Tipos de hallazgos de Macie

Amazon Macie ofrece dos categorías de resultados: resultados de políticas y datos confidenciales. La constatación de una política es un informe detallado sobre una posible infracción de la política o un problema con la seguridad o la privacidad de un depósito de uso general de Amazon Simple Storage Service (Amazon S3). Macie genera conclusiones sobre las políticas como parte de sus actividades continuas para evaluar y supervisar sus segmentos de uso general en materia de seguridad y control de acceso. Un resultado de datos confidenciales es un informe detallado de los datos confidenciales que Macie encontró en un objeto de S3. Macie recopila datos confidenciales como parte de las actividades que lleva a cabo cuando realiza tareas de descubrimiento de datos confidenciales o realiza el descubrimiento automatizado de datos confidenciales.

Dentro de cada categoría, hay tipos específicos. El tipo de resultado proporciona información sobre la naturaleza del problema o de los datos confidenciales encontrados por Macie. Los detalles de un resultado proporcionan una clasificación de gravedad, información sobre el recurso afectado y detalles adicionales, como cuándo y cómo Macie detectó el problema o los datos confidenciales. La gravedad y los detalles de cada resultado varían según el tipo y la naturaleza del resultado.

sugerencia

Para obtener información sobre los distintos tipos de resultados que proporciona Macie, puede generar ejemplos de resultados. Los resultados de los ejemplos utilizan datos de ejemplo y valores de marcador de posición para demostrar los tipos de información que puede contener cada tipo de resultado.

Tipos de resultados de políticas

Amazon Macie genera una constatación de política cuando las políticas o la configuración de un depósito de uso general de S3 se modifican de forma que se reduce la seguridad o la privacidad del depósito y de los objetos del depósito. Para obtener más información sobre cómo Macie detecta estos cambios, consulte Cómo supervisa Macie la seguridad de los datos de Amazon S3.

Macie genera un resultado de políticas solo si el cambio se produce después de activar Macie para su Cuenta de AWS. Por ejemplo, si la configuración de bloquear el acceso público está deshabilitada para un bucket de S3 después de activar Macie, Macie generará una BlockPublicAccessDisabled búsqueda de Policy: IAMUser /S3 para el bucket. Si la configuración de bloqueo de acceso público estaba deshabilitada para un bucket cuando activaste Macie y sigue inhabilitada, Macie no generará una búsqueda de Policy: IAMUser BlockPublicAccessDisabled /S3 para el bucket.

Si Macie detecta una ocurrencia posterior a un resultado de política existente, Macie actualiza el resultado existente añadiendo detalles sobre la ocurrencia posterior e incrementando el recuento de ocurrencias. Macie guarda los resultados de políticas durante 90 días.

Macie puede generar los siguientes tipos de conclusiones políticas para un bucket de uso general de S3.

Policy:IAMUser/S3BlockPublicAccessDisabled

Todas las configuraciones de acceso público en bloque a nivel de bucket para el bucket. El acceso al bucket se controla mediante la configuración de bloqueo de acceso público de la cuenta, las listas de control de acceso (ACLs) y la política del bucket.

Para obtener más información sobre la configuración del bloqueo de acceso público de los buckets de S3, consulte Configuración de los ajustes de bloqueo de acceso público para sus buckets de S3 en la Guía del usuario de Amazon Simple Storage Service.

Policy:IAMUser/S3BucketEncryptionDisabled

La configuración de cifrado predeterminada del bucket se restableció al comportamiento de cifrado predeterminado de Amazon S3, que consiste en cifrar los nuevos objetos automáticamente con una clave gestionada por Amazon S3.

A partir del 5 de enero de 2023, Amazon S3 aplica automáticamente el cifrado del lado del servidor con claves administradas de Amazon S3 (SSE-S3) como nivel base de cifrado para los objetos que se añaden a los buckets. Si lo desea, puede configurar los ajustes de cifrado predeterminados de un bucket para utilizar el cifrado del lado del servidor con una AWS KMS clave (SSE-KMS) o el cifrado de doble capa del lado del servidor con una clave (-). AWS KMS DSSE KMS Para obtener información sobre las opciones y la configuración de cifrado para buckets de S3, consulte Establecer el comportamiento del cifrado predeterminado del servidor para los bucket de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.

Si Macie generó este tipo de resultado antes del 5 de enero de 2023, el resultado indica que la configuración de cifrado predeterminada estaba deshabilitada para el bucket afectado. Esto significaba que la configuración del bucket no especificaba el comportamiento de cifrado predeterminado del lado del servidor para los objetos nuevos. Amazon S3 ya no admite la capacidad de deshabilitar la configuración de cifrado predeterminada de un bucket.

Policy:IAMUser/S3BucketPublic

Se modificó una ACL política de compartimentos para el depósito para permitir el acceso de usuarios anónimos o de todas las identidades autenticadas (). AWS Identity and Access Management IAM

Para obtener información sobre ACLs las políticas de los buckets de S3, consulte Administración de acceso en la Guía del usuario de Amazon Simple Storage Service.

Policy:IAMUser/S3BucketReplicatedExternally

La replicación se habilitó y configuró para replicar objetos del depósito en un Cuenta de AWS depósito externo a la organización (no parte de ella). Una organización es un conjunto de cuentas de Macie que se administran de forma centralizada como un grupo de cuentas relacionadas mediante AWS Organizations una invitación de Macie.

