Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Integrasi Amazon Macie dengan AWS Security Hub
AWS Security Hub adalah layanan yang memberi Anda pandangan komprehensif tentang postur keamanan Anda ke seluruh lingkungan AWS dan membantu memeriksa lingkungan Anda terhadap standar industri keamanan dan praktik terbaik. Hal ini dilakukan sebagian dengan mengkonsumsi, menggabungkan, mengatur, dan memprioritaskan temuan dari berbagai Layanan AWS solusi keamanan yang didukung. AWS Partner Network Security Hub membantu Anda menganalisis tren keamanan dan mengidentifikasi masalah keamanan dengan prioritas tertinggi. Dengan Security Hub, Anda juga dapat mengumpulkan temuan dari beberapaWilayah AWS, lalu memantau dan memproses semua data temuan agregat dari satu Wilayah. Untuk mempelajari selengkapnya tentang Security Hub, lihat Panduan Pengguna AWS Security Hub.
Amazon Macie terintegrasi dengan Security Hub, yang berarti Anda dapat mempublikasikan temuan dari Macie ke Security Hub secara otomatis. Security Hub kemudian dapat menyertakan temuan tersebut dalam analisis postur keamanan Anda. Selain itu, Anda dapat menggunakan Security Hub untuk memantau dan memproses kebijakan dan temuan data sensitif sebagai bagian dari kumpulan data temuan yang lebih besar dan teragregat untuk AWS lingkungan Anda. Dengan kata lain, Anda dapat menganalisis temuan Macie sambil melakukan analisis yang lebih luas tentang postur keamanan organisasi Anda, dan memulihkan temuan seperlunya. Security Hub mengurangi kompleksitas penanganan temuan volume besar dari beberapa penyedia. Selain itu, ia menggunakan format standar untuk semua temuan, termasuk temuan dari Macie. Penggunaan format ini, AWS Security Finding Format (ASFF), menghilangkan kebutuhan Anda untuk melakukan konversi data yang memakan waktu.
Topik
Bagaimana Amazon Macie menerbitkan temuan ke AWS Security Hub
Di AWS Security Hub, masalah keamanan dilacak sebagai temuan. Beberapa temuan berasal dari masalah yang terdeteksi olehLayanan AWS, seperti Amazon Macie, atau dengan solusi AWS Partner Network keamanan yang didukung. Security Hub juga memiliki seperangkat aturan yang digunakan untuk mendeteksi masalah keamanan dan membuat temuan.
Security Hub menyediakan peralatan untuk mengelola temuan dari semua sumber tersebut. Anda dapat meninjau dan memfilter daftar temuan dan meninjau detail temuan individu. Untuk mempelajari caranya, lihat Melihat daftar dan detail pencarian di Panduan AWS Security Hub Pengguna. Anda juga dapat melacak status investigasi menjadi temuan. Untuk mempelajari cara melakukannya, lihat Mengambil tindakan pada temuan di Panduan Pengguna AWS Security Hub.
Semua temuan di Security Hub menggunakan format standar JSON yang disebut AWS Security Finding Format (ASFF). ASFF mencakup detail tentang sumber masalah, sumber daya yang terpengaruh, dan status temuan saat ini. Untuk informasi selengkapnya, lihat AWS Security Finding Format (ASFF) di Panduan Pengguna AWS Security Hub.
Tipe temuan yang dipublikasikan oleh Macie
Tergantung pada pengaturan publikasi yang Anda pilih untuk akun Macie Anda, Macie dapat memublikasikan semua temuan yang dibuatnya ke Security Hub, baik temuan data sensitif maupun temuan kebijakan. Untuk informasi tentang pengaturan ini dan cara mengubahnya, lihat Mengonfigurasi pengaturan publikasi untuk temuan. Secara default, Macie hanya memublikasikan temuan kebijakan yang baru dan terbaru ke Security Hub. Macie tidak memublikasikan temuan data sensitif ke Security Hub.
Temuan data sensitif
Jika Anda mengonfigurasi Macie untuk memublikasikan Temuan data sensitif ke Security Hub, Macie secara otomatis menerbitkan setiap temuan data sensitif yang dibuatnya untuk akun Anda dan melakukannya segera setelah selesai memproses temuan. Macie melakukan ini untuk semua temuan data sensitif yang tidak diarsipkan secara otomatis oleh Aturan penekan.
Jika Anda administrator Macie untuk suatu organisasi, publikasi terbatas pada temuan dari pekerjaan penemuan data sensitif yang Anda jalankan dan aktivitas penemuan data sensitif otomatis yang dilakukan Macie untuk organisasi Anda. Hanya akun yang membuat tugas dapat memublikasikan temuan data sensitif yang dihasilkan oleh tugas. Hanya akun administrator Macie yang dapat mempublikasikan temuan data sensitif yang dihasilkan oleh penemuan data sensitif otomatis untuk organisasi mereka.
