翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Macie の AWS Security Hub との統合
AWS Security Hub は、AWS 環境全体のセキュリティ体制を包括的に把握し、セキュリティ業界標準およびベストプラクティスに照らして環境をチェックするのに役立つサービスです。これは、複数の AWS のサービス とサポート対象の AWS Partner Network セキュリティソリューションからの検出結果を消費、集約、整理、および優先順位付けすることによって部分的に行われます。Security Hub は、セキュリティの傾向を分析し、特に優先度の高いセキュリティ問題を特定するのに役立ちます。また、Security Hub で複数の AWS リージョン からの検出結果を集約したり、1 つのリージョンから集計した検出結果データをモニタリングおよび処理することもできます。Security Hub の詳細については、AWS Security Hub ユーザーガイドを参照してください。
Amazon Macie は Security Hub と統合します。つまり、Macie から Security Hub に結果を自動的に発行できます。Security Hub では、このような検出結果をセキュリティ体制の分析に含めることができます。さらに、Security Hub を使用して、AWS環境の大規模で集約された検出結果データのセットの一部として、ポリシーと機密データの検出結果をモニタリングおよび処理できます。つまり、組織のセキュリティ体制の広範な分析を実行しながら Macie の検出結果を分析し、必要に応じて検出結果を修正できます。Security Hub は、複数のプロバイダーからの大量の調査結果に対処することの複雑さを低減します。さらに、これは Macie からの検出結果を含むすべての検出結果に標準形式を使用します。この形式、すなわち AWS Security Finding 形式を使用すると、時間のかかるデータ変換作業を実行する必要性を排除します。
トピック
Amazon Macie が検出結果を AWS Security Hub に出力する方法
AWS Security Hub では、セキュリティの問題が検出結果として追跡されます。検出結果の中には、Amazon Macie などの AWS のサービス またはサポート対象の AWS Partner Network セキュリティソリューションによって検出された問題に由来するものがあります。Security Hub には、セキュリティの問題を検出し、検出結果を生成するために使用する一連のルールもあります。
Security Hub には、これらすべてのソースからの調査結果を管理するためのツールが用意されています。検出結果のリストを確認およびフィルタリングして、個々の検出結果の詳細をレビューできます。この方法については、AWS Security Hub ユーザーガイドの検出結果リストと詳細の表示を参照してください。調査結果の調査状況を追跡することもできます この方法については、AWS Security Hub ユーザーガイドの調査結果に対するアクションの実行を参照してください。
Security Hub のすべての調査結果で、AWS Security Finding 形式 (ASFF) と呼ばれる標準の JSON 形式が使用されます。ASFF には、問題のソース、影響を受けるリソース、および調査結果の現在のステータスに関する詳細が含まれます。詳細については、AWS Security Hub ユーザーガイドの AWS Security Finding 形式 (ASFF)を参照してください。
Macie が発行する調査結果のタイプ
Macie アカウント用に選択した発行設定に応じて、Macie は機密データの調査結果とポリシーの調査結果の両方で作成されるすべての調査結果を Security Hub に発行できます。これらの設定とそれらの変更方法については、調査結果の発行設定を設定するを参照してください。デフォルトでは、Macie は新規および更新されたポリシーの調査結果のみを Security Hub に発行します。Macie は機密データの調査結果を Security Hub に発行しません。
機密データの調査結果
Macie が 機密データの調査結果を Security Hub に発行するように設定した場合、Macie はアカウントに対して作成された各機密データの調査結果を自動的に発行し、調査結果の処理が終了した直後にそれを行います。Macie は、抑制ルールによって自動的にアーカイブされないすべての機密データの調査結果に対してこれを行います。
ユーザーが組織の Macie 管理者である場合、出力は、Macie の所属組織の機密データ検出活動をユーザーが実行および自動化する機密データ検出ジョブからの検出結果に限定されます。ジョブを作成するアカウントのみが、ジョブが生成する機密データの結果を発行できます。Macie 管理者アカウントのみが、機密データ自動検出によって所属組織用に生成された機密データ検出結果を出力できます。
Macie が機密データの調査結果をSecurity Hub に発行するときに、Security Hub のすべての調査結果に対する標準的な形式である AWS セキュリティ調査結果形式を使用します。ASFF では、Types フィールドは調査結果のタイプを示します。このフィールドでは、Macie での調査結果タイプの分類とは若干異なる分類を使用します。
次のテーブルに、Macie が作成できる機密データの調査結果の各タイプの ASFF 調査結果タイプを示します。
| Macie 調査結果タイプ | ASFF 調査結果タイプ |
|---|---|
SensitiveData:S3Object/Credentials |
Sensitive Data Identifications/Passwords/SensitiveData:S3Object-Credentials |
SensitiveData:S3Object/CustomIdentifier |
Sensitive Data Identifications/PII/SensitiveData:S3Object-CustomIdentifier |
|
SensitiveData:S3Object/Financial |
Sensitive Data Identifications/Financial/SensitiveData:S3Object-Financial |
