本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 評估 Macie 調查結果 AWS Security Hub CSPM
AWS Security Hub CSPM 是一項服務,可讓您全面檢視整個 AWS 環境的安全狀態,並協助您根據安全產業標準和最佳實務檢查環境。它透過取用、彙總、組織和排定來自多個 AWS 服務 和支援 AWS Partner Network 之安全解決方案的問題清單的優先順序,進行部分操作。Security Hub CSPM 可協助您分析安全趨勢,並識別最高優先順序的安全問題。使用 Security Hub CSPM,您也可以彙總多個調查結果 AWS 區域,然後評估和處理來自單一區域的所有彙總調查結果資料。若要進一步了解 Security Hub CSPM,請參閱 [AWS Security Hub 使用者指南](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)。
Amazon Macie 與 Security Hub CSPM 整合,這表示您可以將問題清單從 Macie 自動發佈到 Security Hub CSPM。然後,Security Hub CSPM 可以在分析您的安全狀態時包含這些調查結果。此外,您可以使用 Security Hub CSPM 來評估和處理政策和敏感資料問題清單,作為您 AWS 環境較大、彙總問題清單資料集的一部分。換句話說,您可以評估 Macie 問題清單,同時對組織的安全狀態執行更廣泛的分析,並視需要修復問題清單。Security Hub CSPM 可降低處理來自多個供應商大量調查結果的複雜性。此外,它對所有問題清單使用標準格式,包括 Macie 的問題清單。使用此格式是*AWS 安全調查結果格式 (ASFF)*,您不需要執行耗時的資料轉換工作。
**Topics**
+ [Macie 如何將問題清單發佈至 Security Hub CSPM](#securityhub-integration-sending-findings)
+ [Security Hub CSPM 中的 Macie 調查結果範例](#securityhub-integration-finding-example)
+ [將 Macie 與 Security Hub CSPM 整合](#securityhub-integration-enable)
+ [停止將 Macie 問題清單發佈至 Security Hub CSPM](#securityhub-integration-disable)
## Macie 如何發佈問題清單至 AWS Security Hub CSPM
在 中 AWS Security Hub CSPM,安全問題會追蹤為問題清單。有些問題清單來自 偵測到的問題 AWS 服務,例如 Amazon Macie,或受支援 AWS Partner Network 的安全解決方案。Security Hub CSPM 也有一組規則,可用來偵測安全問題並產生問題清單。
Security Hub CSPM 提供工具來管理所有這些來源的問題清單。您可以檢閱和篩選問題清單,並檢閱個別問題清單的詳細資訊。若要了解如何進行,請參閱*AWS Security Hub 《 使用者指南*》中的[檢閱問題清單歷史記錄和詳細資訊](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-viewing.html)。您也可以追蹤問題清單的調查狀態。若要了解如何進行,請參閱*AWS Security Hub 《 使用者指南*》中的[設定問題清單的工作流程狀態](https://docs.aws.amazon.com/securityhub/latest/userguide/findings-workflow-status.html)。
所有 Security Hub CSPM 中的調查結果都使用稱為 *AWS 安全調查結果格式 (ASFF)* 的標準 JSON 格式。ASFF 包含問題來源、受影響資源,以及問題清單目前狀態的詳細資訊。請參閱《*AWS Security Hub 使用者指南*》中的 [AWS 安全問題清單格式 (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html)。
### Macie 發佈至 Security Hub CSPM 的問題清單類型
根據您為 Macie 帳戶選擇的發佈設定,Macie 可以將其建立的所有調查結果發佈至 Security Hub CSPM,包括敏感資料調查結果和政策調查結果。如需這些設定以及如何變更設定的資訊,請參閱 [設定問題清單的發佈設定](findings-publish-frequency.md)。根據預設,Macie 只會將新的和更新的政策調查結果發佈至 Security Hub CSPM。Macie 不會將敏感資料調查結果發佈至 Security Hub CSPM。
#### 敏感資料調查結果
如果您設定 Macie 將[敏感資料調查結果](findings-types.md#findings-sensitive-data-types)發佈到 Security Hub CSPM,Macie 會自動發佈它為您的帳戶建立的每個敏感資料調查結果,並在它完成處理調查結果後立即這樣做。Macie 會針對未被[禁止規則](findings-suppression.md)自動封存的所有敏感資料調查結果執行此操作。
如果您是組織的 Macie 管理員,則發佈僅限於您執行之敏感資料探索任務的調查結果,以及 Macie 為組織執行的自動化敏感資料探索活動。只有建立任務的帳戶可以發佈任務產生的敏感資料調查結果。只有 Macie 管理員帳戶可以發佈自動化敏感資料探索為其組織產生的敏感資料調查結果。
當 Macie 將敏感資料調查結果發佈至 Security Hub CSPM 時,會使用 [AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html),這是 Security Hub CSPM 中所有調查結果的標準格式。在 ASFF 中, `Types` 欄位表示調查結果的類型。此欄位使用的分類與 Macie 中的調查結果類型分類略有不同。
下表列出 Macie 可以建立之每種敏感資料調查結果的 ASFF 調查結果類型。
| Macie 調查結果類型 | ASFF 問題清單類型 |
| --- | --- |
| SensitiveData:S3Object/Credentials | Sensitive Data Identifications/Passwords/SensitiveData:S3Object-Credentials |