Ketika Macie memublikasikan temuan data sensitif ke Security Hub, Macie menggunakan AWS Security Finding Format (ASFF), yang merupakan format standar untuk semua temuan di Security Hub. Dalam ASFF, bidang Types menunjukkan tipe temuan. Bidang ini menggunakan taksonomi yang sedikit berbeda dari tipe temuan taksonomi di Macie.
Tabel berikut mencantumkan daftar tipe temuan ASFF untuk setiap tipe temuan data sensitif ketika Macie dapat membuatnya.
| Tipe temuan Macie | Tipe temuan ASFF |
|---|---|
SensitiveData:S3Object/Credentials |
Sensitive Data Identifications/Passwords/SensitiveData:S3Object-Credentials |
SensitiveData:S3Object/CustomIdentifier |
Sensitive Data Identifications/PII/SensitiveData:S3Object-CustomIdentifier |
|
SensitiveData:S3Object/Financial |
Sensitive Data Identifications/Financial/SensitiveData:S3Object-Financial |
SensitiveData:S3Object/Multiple |
Sensitive Data Identifications/PII/SensitiveData:S3Object-Multiple |
|
SensitiveData:S3Object/Personal |
Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal |
Temuan kebijakan
Jika Anda mengonfigurasi Macie untuk memublikasikan temuan kebijakan ke Security Hub, Macie secara otomatis menerbitkan setiap temuan kebijakan baru yang dibuat dan melakukannya segera setelah Macie selesai memproses temuan. Jika Macie mendeteksi kejadian berikutnya dari temuan kebijakan yang ada, Macie secara otomatis menerbitkan pembaruan untuk temuan yang ada di Security Hub, menggunakan frekuensi publikasi yang Anda tentukan untuk akun Anda. Macie melakukan tugas ini untuk semua temuan kebijakan yang tidak diarsipkan secara otomatis oleh Aturan penekan.
Jika Anda administrator Macie untuk suatu organisasi, publikasi terbatas pada temuan kebijakan untuk bucket S3 yang dimiliki langsung oleh akun Anda. Macie tidak memublikasikan temuan kebijakan yang dibuat atau diperbarui untuk akun anggota di organisasi Anda. Hal ini membantu untuk memastikan bahwa Anda tidak memiliki data temuan duplikat di Security Hub.
Sama halnya dengan temuan data sensitif, Macie menggunakan AWS Security Finding Format (ASFF) ketika Macie memublikasikan temuan kebijakan yang baru dan diperbarui untuk Security Hub. Dalam ASFF, bidang Types menggunakan taksonomi yang sedikit berbeda dari tipe temuan taksonomi di Macie.
Tabel berikut mencantumkan tipe temuan ASFF untuk setiap tipe temuan kebijakan ketika Macie dapat membuatnya. Jika Macie membuat atau memperbarui temuan kebijakan di Security Hub pada atau setelah 28 Januari 2021, temuan memiliki salah satu nilai berikut untuk bidang Types ASFF di Security Hub.
| Tipe temuan Macie | Tipe temuan ASFF |
|---|---|
|
Policy:IAMUser/S3BlockPublicAccessDisabled |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled |
Policy:IAMUser/S3BucketEncryptionDisabled |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketEncryptionDisabled |
|
Policy:IAMUser/S3BucketPublic |
Effects/Data Exposure/Policy:IAMUser-S3BucketPublic |
Policy:IAMUser/S3BucketReplicatedExternally |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketReplicatedExternally |
|
Policy:IAMUser/S3BucketSharedExternally |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedExternally |
|
Policy:IAMUser/S3BucketSharedWithCloudFront |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedWithCloudFront |
Jika Macie membuat atau terakhir memperbarui temuan kebijakan sebelum 28 Januari 2021, temuan tersebut memiliki salah satu nilai berikut untuk bidang Types ASFF di Security Hub:
-
Policy:IAMUser/S3BlockPublicAccessDisabled
-
Policy:IAMUser/S3BucketEncryptionDisabled
-
Policy:IAMUser/S3BucketPublic
-
Policy:IAMUser/S3BucketReplicatedExternally
-
Policy:IAMUser/S3BucketSharedExternally
Nilai-nilai dalam daftar peta langsung sebelumnya ke nilai-nilai untuk bidang Tipe temuan (type) di Macie.
catatan
Ketika Anda meninjau dan memproses temuan kebijakan di Security Hub, perhatikan pengecualian berikut ini:
-
Secara pastiWilayah AWS, Macie mulai menggunakan tipe temuan ASFF untuk temuan baru dan yang diperbarui pada awal 25 Januari 2021.