SensitiveData:S3Object/Multiple |
Sensitive Data Identifications/PII/SensitiveData:S3Object-Multiple |
|
SensitiveData:S3Object/Personal |
Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal |
ポリシーの調査結果
Macie が ポリシーの調査結果を Security Hub に発行するように設定した場合、Macie は作成した新しい各ポリシーの調査結果を自動的に発行し、調査結果の処理が終了した直後にそれを行います。Macie が既存のポリシーの調査結果のその後の出現を検出した場合、アカウントに指定した発行頻度を使用して、Security Hub の既存の調査結果への更新を自動的に発行します。Macie は、抑制ルールによって自動的にアーカイブされないすべてのポリシーの調査結果に対してこれらのタスクを実行します。
ユーザーが組織の Macie 管理者である場合、出力は、ユーザーのアカウントが直接所有する S3 バケットのポリシー検出結果に制限されます。Macie は、組織内のメンバーアカウントに対して作成または更新したポリシーの調査結果を発行しません。これにより、Security Hub には重複した調査結果データがないことが保証されます。
機密データの調査結果の場合と同様に、Macie は、Security Hub に新規および更新されたポリシーの調査結果を発行するときに、AWS Security Finding Format (ASFF) を使用します。ASFF では、Types フィールドは、Macie での調査結果タイプの分類とは若干異なる分類を使用します。
次のテーブルに、Macie が作成できるポリシーの調査結果の各タイプについて ASFF 調査結果タイプを示します。Macie が 2021 年 1 月 28 日以降に Security Hub でポリシーの調査結果を作成または更新した場合、その調査結果は Security Hub の ASFF Types フィールドに対して次のいずれかの値になります。
| Macie 調査結果タイプ | ASFF 調査結果タイプ |
|---|---|
|
Policy:IAMUser/S3BlockPublicAccessDisabled |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled |
Policy:IAMUser/S3BucketEncryptionDisabled |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketEncryptionDisabled |
|
Policy:IAMUser/S3BucketPublic |
Effects/Data Exposure/Policy:IAMUser-S3BucketPublic |
Policy:IAMUser/S3BucketReplicatedExternally |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketReplicatedExternally |
|
Policy:IAMUser/S3BucketSharedExternally |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedExternally |
|
Policy:IAMUser/S3BucketSharedWithCloudFront |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedWithCloudFront |
Macie が 2021 年 1 月 28 日より前にポリシーの調査結果を作成または更新した場合、その調査結果は Security Hub の ASFF Types フィールド に対して次のいずれかの値になります。
-
Policy:IAMUser/S3BlockPublicAccessDisabled
-
Policy:IAMUser/S3BucketEncryptionDisabled
-
Policy:IAMUser/S3BucketPublic
-
Policy:IAMUser/S3BucketReplicatedExternally
-
Policy:IAMUser/S3BucketSharedExternally
前のリストの値は、Macieの 調査結果タイプ(type) フィールドの値に直接マッピングされます。
注記
Security Hub でポリシーの調査結果を確認して処理するときは、次の例外に注意してください。
-
特定の AWS リージョン で、早くも 2021 年 1 月 25 日に Macie は新規および更新された検出結果用の ASFF 検出結果タイプを使用開始しました。
-
Macie がユーザーの AWS リージョン で ASFF 検出結果タイプの使用を開始する前に、ユーザーが Security Hub でポリシーの検出結果を処理した場合、その ASFF
Typesフィールドの値は、前のリストの Macie 検出結果タイプのいずれかになります。それは、前のテーブルの ASFF 調査結果タイプのいずれかにはなりません。これは、AWS Security Hub コンソールまたは AWS Security Hub APIの BatchUpdateFindings オペレーションを使用して処理したポリシーの調査結果に当てはまります。
調査結果のレイテンシー
Macie が新しいポリシーまたは機密データの調査結果を作成するときに、調査結果の処理が終了した直後に Security Hub にその調査結果を発行します。
Macie が既存のポリシー結果のその後の出現を検出したときに、既存の Security Hub の調査結果への更新を発行します。更新のタイミングは、Macie アカウントで選択した発行頻度によって異なります。デフォルトでは、Macie は 15 分ごとに更新を発行します。アカウントの設定を変更する方法など、詳細については、調査結果の発行設定を設定するを参照してください。
Security Hub が使用できないときに発行を再試行する