En determinadas condiciones, Macie podría generar este tipo de búsqueda para un depósito que no esté configurado para replicar objetos en un depósito externo. Cuenta de AWS Esto puede ocurrir si el bucket de destino se creó en un lugar diferente Región de AWS durante las 24 horas anteriores, después de que Macie recuperara los metadatos del bucket y del objeto de Amazon S3 como parte del ciclo de actualización diario. Para investigar el resultado, comience por actualizar los datos de su inventario. A continuación, revise los detalles del bucket. Los detalles indican si el bucket está configurado para replicar objetos en otros buckets. Si el bucket está configurado para ello, los detalles incluyen el ID de cuenta de cada cuenta propietaria de un bucket de destino.

Para obtener información acerca de las configuraciones de replicar de los buckets de S3, consulte Replicación de objetos en la Guía del usuario de Amazon Simple Storage Service.

Policy:IAMUser/S3BucketSharedExternally

Se modificó una ACL política de buckets para el bucket para permitir que el bucket se comparta con personas ajenas a la organización ( Cuenta de AWS que no formen parte de ella). Una organización es un conjunto de cuentas de Macie que se administran de forma centralizada como un grupo de cuentas relacionadas mediante AWS Organizations una invitación de Macie.

En algunos casos, Macie podría generar este tipo de información para un segmento que no se comparte con una cuenta externa. AWS Esto puede ocurrir si Macie no puede evaluar completamente la relación entre el elemento Principal de la política del bucket y determinadas claves de contexto de condiciones AWS globales o claves de condición de Amazon S3 del elemento Condition de la política. Las claves de condición aplicables son: aws:PrincipalAccountaws:PrincipalArn,aws:PrincipalOrgID,aws:PrincipalOrgPaths,aws:PrincipalTag,aws:PrincipalType,aws:SourceAccount,aws:SourceArn,aws:SourceIp,aws:SourceVpc,aws:SourceVpce, aws:userids3:DataAccessPointAccount, ys3:DataAccessPointArn. Le recomendamos que revise la política del bucket para determinar si este acceso está previsto y es seguro.

Para obtener información sobre ACLs las políticas de los buckets de S3, consulte Administración de acceso en la Guía del usuario de Amazon Simple Storage Service.

Policy:IAMUser/S3BucketSharedWithCloudFront

La política del depósito se modificó para permitir que el depósito se comparta con una identidad de acceso de CloudFront origen de Amazon (OAI), un control de acceso de CloudFront origen (OAC) o tanto a como a CloudFront OAC. CloudFront OAI A CloudFront OAI o OAC permite a los usuarios acceder a los objetos de un bucket a través de una o más CloudFront distribuciones específicas.

Para obtener más información CloudFront OAIs yOACs, consulte Restringir el acceso a un origen de Amazon S3 en la Guía para CloudFront desarrolladores de Amazon.

nota

En algunos casos, Macie genera una búsqueda Policy: IAMUser /S3 en lugar de una BucketSharedExternally búsqueda Policy: IAMUser /S3 BucketSharedWithCloudFront para un bucket. Estos casos son:

• El bucket se comparte con una Cuenta de AWS entidad externa a tu organización, además de con una o. CloudFront OAI OAC

• La política del bucket especifica un ID de usuario canónico, en lugar del nombre de recurso de Amazon (ARN), de un. CloudFront OAI

Esto produce un resultado de política de mayor gravedad para el bucket.

Tipos de resultado de datos confidenciales

Amazon Macie genera un hallazgo de datos confidenciales cuando detecta datos confidenciales en un objeto S3 que analiza para detectar datos confidenciales. Esto incluye los análisis que Macie realiza cuando usted ejecuta un trabajo de descubrimiento de datos confidenciales o cuando realiza un descubrimiento automatizado de datos confidenciales.

Por ejemplo, si crea y ejecuta un trabajo de descubrimiento de datos confidenciales y Macie detecta números de cuentas bancarias en un objeto S3, Macie genera un resultado financiero o un objeto S3Object/Financial para SensitiveData el objeto. Del mismo modo, si Macie detecta números de cuentas bancarias en un objeto de S3 y los analiza durante un ciclo automatizado de descubrimiento de datos confidenciales, Macie genera un resultado de tipo :S3Object/Financial para el objeto. SensitiveData

Si Macie detecta datos confidenciales en el mismo objeto de S3 durante una ejecución posterior de un trabajo o un ciclo de detección automatizado de datos confidenciales, Macie genera un nuevo resultado de d atos confidenciales para el objeto. Los resultados de datos confidenciales, a diferencia de los resultados de políticas, se tratan todos como nuevos (únicos). Macie almacena los resultados de datos confidenciales durante 90 días.

Macie puede generar los siguientes tipos de resultados de datos confidenciales para un objeto de S3.

SensitiveData:S3Object/Credentials

El objeto contiene datos de credenciales confidenciales, como AWS claves de acceso secretas o claves privadas.

SensitiveData:S3Object/CustomIdentifier

El objeto contiene texto que coincide con los criterios de detección de uno o más identificadores de datos personalizados. El objeto puede contener más de un tipo de datos confidenciales.

SensitiveData:S3Object/Financial

El objeto contiene información financiera confidencial, como números de cuentas bancarias o números de tarjetas de crédito.

SensitiveData:S3Object/Multiple

El objeto contiene más de una categoría de datos confidenciales: cualquier combinación de datos de credenciales, información financiera, información personal o texto que coincida con los criterios de detección de uno o más identificadores de datos personalizados.

SensitiveData:S3Object/Personal

El objeto contiene información personal confidencial: información de identificación personal (PII), como números de pasaporte o carné de conducir, información de salud personal (PHI), como números de seguro médico o de identificación médica, o una combinación de PII ambos. PHI

Para obtener información acerca de los tipos de datos confidenciales que Macie puede detectar mediante técnicas y criterios integrados, consulteUso de identificadores de datos administrados. Para obtener información sobre los tipos de objetos S3 que Macie puede analizar, consulte Clases y formatos de almacenamiento compatibles.