-
Jika Anda menindaklanjuti temuan kebijakan di Security Hub sebelum Macie mulai menggunakan tipe pencarian ASFF di AndaWilayah AWS, nilai untuk
Typesbidang ASFF dari temuan tersebut akan menjadi salah satu jenis temuan Macie di daftar sebelumnya. Hal ini tidak akan menjadi salah satu tipe temuan ASFF pada tabel sebelumnya. Hal ini berlaku untuk temuan kebijakan ketika Anda menjalankannya dengan menggunakan konsol AWS Security Hub atau operasi BatchUpdateFindings dari AWS Security Hub API.
Latensi untuk penerbitan temuan
Ketika Macie membuat kebijakan baru atau temuan data sensitif, Macie akan memublikasikan temuan ke Security Hub dengan segera setelah selesai memproses temuan.
Ketika Macie mendeteksi kejadian berikutnya dari temuan kebijakan yang ada, Macie menerbitkan pembaruan untuk temuan Security Hub yang ada. Waktu pembaruan tergantung pada frekuensi publikasi yang Anda pilih untuk akun Macie Anda. Secara default, Macie memublikasikan pembaruan setiap 15 menit. Untuk informasi selengkapnya, termasuk bagaimana mengubah pengaturan akun, lihat Mengonfigurasi pengaturan publikasi untuk temuan.
Mencoba kembali publikasi ketika Security Hub tidak tersedia
Jika Security Hub tidak tersedia, Macie membuat antrean temuan yang belum diterima oleh Security Hub. Ketika sistem dipulihkan, Macie mencoba lagi publikasi hingga temuan diterima oleh Security Hub.
Memperbarui temuan yang ada di Security Hub
Setelah Macie menerbitkan temuan kebijakan ke Security Hub, Macie memperbarui temuan untuk menggambarkan kejadian tambahan dari temuan atau aktivitas temuan. Macie melakukan ini hanya demi temuan kebijakan. Temuan data sensitif, tidak seperti temuan kebijakan, semuanya diperlakukan sebagai baru (unik).
Ketika Macie mempublikasikan pembaruan untuk temuan kebijakan, Macie memperbarui nilai untuk bidang temuan Diperbarui Pada (UpdatedAt). Anda dapat menggunakan nilai ini untuk menentukan kapan Macie baru-baru ini mendeteksi terjadinya potensi pelanggaran kebijakan atau masalah berikutnya yang menghasilkan temuan tersebut.
Macie mungkin juga memperbarui nilai untuk bidang temuan Tipe (Types) jika nilai yang ada untuk bidang tersebut bukan merupakan Tipe temuan ASFF. Hal ini tergantung pada apakah Anda telah bertindak berdasarkan temuan di Security Hub. Jika Anda belum bertindak berdasarkan temuan, Macie mengubah nilai bidang untuk tipe temuan ASFF yang sesuai. Jika Anda telah menjalankan temuan tersebut, menggunakan salah satu konsol AWS Security Hub atau operasi BatchUpdateFindings dari AWS Security Hub API, Macie tidak mengubah nilai bidang.
Contoh temuan Amazon Macie di AWS Security Hub
Saat Amazon Macie menerbitkan temuannyaAWS Security Hub, Amazon Macie menggunakan AWSSecurity Finding Format (ASFF). Ini merupakan format standar untuk semua temuan di Security Hub. Contoh berikut menggunakan data sampel untuk mendemonstrasikan struktur dan sifat data temuan yang diterbitkan Macie ke Security Hub dalam format ini:
Contoh temuan data sensitif di Security Hub
Berikut merupakan contoh temuan data sensitif yang diterbitkan Macie ke Security Hub dengan menggunakan ASFF.
