemaVersion": "2018-10-08",
"Id": "36ca8ba0-caf1-4fee-875c-37760example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
],
"CreatedAt": "2022-04-24T09:27:43.313Z",
"UpdatedAt": "2022-04-24T09:27:43.313Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "Block Public Access settings are disabled for the S3 bucket",
"Description": "All Amazon S3 block public access settings are disabled for the Amazon S3 bucket. Access to the bucket is
controlled only by access control lists (ACLs) or bucket policies.",
"ProductFields": {
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"S3Bucket.allowsUnencryptedObjectUploads": "FALSE",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/36ca8ba0-caf1-4fee-875c-37760example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Tags": {
"Team": "Recruiting",
"Division": "HR"
},
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-11-25T18:24:38.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": false,
"BlockPublicPolicy": false,
"IgnorePublicAcls": false,
"RestrictPublicBuckets": false
}
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
]
},
"Sample": false
}整合麥西與 AWS Security Hub
若要整合 Amazon Macie 與 AWS Security Hub, 啟用 Security Hub 為您 AWS 帳戶. 若要瞭解如何進行,請參閱使AWS Security Hub 用者指南中的啟用安全性中樞。
當您同時啟用 Macie 和 Security Hub 時,整合會自動啟用。根據預設,Macie 會開始自動將新的和更新的原則發現項目發佈到 Security Hub。您不需要採取其他步驟即可設定整合。如果您在啟用整合時有現有的原則發現項目,Macie 不會將它們發佈到 Security Hub。而是,Macie 只會在啟用整合後發佈它所建立或更新的原則發現項目。
您可以選擇性地自訂組態,方法是選擇在 Security Hub 中將更新發佈至原則發現項目的更新頻率。您也可以選擇將敏感資料發現項目發佈到 Security Hub。如要瞭解如何作業,請參閱設定發現項目的發行設定。
停止發布馬西研究結果 AWS Security Hub
若要停止將 Amazon Macie 發現發佈到 AWS Security Hub,您可以變更 Macie 帳戶的發佈設定。如要瞭解如何作業,請參閱選擇發現項目的地。您也可以使用安全中心主控台或資訊安全中心來執行此操作API。若要瞭解如何進行,請參閱AWS Security Hub 使用指南中的〈停用和啟用整合 (主控台) 的發現項目流程或停用整合中的發現項目流程 (Security Hub API AWS CLI)〉。