Security Hub が使用できない場合、Macie は Security Hub によって受信されていない調査結果のキューを作成します。システムが復元されると、Macie は結果が Security Hub によって受信されるまで、発行を再試行します。
Security Hub の既存の調査結果を更新する
Macie がポリシーの調査結果を Security Hub に発行した後、Macie は調査結果を更新して、調査結果または調査結果アクティビティの追加の出現を反映します。Macie は、ポリシーの調査結果についてのみこれを行います。機密データの検出結果は、ポリシーの検出結果とは異なり、すべて新規 (一意) として処理されます。
Macie がポリシー結果への更新を発行するときに、Macie は、調査結果の 更新時刻UpdatedAtのフィールド値を更新します。この値を使用して、検出結果を生成した潜在的なポリシー違反または問題のその後の出現を Macie が最後に検出したタイミングを判断できます。
Macie は、フィールドの既存の値が ASFF 調査結果タイプではない場合、調査結果の タイプTypesフィールドの値も更新する場合があります。これは、Security Hub での調査結果に基づいて処理したかどうかによって異なります。調査結果を処理していない場合、Macie はフィールドの値を適切な ASFF 調査結果タイプに変更します。AWS Security Hub コンソールまたは AWS Security Hub APIの BatchUpdateFindings オペレーションのいずれかを使用して、調査結果の処理をした場合、Macie はフィールドの値を変更しません。
AWS Security Hub での Amazon Macie の検出結果の例
Amazon Macie が検出結果を AWS Security Hub に出力するときは、AWS Security Finding Format (ASFF) を使用します。これは、Security Hub のすべての調査結果に対する標準形式です。次の例では、サンプルデータを使用して、Macie がこの形式で Security Hub に発行する調査結果データの構造と性質を示します。
Security Hub での機密データの調査の例
以下に、Macie が ASFF を使用してSecurity Hub に発行した機密データの調査結果の例を示します。
{
"SchemaVersion": "2018-10-08",
"Id": "5be50fce24526e670df77bc00example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types":[
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
],
"CreatedAt": "2022-05-11T10:23:49.667Z",
"UpdatedAt": "2022-05-11T10:23:49.667Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "The S3 object contains personal information.",
"Description": "The object contains personal information such as first or last names, addresses, or identification numbers.",
"ProductFields": {
"JobArn": "arn:aws:macie2:us-east-1:111122223333:classification-job/698e99c283a255bb2c992feceexample",
"S3Object.Path": "DOC-EXAMPLE-BUCKET1/2022 Sourcing.tsv",
"S3Object.Extension": "tsv",
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"OriginType": "SENSITIVE_DATA_DISCOVERY_JOB",
"S3Object.PublicAccess": "false",
"S3Object.Size": "14",
"S3Object.StorageClass": "STANDARD",
"S3Bucket.allowsUnencryptedObjectUploads": "TRUE",
"JobId": "698e99c283a255bb2c992feceexample",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/5be50fce24526e670df77bc00example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::DOC-EXAMPLE-BUCKET1",
"Partition": "aws",
"Region": "us-east-1",
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-12-30T18:16:25.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"BlockPublicPolicy": true,
"IgnorePublicAcls": true,
"RestrictPublicBuckets": true
}
}
}
},
{
"Type": "AwsS3Object",
"Id": "arn:aws:s3:::DOC-EXAMPLE-BUCKET1/2022 Sourcing.tsv",
"Partition": "aws",
"Region": "us-east-1",
"DataClassification": {
"DetailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/111122223333/Macie/us-east-1/
698e99c283a255bb2c992feceexample/111122223333/32b8485d-4f3a-3aa1-be33-aa3f0example.jsonl.gz",
"Result":{
"MimeType": "text/tsv",
"SizeClassified": 14,