{
"SchemaVersion": "2018-10-08",
"Id": "5be50fce24526e670df77bc00example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types":[
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
],
"CreatedAt": "2022-05-11T10:23:49.667Z",
"UpdatedAt": "2022-05-11T10:23:49.667Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "The S3 object contains personal information.",
"Description": "The object contains personal information such as first or last names, addresses, or identification numbers.",
"ProductFields": {
"JobArn": "arn:aws:macie2:us-east-1:111122223333:classification-job/698e99c283a255bb2c992feceexample",
"S3Object.Path": "DOC-EXAMPLE-BUCKET1/2022 Sourcing.tsv",
"S3Object.Extension": "tsv",
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"OriginType": "SENSITIVE_DATA_DISCOVERY_JOB",
"S3Object.PublicAccess": "false",
"S3Object.Size": "14",
"S3Object.StorageClass": "STANDARD",
"S3Bucket.allowsUnencryptedObjectUploads": "TRUE",
"JobId": "698e99c283a255bb2c992feceexample",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/5be50fce24526e670df77bc00example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::DOC-EXAMPLE-BUCKET1",
"Partition": "aws",
"Region": "us-east-1",
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-12-30T18:16:25.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"BlockPublicPolicy": true,
"IgnorePublicAcls": true,
"RestrictPublicBuckets": true
}
}
}
},
{
"Type": "AwsS3Object",
"Id": "arn:aws:s3:::DOC-EXAMPLE-BUCKET1/2022 Sourcing.tsv",
"Partition": "aws",
"Region": "us-east-1",
"DataClassification": {
"DetailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/111122223333/Macie/us-east-1/
698e99c283a255bb2c992feceexample/111122223333/32b8485d-4f3a-3aa1-be33-aa3f0example.jsonl.gz",
"Result":{
"MimeType": "text/tsv",
"SizeClassified": 14,
"AdditionalOccurrences": false,
"Status": {
"Code": "COMPLETE"
},
"SensitiveData": [
{
"Category": "PERSONAL_INFORMATION",
"Detections": [
{
"Count": 1,
"Type": "USA_SOCIAL_SECURITY_NUMBER",
"Occurrences": {
"Cells": [
{
"Column": 10,
"Row": 1,
"ColumnName": "Other"
}
]
}
}
],
"TotalCount": 1
}
],
"CustomDataIdentifiers": {
"Detections": [
],
"TotalCount": 0
}
}
},
"Details": {
"AwsS3Object": {
"LastModified": "2022-04-22T18:16:46.000Z",
"ETag": "ebe1ca03ee8d006d457444445example",
"VersionId": "SlBC72z5hArgexOJifxw_IN57example",
"ServerSideEncryption": "aws:kms",
"SSEKMSKeyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
]
},
"Sample": false,
"ProcessedAt": "2022-05-11T10:23:49.667Z"
}Contoh temuan kebijakan di Security Hub
Berikut merupakan contoh temuan kebijakan baru yang diterbitkan Macie ke Security Hub di ASFF.
{
"SchemaVersion": "2018-10-08",
"Id": "36ca8ba0-caf1-4fee-875c-37760example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
],
"CreatedAt": "2022-04-24T09:27:43.313Z",
"UpdatedAt": "2022-04-24T09:27:43.313Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "Block Public Access settings are disabled for the S3 bucket",
"Description": "All Amazon S3 block public access settings are disabled for the Amazon S3 bucket. Access to the bucket is
controlled only by access control lists (ACLs) or bucket policies.",
"ProductFields": {
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"S3Bucket.allowsUnencryptedObjectUploads": "FALSE",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/36ca8ba0-caf1-4fee-875c-37760example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::DOC-EXAMPLE-BUCKET2",
"Partition": "aws",
"Region": "us-east-1",
"Tags": {
"Team": "Recruiting",
"Division": "HR"
},
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-11-25T18:24:38.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": false,
"BlockPublicPolicy": false,
"IgnorePublicAcls": false,
"RestrictPublicBuckets": false
}
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
]
},
"Sample": false
}Mengaktifkan dan mengonfigurasi integrasi AWS Security Hub
Untuk mengintegrasikan Amazon Macie denganAWS Security Hub, aktifkan Security Hub untuk Anda. Akun AWS Untuk mempelajari caranya, lihat Mengaktifkan Security Hub di Panduan AWS Security Hub Pengguna.
Integrasi akan diaktifkan secara otomatis, ketika Anda mengaktifkan Macie dan Security Hub, . Secara default, Macie mulai mempublikasikan temuan kebijakan baru dan diperbarui ke Security Hub secara otomatis. Anda tidak perlu mengambil langkah tambahan untuk mengonfigurasi integrasi. Jika Anda memiliki temuan kebijakan saat integrasi diaktifkan, Macie tidak mempublikasikannya ke Security Hub. Sebagai gantinya, Macie hanya menerbitkan temuan kebijakan yang dibuat atau diperbarui setelah integrasi diaktifkan.
Secara opsional Anda dapat menyesuaikan konfigurasi Anda dengan memilih frekuensi ketika Macie menerbitkan pembaruan untuk temuan kebijakan di Security Hub. Anda juga dapat memilih untuk mempublikasikan temuan data sensitif ke Security Hub. Untuk mempelajari caranya, lihat Mengonfigurasi pengaturan publikasi untuk temuan.
Menghentikan publikasi temuan untuk AWS Security Hub
Untuk menghentikan publikasi temuanAWS Security Hub, Anda dapat mengubah pengaturan publikasi untuk akun Amazon Macie Anda. Untuk mempelajari caranya, lihat Memilih tujuan publikasi untuk temuan. Anda juga dapat melakukan ini dengan menggunakan konsol Security Hub atau API Security Hub. Untuk mempelajari cara melakukannya, lihat Menonaktifkan dan memungkinkan aliran temuan dari integrasi (konsol) atau Menonaktifkan aliran temuan dari integrasi (Security Hub API, AWS CLI) di Panduan Pengguna AWS Security Hub.