| SensitiveData:S3Object/CustomIdentifier | Sensitive Data Identifications/PII/SensitiveData:S3Object-CustomIdentifier |
| SensitiveData:S3Object/Financial | Sensitive Data Identifications/Financial/SensitiveData:S3Object-Financial |
| SensitiveData:S3Object/Multiple | Sensitive Data Identifications/PII/SensitiveData:S3Object-Multiple |
| SensitiveData:S3Object/Personal | Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal |
#### 政策調查結果
如果您設定 Macie 將[政策調查結果](findings-types.md#findings-policy-types)發佈到 Security Hub CSPM,Macie 會自動發佈其建立的每個新政策調查結果,並在它完成處理調查結果後立即這樣做。如果 Macie 偵測到現有政策調查結果的後續出現,它會使用您為帳戶指定的發佈頻率,自動發佈更新至 Security Hub CSPM 中的現有調查結果。Macie 會對未由[禁止規則](findings-suppression.md)自動封存的所有政策調查結果執行這些任務。
如果您是組織的 Macie 管理員,則發佈僅限於您的 帳戶直接擁有的 S3 儲存貯體的政策調查結果。Macie 不會發佈其為組織中的成員帳戶建立或更新的政策調查結果。這有助於確保您在 Security Hub CSPM 中沒有重複的問題清單資料。
如同敏感資料調查結果的情況,Macie 會在將新的和更新的政策調查結果發佈至 Security Hub CSPM 時使用 AWS 安全調查結果格式 (ASFF)。在 ASFF 中, `Types` 欄位使用與 Macie 中調查結果類型分類略有不同的分類。
下表列出 Macie 可以建立之每種政策調查結果的 ASFF 調查結果類型。如果 Macie 在 2021 年 1 月 28 日或之後在 Security Hub CSPM 中建立或更新政策調查結果,則該調查結果具有下列其中一個適用於 Security Hub CSPM 中 ASFF `Types` 欄位的值。
| Macie 調查結果類型 | ASFF 問題清單類型 |
| --- | --- |
| Policy:IAMUser/S3BlockPublicAccessDisabled | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled |
| Policy:IAMUser/S3BucketEncryptionDisabled | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketEncryptionDisabled |
| Policy:IAMUser/S3BucketPublic | Effects/Data Exposure/Policy:IAMUser-S3BucketPublic |
| Policy:IAMUser/S3BucketReplicatedExternally | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketReplicatedExternally |
| Policy:IAMUser/S3BucketSharedExternally | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedExternally |
| Policy:IAMUser/S3BucketSharedWithCloudFront | Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedWithCloudFront |
如果 Macie 在 2021 年 1 月 28 日之前建立或上次更新政策調查結果,則該調查結果在 Security Hub CSPM 中的 ASFF `Types` 欄位具有下列其中一個值:
+ Policy:IAMUser/S3BlockPublicAccessDisabled
+ Policy:IAMUser/S3BucketEncryptionDisabled
+ Policy:IAMUser/S3BucketPublic
+ Policy:IAMUser/S3BucketReplicatedExternally
+ Policy:IAMUser/S3BucketSharedExternally
上述清單中的值會直接對應至 Macie 中**問題清單類型** (`type`) 欄位的值。
**備註**
當您檢閱和處理 Security Hub CSPM 中的政策調查結果時,請注意下列例外狀況:
當然 AWS 區域,Macie 最早會在 2021 年 1 月 25 日開始將 ASFF 調查結果類型用於新的和更新的調查結果。
如果您在 Macie 開始在 中使用 ASFF 調查結果類型之前,對 Security Hub CSPM 中的政策調查結果採取行動 AWS 區域,調查結果的 ASFF `Types` 欄位的值將是上述清單中的 Macie 調查結果類型之一。它不會是上表中其中一個 ASFF 調查結果類型。對於您使用 AWS Security Hub CSPM 主控台或 API `BatchUpdateFindings`操作執行的政策調查結果, AWS Security Hub CSPM 這是如此。
### 將問題清單發佈至 Security Hub CSPM 的延遲
當 Amazon Macie 建立新的政策或敏感資料調查結果時,它會在完成處理調查結果 AWS Security Hub CSPM 後立即將調查結果發佈至 。
如果 Macie 偵測到現有政策調查結果的後續出現,則會將更新發佈至 Security Hub CSPM 中的現有調查結果。更新的時間取決於您為 Macie 帳戶選擇的發佈頻率。根據預設,Macie 每 15 分鐘發佈一次更新。如需詳細資訊,包括如何變更帳戶的設定,請參閱 [設定問題清單的發佈設定](findings-publish-frequency.md)。