"AdditionalOccurrences": false,
"Status": {
"Code": "COMPLETE"
},
"SensitiveData": [
{
"Category": "PERSONAL_INFORMATION",
"Detections": [
{
"Count": 1,
"Type": "USA_SOCIAL_SECURITY_NUMBER",
"Occurrences": {
"Cells": [
{
"Column": 10,
"Row": 1,
"ColumnName": "Other"
}
]
}
}
],
"TotalCount": 1
}
],
"CustomDataIdentifiers": {
"Detections": [
],
"TotalCount": 0
}
}
},
"Details": {
"AwsS3Object": {
"LastModified": "2022-04-22T18:16:46.000Z",
"ETag": "ebe1ca03ee8d006d457444445example",
"VersionId": "SlBC72z5hArgexOJifxw_IN57example",
"ServerSideEncryption": "aws:kms",
"SSEKMSKeyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
]
},
"Sample": false,
"ProcessedAt": "2022-05-11T10:23:49.667Z"
}Security Hub でのポリシーの調査結果の例
以下に、Macie が ASFF で Security Hub に発行した新しいポリシーの調査結果の例を示します。
{
"SchemaVersion": "2018-10-08",
"Id": "36ca8ba0-caf1-4fee-875c-37760example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
],
"CreatedAt": "2022-04-24T09:27:43.313Z",
"UpdatedAt": "2022-04-24T09:27:43.313Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "Block Public Access settings are disabled for the S3 bucket",
"Description": "All Amazon S3 block public access settings are disabled for the Amazon S3 bucket. Access to the bucket is
controlled only by access control lists (ACLs) or bucket policies.",
"ProductFields": {
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"S3Bucket.allowsUnencryptedObjectUploads": "FALSE",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/36ca8ba0-caf1-4fee-875c-37760example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::DOC-EXAMPLE-BUCKET2",
"Partition": "aws",
"Region": "us-east-1",
"Tags": {
"Team": "Recruiting",
"Division": "HR"
},
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-11-25T18:24:38.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": false,
"BlockPublicPolicy": false,
"IgnorePublicAcls": false,
"RestrictPublicBuckets": false
}
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
]
},
"Sample": false
}AWS Security Hub 統合の有効化と設定
Amazon Macie を と統合するにはAWS Security Hub、 の Security Hub を有効にしますAWS アカウント。この方法については、「 ユーザーガイド」の「Security Hub の有効化AWS Security Hub」を参照してください。
Macie と Security Hub の両方を有効化すると、統合は自動的に有効化されます。デフォルトでは、Macie は新規および更新されたポリシーの調査結果を Security Hub に自動的に発行し始めます。統合を設定するために追加の手順を実行する必要はありません。統合が有効になっているときに既存のポリシーの調査結果がある場合、Macie はそれらを Security Hub に公開しません。代わりに、Macie は統合が有効になった後に作成または更新したポリシーの調査結果のみを公開します。
必要に応じて、Macie が Security Hub でポリシーの調査結果に対する更新を発行する頻度を選択して、設定をカスタマイズできます。機密データの検出結果を Security Hub に発行することもできます。この方法の詳細は、調査結果の発行設定を設定するを参照してください。
AWS Security Hub への検出結果出力の停止
AWS Security Hub への検出結果の出力を停止するには、Amazon Macie アカウントの出力設定を変更します。この方法の詳細は、調査結果の発行先を選択するを参照してください。これは、Security Hub コンソールまたはSecurity Hub API を使用しても実行できます。詳細については、統合からの調査結果のフローの無効化と有効化 (コンソール)または AWS Security Hub ユーザーガイドの統合からの調査結果のフローの無効化 (Security Hub API、AWS CLI)を参照してください 。