### 無法使用 Security Hub CSPM 時重試發佈
如果 AWS Security Hub CSPM 無法使用,Amazon Macie 會建立 Security Hub CSPM 尚未收到的問題清單佇列。當系統還原時,Macie 會重試發佈,直到 Security Hub CSPM 收到問題清單為止。
### 更新 Security Hub CSPM 中的現有調查結果
Amazon Macie 發佈政策調查結果到 之後 AWS Security Hub CSPM,Macie 會更新調查結果,以反映調查結果或調查結果活動的任何其他出現情況。Macie 只會針對政策調查結果執行此操作。Macie 不會更新 Security Hub CSPM 中的敏感資料調查結果。與政策調查結果不同,所有敏感資料調查結果都會視為新的 (唯一)。
當 Macie 發佈政策調查結果的更新時,Macie 會更新調查結果的**更新時間 **(`UpdatedAt`) 欄位的值。您可以使用此值來判斷 Macie 最近何時偵測到造成問題清單的潛在政策違規或問題的後續發生。
如果問題清單的現有值不是 [ASFF 問題清單類型,Macie 也可能會更新問題清單](#securityhub-integration-finding-types-policy)類型 ****(`Types`) 欄位的值。這取決於您是否已對 Security Hub CSPM 中的調查結果採取行動。如果您尚未對調查結果採取行動,Macie 會將欄位的值變更為適當的 ASFF 調查結果類型。如果您已對問題清單採取動作,請使用 AWS Security Hub CSPM 主控台或 AWS Security Hub CSPM API `BatchUpdateFindings`的操作,Macie 不會變更欄位的值。
## 中的 Macie 調查結果範例 AWS Security Hub CSPM
當 Amazon Macie 發佈問題清單到 時 AWS Security Hub CSPM,會使用[AWS 安全問題清單格式 (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html)。這是 Security Hub CSPM 中所有調查結果的標準格式。下列範例使用範例資料,示範 Macie 以此格式發佈至 Security Hub CSPM 之調查結果資料的結構和性質:
+ [敏感資料調查結果的範例](#securityhub-integration-finding-example-sdf)
+ [政策調查結果的範例](#securityhub-integration-finding-example-policy)
### Security Hub CSPM 中的敏感資料調查結果範例
以下是 Macie 使用 ASFF 發佈至 Security Hub CSPM 的敏感資料調查結果範例。
```
{
"SchemaVersion": "2018-10-08",
"Id": "5be50fce24526e670df77bc00example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types":[
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
],
"CreatedAt": "2022-05-11T10:23:49.667Z",
"UpdatedAt": "2022-05-11T10:23:49.667Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "The S3 object contains personal information.",
"Description": "The object contains personal information such as first or last names, addresses, or identification numbers.",
"ProductFields": {
"JobArn": "arn:aws:macie2:us-east-1:111122223333:classification-job/698e99c283a255bb2c992feceexample",
"S3Object.Path": "amzn-s3-demo-bucket/2022 Sourcing.tsv",
"S3Object.Extension": "tsv",
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"OriginType": "SENSITIVE_DATA_DISCOVERY_JOB",
"S3Object.PublicAccess": "false",
"S3Object.Size": "14",
"S3Object.StorageClass": "STANDARD",
"S3Bucket.allowsUnencryptedObjectUploads": "TRUE",
"JobId": "698e99c283a255bb2c992feceexample",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/5be50fce24526e670df77bc00example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-12-30T18:16:25.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"BlockPublicPolicy": true,
"IgnorePublicAcls": true,
"RestrictPublicBuckets": true
}
}
}
},
{
"Type": "AwsS3Object",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket/2022 Sourcing.tsv",
"Partition": "aws",
"Region": "us-east-1",
"DataClassification": {
"DetailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/111122223333/Macie/us-east-1/
698e99c283a255bb2c992feceexample/111122223333/32b8485d-4f3a-3aa1-be33-aa3f0example.jsonl.gz",
"Result":{
"MimeType": "text/tsv",
"SizeClassified": 14,
"AdditionalOccurrences": false,
"Status": {
"Code": "COMPLETE"
},
"SensitiveData": [
{
"Category": "PERSONAL_INFORMATION",
"Detections": [
{
"Count": 1,
"Type": "USA_SOCIAL_SECURITY_NUMBER",
"Occurrences": {
"Cells": [
{
"Column": 10,
"Row": 1,
"ColumnName": "Other"
}
]
}
}
],
"TotalCount": 1
}
],
"CustomDataIdentifiers": {
"Detections": [
],
"TotalCount": 0
}
}
},
"Details": {
"AwsS3Object": {
"LastModified": "2022-04-22T18:16:46.000Z",
"ETag": "ebe1ca03ee8d006d457444445example",
"VersionId": "SlBC72z5hArgexOJifxw_IN57example",
"ServerSideEncryption": "aws:kms",
"SSEKMSKeyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
]
},
"Sample": false,
"ProcessedAt": "2022-05-11T10:23:49.667Z"
}
```
### Security Hub CSPM 中的政策調查結果範例
以下是 Macie 在 ASFF 中發佈至 Security Hub CSPM 的新政策調查結果範例。
```
{
"SchemaVersion": "2018-10-08",
"Id": "36ca8ba0-caf1-4fee-875c-37760example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
],
"CreatedAt": "2022-04-24T09:27:43.313Z",
"UpdatedAt": "2022-04-24T09:27:43.313Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "Block Public Access settings are disabled for the S3 bucket",
"Description": "All Amazon S3 block public access settings are disabled for the Amazon S3 bucket. Access to the bucket is
controlled only by access control lists (ACLs) or bucket policies.",
"ProductFields": {
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"S3Bucket.allowsUnencryptedObjectUploads": "FALSE",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/36ca8ba0-caf1-4fee-875c-37760example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "us-east-1",
"Tags": {
"Team": "Recruiting",
"Division": "HR"
},
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-11-25T18:24:38.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": false,
"BlockPublicPolicy": false,
"IgnorePublicAcls": false,
"RestrictPublicBuckets": false
}
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
]
},
"Sample": false
}
```
## 將 Macie 與 整合 AWS Security Hub CSPM
若要整合 Amazon Macie 與 AWS Security Hub CSPM,請為您的 啟用 Security Hub CSPM AWS 帳戶。若要了解如何啟用,請參閱*AWS Security Hub 《 使用者指南*》中的[啟用 Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html)。
當您同時啟用 Macie 和 Security Hub CSPM 時,會自動啟用整合。根據預設,Macie 開始自動將新的和更新的政策調查結果發佈至 Security Hub CSPM。您不需要採取其他步驟來設定整合。如果您在啟用整合時有現有的政策調查結果,Macie 不會將其發佈到 Security Hub CSPM。相反地,Macie 只會發佈在啟用整合後建立或更新的政策調查結果。
您可以選擇性地自訂組態,方法是選擇 Macie 在 Security Hub CSPM 中發佈政策調查結果更新的頻率。您也可以選擇將敏感資料調查結果發佈至 Security Hub CSPM。若要了解作法,請參閱[設定問題清單的發佈設定](findings-publish-frequency.md)。
## 停止發佈 Macie 問題清單至 AWS Security Hub CSPM
若要停止發佈 Amazon Macie 調查結果至 AWS Security Hub CSPM,您可以變更 Macie 帳戶的發佈設定。若要了解作法,請參閱[選擇問題清單的發佈目的地](findings-publish-frequency.md#findings-publish-destinations-change)。您也可以使用 Security Hub CSPM 來執行此操作。若要了解如何進行,請參閱*AWS Security Hub 《 使用者指南*》中的[從 整合停用問題清單的流程](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integration-disable.html)。